title image


Smiley aus SAT Akte 2000/3
Richtig ärgerlich und teuer wird es, wenn man vergisst, dass man mit einer 0190 Nummer online ist, wegen Langeweile den angewählten Service verläßt und munter drauflossurft. Das kann dann ein tüchtiges Loch in die Haushaltskasse reißen. Den Gipfel an Dreistigkeit schießt ein Programm namens ueber40.exe ab. Wer dieses Programm zum Beispiel von den Seiten www.hausfrauen.de, www.ueber40.de oder www.swedishfetish.com herunterlädt, holt sich imgrunde einen Trojaner auf den Rechner. Ueber40.exe installiert für den User unbemerkt das Programm tscash.exe im root directory und setzt einen Eintrag in der Registry, der dafür sorgt, dass tscash.exe bei jedem Bootvorgang neu gestartet wird. Dabei wird dem Programm noch der Schalter "-tray" mitgegeben. Dadurch wird es in der Notification-Area, dass ist der Teil der unteren Befehlszeile in dem auch die Uhr verborgen ist, als rot blinkendes Ausrufezeichen geladen. Es kommt aber noch besser. Das Tool hat einen Befehl "Entferne Ueber40" (rechter Mausklick auf das Ausrufezeichen). Nun denkt der Anwender, dass sich sein Problem, sprich das Programm, erledigt hat. Auserdem zeigt das Programm stolz den Hinweis: "Ueber40 wurde aus dem System entfernt". Aber – weit gefehlt. Ein Blick in die Registry offenbart die gesamte Wahrheit. Das Programm wird weiterhin geladen und auch tscash.exe wird nicht gelöscht – es bleibt weiterhin im Windowsverzeichnis unter dem Namen tscash.exe. Der Registry-Eintrag wird lediglich anders aufgerufen, so dass tscash.exe nicht mehr als Symbol angezeigt wird. Statt dessen wird es mit den Parametern "-tray –plugin" aufgerufen. Aber, welch Wunder nach zweimaligem Hochfahren des Rechners ist das Ausrufezeichen wieder da. Das Resultat: Es bleibt weiterhin auch nach jedem Windows-Start im Speicher – es ist jetzt nur nicht mehr für den Anwender sichtbar. Natürlich bleibt auch die angelegte DFÜ-Verbindung erhalten. Ein Schelm, der dabei Böses denkt. Vorsicht Leute, wenn Ihr über T-online, AOL oder Compuserve ins Internet geht. Die Zugangssoftwäre richtet dann die 0190 Nummern als einzige Dfü-Verbindung ein. Wenn dann der Internet Explorer oder Netscape offline geöffnet wird, versuchen beide Programme eine Verbindung zu den 0190 Diensten aufzubauen. Tscash in der Registry: HKey_Current_USER/Software/ Microsoft/Windows/CurrentVersion/Run

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: