Trojaner installiert Dialer

Ein neu aufgetauchtes Trojanisches Pferd installiert einen Dialer, verändert die Sicherheitseinstellungen des Internet Explorer und schaltet den Modem-Lautsprecher ab.

In Pocket speichern vorlesen Druckansicht 583 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Urs Mansmann

Eine Meldung von Dialerschutz.de warnt vor einem neuen VBS-Script, das ein Trojanisches Pferd installiert. Das Script ist auf HTML-Seiten enthalten, die im Internet liegen oder auch per E-Mail versandt werden können. Das VBS-Script hat eine komplexe Schadroutine: Es greift auf die Shell zu, liest Werte aus der Registry und verändert diese. Bei Ausführung schreibt es zunächst einen Autostart-Eintrag in die Registry, außerdem verändert es die Sicherheitseinstellungen des Microsoft Internet Explorer, um den Download von nicht signierten Active-X-Steuerelementen ohne Warnmeldung zu aktivieren.

Um die Anwahl des Dialers zu verschleiern, wird der Modemlautsprecher abgeschaltet -- das entsprechende Häkchen im Kontrollfeld ist aber dennoch vorhanden. Auch der DFÜ-Dialog für die Anwahl wird deaktiviert, sodass sich der Dialer unbemerkt einwählen kann. Ganz nebenbei wird noch die Startseite des Web-Browsers verändert und führt wiederum zum automatischen Script-Download. Das Programm prüft außerdem, ob das Dialer-Programm MegaXXX.exe vorhanden ist und lädt dieses gegebenenfalls aus dem Internet, sodass ein Löschen der Dialer-Datei wirkungslos bleibt.

Eine besondere Gefahr droht auch Nutzern von Outlook oder Outlook Express: Falls die Sicherheitseinstellungen nicht adäquat gewählt oder Patches nicht installiert sind, kann das VBS-Script bereits durch die Anzeige einer HTML-Mail aufgerufen werden und sein Werk verrichten. Schutz vor unerwünschter Dialer-Anwahl bieten Dialer-Schutzprogramme wie Yet Another Warner.

Die Anwahl von teuren Mehrwertdienstenummern unterbindet man am zuverlässigsten mit einer festen Rufnummernsperre. Diese lässt sich für Telekom-Kunden für einmalig 7,73 Euro unter der Telefonnummer 08 00/3 30 10 00 einrichten. Neben den einschlägig bekannten 0190- und 0900-Rufnummern sollte man alle Rufnummern mit den Vorwahlen 118, 013 und 019 sperren, sofern sie nicht beispielsweise für Internet by Call benötigt werden. Eine Sperre der Call-by-Call-Vorwahlen ist nicht notwendig, da Service-Nummern ausschließlich über die Telefongesellschaft geleitet werden, die den Anschluss stellt. (uma)