Dialer tauscht Windows-Einwahlroutinen aus
Egal, welche Nummer das DFÜ-Netz oder eine Anwendung vermeintlich wählt -- hinter den Fassaden wird eine 0190-Verbindung aufgebaut, hat man sich einen neuen Dialer eingefangen.
Einen besonders dreisten Fall von betrügerischen 0190-Dialern wurde dem Antivirus-Team von Network Associates gemeldet. Der Dialer tauscht die Datei rasapi32.dll aus, mit der sich ein Windows-PC per ISDN oder analoger Verbindung ins Internet einwählt. Egal, welche Nummer das DFÜ-Netz oder eine Anwendung vermeintlich wählt -- hinter den Fassaden wird eine 0190-Verbindung aufgebaut.
Bis auf einen erzwungenen Neustart nach der Installation und eine kurze Meldung vor einer Einwahl hat der Benutzer keine Chance, den Dialer zu bemerken. Auch gängige Dialer-Warner dürfte der rasapi32-Dialer aushebeln. Laut Network Associates speichert der Dialer im Verzeichnis System32 von Windows die ursprüngliche Version der rasapi32.dll als rasapi32.ocx. Außerdem legt er die Dateien rasapi32.ddl, winvm32.exe und rasapi.log sowie einen Registry-Schlüssel an, der winvm32 beim Windows-Start aufruft.
Wer die betreffenden Dateien auf seinem System vorfindet, muss zur manuellen Deinstallation die Datei rasapi32.dll umbenennen (zum Beispiel in rasapi32.tmp). Gleichzeitig sollte er die Datei winvm32.exe aus dem System32-Verzeichnis entfernen, aber nicht löschen: Bei rechtlichen Streitigkeiten um die vom Dialer entstandenen Kosten würde man sich so um die Möglichkeit bringen, zu beweisen, dass man hereingelegt worden ist. Daher sollte man die Datei in Quarantäne nehmen, zum Beispiel, indem man sie in eine ZIP-Datei verpackt. Anschließend kann man die rasapi32.ocx wieder in rasapi32.dll umbenennen.
In der Registry ist anschließend noch unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run der mit WinVM32 bezeichnete Binärwert zu entfernen. Nach einem weiteren Neustart benutzt Windows dann wieder die richtige dll und man kann rasapi32.tmp in Quarantäne nehmen. (jo)
