Neue Firma ist eng verflochten mit der Dialermafia
Durch Besucher unseres Portals wurden wir mal wieder auf eine neue Firma aufmerksam gemacht, die mit ihren Webseiten zweifelsfrei der Abzock- und Nutzlosbranche zuzuordnen ist. Die späteren Opfer versucht man auf einer der folgenden Seiten in die Falle zu locken:
- gedichteonkel.com
- gedichteonkel.info
- gedichteservice.com
- fahrschultrainer.com
- webfahrschule.com
- fahrschulwissen.com
- grusskartencenter.com
- gedichteservice.com
- vorlagenweb.com
- vorlagenonline.com
- gifsundcliparts.com
- bewerbungsexperte.com
Zur Zeit sind nur die fett markierten Seiten aktiv. Sieht man sich eine der Seiten an, fällt einem sofort der Hinweis auf, dass der Dienst kostenlos sein soll. Auch ein Abo oder Dialer soll einem nicht untergeschoben werden, wie z.B. bei fahrschultrainer.com zu lesen ist.
Merkwürdig ist aber, dass alle Links im Themenüberblick versuchen. ein Programm zu laden und zu installieren.
Sehen wir uns doch einmal die Domain gedichteonkel.com an. Dort befindet sogar ein weiterer Hinweis auf das Programm.
Die Aussage, dass die Software "Peppi" nur die Vorlagen vor unerlaubten Zugriffen schützen soll, ist eine dreiste Verharmlosung. In Wirklichkeit wird ein Programm installiert, das Funktionen der klassischen Trojaner enthält, wie eine Analyse des Programms ergab. Trotzdem wird das Programm laut AGB als nützliche Erweiterung bezeichnet.
Die Werbesoftware installiert eine Browsererweiterung.
|
In Wirklichkeit gräbt sich das Programm tief in das System ein und verändert dort verschiedene Einträge. Mit welchen Veränderungen man auf jeden Fall rechnen muss, wird ebenfalls in den AGB beschrieben.
Der Nutzer wird darauf hingewiesen, dass bei Aktivierung der Synatix GmbH -Werbesoftware eine Reihe von Änderungen am System des Kunden vorgenommen werden:
- es können Werbebanner und Pop-Ups auf dem Bildschirm erscheinen
- eigene Werbung oder Werbung Dritter kann vermittelt werden
- die Startseite des Internet Browsers kann verändert werden
- URLs können umgeleit
- Suchanfragen des Nutzers können analysiert und mit Werbung versehen werden
|
Abgesehen, davon, dass eine vollständige Deinstallation des Programms sehr schwierig ist, wird verschwiegen welche Auswirkungen das Programm noch mit sich bringt. Bei einer Analyse des Programms wurden diverse Domains gefunden, die alle über einen AutoconfigProxy bzw. AutoConfigVhost aufgerufen werden. Über eine modifizierte localhost findet eine Umleitung statt. Aufgebaut wird dann eine Verbindung zu Inhalten, die unter der Domain elbollo.de abgerufen werden. Es gibt noch weitere Details zu elbollo.de, auf die wir später noch eingehen werden.
Eine sehr ausführliche Beschreibung der Funktionsweise des Programms findet man auf der Internetseite des fernsehbekannten Computerspezialisten Peter Huth. Das dort beschriebene Programm hat zwar einen anderen Namen, aber es handelt sich um die gleiche Masche in einem neuen Gewand. Wie gefährlich und wie tief die Eingriffe in das System des Users sind, wird an dieser Aussage deutlich:
Der Rechner des Users kann zum Mailserver umfunktioniert werden über den dann möglicherweise auch Spam verschickt wird. Urls können - wahrscheinlich über eine Manipulation der Datei "Hosts" - umgelenkt werden. Wer zum Beispiel "Google" sucht, findet sich plötzlich auf einer ganz anderen Suchmaschine wieder. Die Startseite des eignen Browsers gehört "Global Netcom". Und wenn beim Surfen die Rechnerleistung rapide absinkt, kann das daran liegen, dass "Global Netcom" den Rechner gerade für andere Aufgaben (miss)braucht.
|
Quelle: http://www.peterhuth.de/news_03.php
Schauen wir uns doch mal um, wer für diese miese Gaunerei verantwortlich ist und werfen zunächst einen Blick auf das Impressum einer der oben genannten Domain.
Inzwischen wird auch im whois einiger Domains die Web Content FZE als Inhaber ausgewiesen. Dennoch ist das whois fehlerhaft, denn nach einer Person mit dem Namen Web Content FZE wird man wohl vergeblich suchen.
domain: gedichteservice.com
[owner-c] handle: 9997941
[owner-c] type: PERSON
[owner-c] title:
[owner-c] fname: web
[owner-c] lname: Content FZE
[owner-c] org:
[owner-c] address: Baniyas Road, Deira
[owner-c] city: Dubai
[owner-c] pcode: 6159
[owner-c] country: DE
[owner-c] state: Dubai City
[owner-c] phone: +49-000-0000
[owner-c] fax: +49-000-0000
[owner-c] email: webcontentfze@gmail.com
|
Die Angabe einer Telefonnummer ist bisher auch nicht erfolgt. Für solch fehlerhafte Angaben im whois sollen auch schon mal Webseiten stillgelegt worden sein. Anscheinend soll, wie so oft bei Betreibern von Abzock- und Nutzlosdiensten, verhindert werden, dass die verantwortliche Person bekannt wird. Damit wollen die Betreiber der Web Content FZE sich wohl einer möglichen Verfolgung durch deutsche Behörden von Beginn an entziehen. Der Firmensitz soll zwar in Dubai sein, dennoch darf bezweifelt werden, ob die Betreiber dort auch residieren.
In den whois-Daten der anderen Domains finden sich noch weitere Namen, wie z.B. Bruce Lennon oder Alejandro Carlos. Ob es sich bei diesen Namen um Phantome handelt, lassen wir einmal unberücksichtigt. Letztendlich lassen sich ja doch reale Personen ausmachen, die im Hintergrund die Fäden ziehen. Dafür ist ein Blick in das DNS-LOOKUP der Domain sehr aufschlussreich.
gedichteservice.com | IN | SOA | 43200 | server: | ns9.ns14.de10 | | | | | email: | fabiansimon.gmail.com | | | | | serial: | 2008012200 | | | | | refresh: | 39940 | | | | | retry: | 14400 | | | | | expire: | 604800 | | | | | minimum-ttl: | 86400 | 20.69.107.89.in-addr.arpa | IN | PTR | 85440 | syn9.synatixserver.de | |
|
Schon seit Anfang des Jahres 2004 ist Fabian Simon in Verbindung mit illegalen Dialern aufgefallen und uns deshalb bekannt. Als Beispiel sei hier nur der Dialer pie.exe genannt.
Adressierungsmerkmal :
Hash - Wert :
Dateiname :
Dialer - Version :
Inhalteanbieter : | http://in.global-netcom.de
65417F194C272A00A4C264A31DD769F577966465
pie.exe
2.2.2.219
NGF.at Internet Service Fabian Simon Reherweg 11 31787 Hameln |
Die Firma Global-Netcom war für div. Aktivitäten mit illegalen Dialern verantwotlich. Geschäftsführer der Global-Netcom war der Anwalt Bernhard Syndikus. Einige der Dialer für die Fabian Simon mit seinen Firmen Headix GmbH und NGF Internet Service verantwortlich war, sind in der Liste der Dialerdomains auf der Webseite angelfire.com gelistet. Ausserdem war er Inhaber von verschiedenen Domains wie z.B. sexstudio24.de (Anfang 2005), global-dialer.de, starhacker.de, und hackerzclub.de.
domain: global-dialer.de
domain-ace: global-dialer.de
descr: Headix GmbH
descr: HefeHof 23
descr: D-31785 Hameln
descr: Germany
|
Von der Firma Headix GmbH gibt es eine direkte Verbindung zu dem, aus Dialerzeiten berüchtigten, Unternehmen Mainpean GmbH.
Hunderte von Dialern, die von der Firma Mainpean GmbH angebotenen wurden, sind wiederholt durch die Regulierungsbehörde verboten worden. Auch bei einer weiteren Firma, die mit illegalen Dialern operierte, war Fabian Simon beschäftigt: HYRO FZ LLC.
Quelle: affiliate.de/forum
In einem älteren whois für die Domain agrafrost.de befand sich der folgende Eintrag:
Domain: agrafrost.de
[Holder]
Type: ORG
Name: HYRO FZ-LLC
Address: HYRO FZ-LLC
Address: P.O. BOX 213114
Pcode: DUBAI
Email: domains()hyro.org
|
Die Hyro FZ LLC war anscheinend aber nur eine Art juristischer Strohmann für die Firma hyro - mediaservice e.K. des Jörg Dudzinski. Die emails der Seite agrofrost.de laufen nämlich über eine ganz andere Domain: hyro.org. Domaininhaber und Admin-C von hyro.org ist/war Jörg Dudzinski.
Domain Name: HYRO.ORG Registrant Name: Joerg Dudzinski
Registrant Organization: hyro - mediaservice Joerg Dudzinski
|
Quelle und weitere Infos zu Dudzinski und Syndikus: rotglut.org
Noch einmal zurück zu der zuvor schon erwähnten Domain elbollo.de. Dort liegen die Inhalte zu verschiedenen Webseiten wie beispielsweise vorlagen.tv und routenexperte.com. Registriert wurden diese Domains auf Andreas Richter und die Firmen Mainpean GmbH bzw. Starweb - Service GmbH.
Registrant:
Mainpean GmbH
Scharnweberstrasse 69
Berlin, Berlin 12587
Germany
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: ROUTENEXPERTE.COM
Created on: 11-Jul-05
Expires on: 11-Jul-08
Last Updated on: 11-Jul-07
Administrative Contact:
Richter, Andreas domains@mainpean.de
Mainpean GmbH
Scharnweberstrasse 69
Berlin, Berlin 12587
Germany
|
Diese Domains sind zur Zeit aber nur Umleitungen, die zu dem Dienst alphaload.de von der Firma Walea GmbH führen. Auch die Firma Walea GmbH darf wohl mit Recht als Teil der Dialermafia angesehen werden, wenn man sich einmal ansieht, wer dort als Gesellschafter im Handelsregister eingetragen ist.
Firma: | | Walea GmbH (CH-140.4.002.859-4) | Domizil: | | Hostattstrasse 5
6060 Sarnen |
Eingetragene Personen: Stolz, Benjamin, deutscher Staatsangehöriger, in Sarnen, Gesellschafter und Geschäftsführer, mit Einzelunterschrift, mit einer Stammeinlage von CHF 10'000.--; Richter, Andreas, deutscher Staatsangehöriger, in Berlin (DE), Gesellschafter, ohne Zeichnungsberechtigung, mit einer Stammeinlage von CHF 10'000.--. |
Quelle. HR-Monitor.ch
Zu Benjamin Stolz gibt es einen ausführlichen, lesenswerten Beitrag auf rotglut.org.
Nicht nur bei der Dialerfirma Mainpean GmbH war Andreas Richter noch tätig, sondern auch bei weiteren Firmen wie z.B. Starweb-Service GmbH. Die Starweb-Service GmbH hat merkwürdigerweise sogar die gleiche Adresse wie die Mainpean GmbH, wie man dem network-whois von vorlagen.tv entnehmen kann.
person: Andreas Richter
address: Starweb-Service
address: Scharnweberstrasse 69
address: D-12587 Berlin
|
Es gibt aber noch weitere Verwicklungen. Wenn wir schon einmal dabei sind, dann schauen wir uns doch mal den Internetauftritt der Firma Synatix GmbH aus Hameln an. Im Impressum wird als Geschäftführung eine Frau Petra Simon angegeben.
Quelle: Synatix-GmbH.de/impressum
Bei einer Whoisabfrage finden wir im DNS-Lookup die Emailadresse von Fabian Simon.
synatix-gmbh.de | IN | SOA | 43200 | server: | ns9.ns14.de | | | | | email: | fabiansimon.gmail.com |
|
Der Inhaber und administrativ Verantwortliche für die Domain ist aber eine ganz andere Person.
Domain: synatix-gmbh.de
Domain-Ace: synatix-gmbh.de
Nserver: ns9.ns14.de
Nserver: ns10.ns14.de
Status: connect
Changed: 2008-01-22T18:50:46+01:00
[Holder]
Type: PERSON
Name: minh nguyen
Address: Voerderstrasse 71a
Pcode: 58135
City: Hagen
|
Komisch, auch der Name Minh Nguyen kommt uns bekannt vor. Den Namen haben wir doch schon einmal im whois einer anderen Domain entdeckt, nämlich bei bewerbungsexperte.com. Das ist deshalb bemerkenswert weil die Seite bewerbungsexperte.com ursprünglich wohl als Abofalle vorgesehen war, dann aber nicht mehr online gehen konnte. Denn kurz vor der Fertigstellung hatte die Staatsanwaltschaft den Server wegen betrügerischer Machenschaften beschlagnahmt. Die Aktion richtete sich gegen die Gauner von fabrikeinkauf.com, die Firma CR Onlinevermarktungsgesellschaft Ltd. und ihre Hintermänner. Auf dem Server lag auch die Domain bewerbungsexperte.com. Im whois der Domain war die CR Onlinevermarktungsgesellschaft Ltd. als Inhaber eingetragen wie an Hand eines screenshots zu sehen ist.