[HaBo]

Flou · 22.06.03, 19:51

Einen besonders dreisten Fall von betrügerischen 0190-Dialern wurde dem Antivirus-Team von Network Associates gemeldet. Der Dialer tauscht die Datei rasapi32.dll aus, mit der sich ein Windows-PC per ISDN oder analoger Verbindung ins Internet einwählt. Egal, welche Nummer das DFÜ-Netz oder eine Anwendung vermeintlich wählt -- hinter den Fassaden wird eine 0190-Verbindung aufgebaut.

Bis auf einen erzwungenen Neustart nach der Installation und eine kurze Meldung vor einer Einwahl hat der Benutzer keine Chance, den Dialer zu bemerken. Auch gängige Dialer-Warner dürfte der rasapi32-Dialer aushebeln. Laut Network Associates speichert der Dialer im Verzeichnis System32 von Windows die ursprüngliche Version der rasapi32.dll als rasapi32.ocx. Außerdem legt er die Dateien rasapi32.ddl, winvm32.exe und rasapi.log sowie einen Registry-Schlüssel an, der winvm32 beim Windows-Start aufruft.

Wer die betreffenden Dateien auf seinem System vorfindet, muss zur manuellen Deinstallation die Datei rasapi32.dll umbenennen (zum Beispiel in rasapi32.tmp). Gleichzeitig sollte er die Datei winvm32.exe aus dem System32-Verzeichnis entfernen, aber nicht löschen: Bei rechtlichen Streitigkeiten um die vom Dialer entstandenen Kosten würde man sich so um die Möglichkeit bringen, zu beweisen, dass man hereingelegt worden ist. Daher sollte man die Datei in Quarantäne nehmen, zum Beispiel, indem man sie in eine ZIP-Datei verpackt. Anschließend kann man die rasapi32.ocx wieder in rasapi32.dll umbenennen.

In der Registry ist anschließend noch unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run der mit WinVM32 bezeichnete Binärwert zu entfernen. Nach einem weiteren Neustart benutzt Windows dann wieder die richtige dll und man kann rasapi32.tmp in Quarantäne nehmen.

creep · 22.06.03, 21:29

hm, na das find ich mal krank!
wo doch mittlerweile _jeder_ weiss, dass damit sowieso nix mehr zu holen ist mit den 0190-iger nummern!

naja, doofe und hinterwäldler versuchen's scheinbar trotzdem noch.

*creep, auf smiley-tour tonite*

thro?? die gelben dinger stechen in den augen wie doof

Empfehlung

22.06.03, 19:51	#1 (permalink)
Flou Senior Member Registriert seit: 02.10.01 Likes: 0	Neuer Dialer Einen besonders dreisten Fall von betrügerischen 0190-Dialern wurde dem Antivirus-Team von Network Associates gemeldet. Der Dialer tauscht die Datei rasapi32.dll aus, mit der sich ein Windows-PC per ISDN oder analoger Verbindung ins Internet einwählt. Egal, welche Nummer das DFÜ-Netz oder eine Anwendung vermeintlich wählt -- hinter den Fassaden wird eine 0190-Verbindung aufgebaut. Bis auf einen erzwungenen Neustart nach der Installation und eine kurze Meldung vor einer Einwahl hat der Benutzer keine Chance, den Dialer zu bemerken. Auch gängige Dialer-Warner dürfte der rasapi32-Dialer aushebeln. Laut Network Associates speichert der Dialer im Verzeichnis System32 von Windows die ursprüngliche Version der rasapi32.dll als rasapi32.ocx. Außerdem legt er die Dateien rasapi32.ddl, winvm32.exe und rasapi.log sowie einen Registry-Schlüssel an, der winvm32 beim Windows-Start aufruft. Wer die betreffenden Dateien auf seinem System vorfindet, muss zur manuellen Deinstallation die Datei rasapi32.dll umbenennen (zum Beispiel in rasapi32.tmp). Gleichzeitig sollte er die Datei winvm32.exe aus dem System32-Verzeichnis entfernen, aber nicht löschen: Bei rechtlichen Streitigkeiten um die vom Dialer entstandenen Kosten würde man sich so um die Möglichkeit bringen, zu beweisen, dass man hereingelegt worden ist. Daher sollte man die Datei in Quarantäne nehmen, zum Beispiel, indem man sie in eine ZIP-Datei verpackt. Anschließend kann man die rasapi32.ocx wieder in rasapi32.dll umbenennen. In der Registry ist anschließend noch unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run der mit WinVM32 bezeichnete Binärwert zu entfernen. Nach einem weiteren Neustart benutzt Windows dann wieder die richtige dll und man kann rasapi32.tmp in Quarantäne nehmen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Dialer	Hashishin	Internet Allgemein	6	07.07.05 21:27
dialer	Sandmann10	Virenschutz · Tools & Aggressive Software	13	17.05.04 20:09
0190 Dialer	Flou	Internet Allgemein	22	20.04.02 13:55
Dialer und Recht	Tec	Internet Allgemein	0	10.04.02 13:35
Neuer Dialer zockt 4.800 Euro pro Stunde ab	Tec	News & Ankündigungen	0	11.03.02 11:30

22.06.03, 21:29	#2 (permalink)
creep Registriert seit: 06.12.01 Likes: 0	hm, na das find ich mal krank! wo doch mittlerweile _jeder_ weiss, dass damit sowieso nix mehr zu holen ist mit den 0190-iger nummern! naja, doofe und hinterwäldler versuchen's scheinbar trotzdem noch. creep, auf smiley-tour tonite thro?? die gelben dinger stechen in den augen wie doof

[HaBo]

Neuer Dialer