Dialer-Anbieter verteilt Trojaner

Gerd Schierenbeck war entsetzt, als er auf den Monitor blickte: Wo vor kurzem noch das Angebot seiner Online-Akademie Überlingen zu finden war, lockten jetzt dubiose Versprechungen zum Download eines Dialers. Offenbar hatte jemand die Kontrolle über seine Domain lernen-im-netz.de übernommen.

Nach bisherigen Recherchen kam es durch einen Fehler bei seinen Providern dazu, dass die Domain am 28. Juli 2005 mit einem "Close"-Eintrag zur Neuregistrierung freigegeben wurde. Keine vier Minuten später war sie laut DeNIC-Historie von Mario Dolzer, Geschäftsführer des Dialer-Anbieters Universal Boards, registriert worden.

Wie konnte Dolzer so schnell an Informationen zur freigegebenen Domain kommen? Purer Zufall? Schierenbeck schilderte den Fall heise online. Seit dem gestrigen Donnerstag sind die Dialer von der Website verschwunden, stattdessen forderte eine fingierte Browser-Errorpage zum Herunterladen eines "Plugin" namens k.exe auf. Bei der Installation dieses Programms müssen die "Nutzungsbedinungen" akzeptiert werden, danach verabschiedet sich der Prozess in den Hintergrund und wird künftig bei jedem Systemstart von Windows mitgestartet.

Zusammen mit Spezialisten des deutschen Honeynet-Projekts prüfte heise online, ob das Programm tatsächlich tut, was in den Nutzungsbedinungen angegeben ist, nämlich Werbung einzublenden und die Startseite des Browsers zu ändern. Das tat es tatsächlich. Allerdings ist das längst nicht alles. Das Programm enthält außerdem einen ausgewachsenen Trojaner. Einige der Funktionen sind sogar bereits in einer Analyse des Antivirentool-Herstellers AntiVir erwähnt.

Wir belauschten den Netzwerk-Traffic des Programms. Der Trojaner öffnet an Port 6666 eine Backdoor und meldet sich über Port 80 bei einem Webserver an, der sich in der IP-Range von Dolzers Universal Boards befindet. Dann erhält er verschlüsselt Listen mit Domain-Namen. Nach einem Tag waren es über 12000 verschiedene, vorwiegend beschreibende Namen und attraktive Domains, die einen hohen Google-Pagerank innehaben. Die Liste geht von A wie autohof.de bis Z wie zirkuswelten.de. Solche beliebten Domains sind für Dolzer dafür geeignet, Dialer zu platzieren oder sie in Linkfarmen zu integrieren.

Diese Namen fragt das Programm in regelmäßigem Abstand bei verschiedenen Whois-Diensten ab. Wenn eine Domain frei wird, kann Dolzer zuschlagen und sie sich unter den Nagel reißen. Offensichtlich will man durch die verteilten Anfragen von vielen Trojanern Whois-Sperren umgehen, die dann greifen, wenn zuviele Abfragen pro Zeitintervall von einer Adresse aus erfolgen. Eine vorläufige Analyse der Funktionsweise hat das deutsche Honeynet-Projekt heute bei Sourceforge veröffentlicht. Auf wievielen PCs der Trojaner derzeit installiert ist, bleibt vorerst unklar. heise online hat Ermittlungsbehörden von der Sachlage in Kenntnis gesetzt.

Mario Dolzer war zu einer Stellungnahme nicht bereit und verwies uns stattdessen an seinen Rechtsanwalt Bernhard Syndikus. Syndikus erwiderte mittlerweile auch die Aufforderung zur Rückgabe von lernen-im-netz.de durch die Akademie Überlingen und drohte mit einer Feststellungsklage. In anderen, heise online bekannten Fällen von plötzlichen Domain-Verlusten ohne Zustimmung des Inhabers findet sich Syndikus überdies auch als neuer Admin-C der Domains in der Whois-Datenbank wieder.

Auf lernen-im-netz.de wird mittlerweile in Rotation mit der k.exe-Download-Aufforderung auch zum Download eines Erotik-Dialers eingeladen. Als Jugendschutzbeauftragter für die Site wird Rechtsanwalt Syndikus angegeben. (hob)