12.05.08

Web Content FZE: Willkommen im hackerzclub

Neue Firma ist eng verflochten mit der Dialermafia

Durch Besucher unseres Portals wurden wir mal wieder auf eine neue Firma aufmerksam gemacht, die mit ihren Webseiten zweifelsfrei der Abzock- und Nutzlosbranche zuzuordnen ist. Die späteren Opfer versucht man auf einer der folgenden Seiten in die Falle zu locken:

  • gedichteonkel.com
  • gedichteonkel.info
  • gedichteservice.com
  • fahrschultrainer.com
  • webfahrschule.com
  • fahrschulwissen.com
  • grusskartencenter.com
  • gedichteservice.com
  • vorlagenweb.com
  • vorlagenonline.com
  • gifsundcliparts.com
  • bewerbungsexperte.com

Zur Zeit sind nur die fett markierten Seiten aktiv. Sieht man sich eine der Seiten an, fällt einem sofort der Hinweis auf, dass der Dienst kostenlos sein soll. Auch ein Abo oder Dialer soll einem nicht untergeschoben werden, wie z.B. bei fahrschultrainer.com zu lesen ist.

Merkwürdig ist aber, dass alle Links im Themenüberblick versuchen. ein Programm zu laden und zu installieren.

Sehen wir uns doch einmal die Domain gedichteonkel.com an. Dort befindet sogar ein weiterer Hinweis auf das Programm.

Die Aussage, dass die Software "Peppi" nur die Vorlagen vor unerlaubten Zugriffen schützen soll, ist eine dreiste Verharmlosung. In Wirklichkeit wird ein Programm installiert, das Funktionen der klassischen Trojaner enthält, wie eine Analyse des Programms ergab. Trotzdem wird das Programm laut AGB als nützliche Erweiterung bezeichnet.

Die Werbesoftware installiert eine Browsererweiterung.

In Wirklichkeit gräbt sich das Programm tief in das System ein und verändert dort verschiedene Einträge. Mit welchen Veränderungen man auf jeden Fall rechnen muss, wird ebenfalls in den AGB beschrieben.

Der Nutzer wird darauf hingewiesen, dass bei Aktivierung der Synatix GmbH -Werbesoftware eine Reihe von Änderungen am System des Kunden vorgenommen werden:

- es können Werbebanner und Pop-Ups auf dem Bildschirm erscheinen - eigene Werbung oder Werbung Dritter kann vermittelt werden - die Startseite des Internet Browsers kann verändert werden - URLs können umgeleit - Suchanfragen des Nutzers können analysiert und mit Werbung versehen werden

Abgesehen, davon, dass eine vollständige Deinstallation des Programms sehr schwierig ist, wird verschwiegen welche Auswirkungen das Programm noch mit sich bringt. Bei einer Analyse des Programms wurden diverse Domains gefunden, die alle über einen AutoconfigProxy bzw. AutoConfigVhost aufgerufen werden. Über eine modifizierte localhost findet eine Umleitung statt. Aufgebaut wird dann eine Verbindung zu Inhalten, die unter der Domain elbollo.de abgerufen werden. Es gibt noch weitere Details zu elbollo.de, auf die wir später noch eingehen werden.

Eine sehr ausführliche Beschreibung der Funktionsweise des Programms findet man auf der Internetseite des fernsehbekannten Computerspezialisten Peter Huth. Das dort beschriebene Programm hat zwar einen anderen Namen, aber es handelt sich um die gleiche Masche in einem neuen Gewand. Wie gefährlich und wie tief die Eingriffe in das System des Users sind, wird an dieser Aussage deutlich:

Der Rechner des Users kann zum Mailserver umfunktioniert werden über den dann möglicherweise auch Spam verschickt wird. Urls können - wahrscheinlich über eine Manipulation der Datei "Hosts" - umgelenkt werden. Wer zum Beispiel "Google" sucht, findet sich plötzlich auf einer ganz anderen Suchmaschine wieder. Die Startseite des eignen Browsers gehört "Global Netcom". Und wenn beim Surfen die Rechnerleistung rapide absinkt, kann das daran liegen, dass "Global Netcom" den Rechner gerade für andere Aufgaben (miss)braucht.

Quelle: http://www.peterhuth.de/news_03.php

Schauen wir uns doch mal um, wer für diese miese Gaunerei verantwortlich ist und werfen zunächst einen Blick auf das Impressum einer der oben genannten Domain.

Inzwischen wird auch im whois einiger Domains die Web Content FZE als Inhaber ausgewiesen. Dennoch ist das whois fehlerhaft, denn nach einer Person mit dem Namen Web Content FZE wird man wohl vergeblich suchen.

domain:                      gedichteservice.com

[owner-c] handle:            9997941
[owner-c] type:              PERSON
[owner-c] title:  
[owner-c] fname:             web
[owner-c] lname:             Content FZE
[owner-c] org:   
[owner-c] address:           Baniyas Road, Deira
[owner-c] city:              Dubai
[owner-c] pcode:             6159
[owner-c] country:           DE
[owner-c] state:             Dubai City
[owner-c] phone:             +49-000-0000
[owner-c] fax:               +49-000-0000
[owner-c] email:             webcontentfze@gmail.com

Die Angabe einer Telefonnummer ist bisher auch nicht erfolgt. Für solch fehlerhafte Angaben im whois sollen auch schon mal Webseiten stillgelegt worden sein. Anscheinend soll, wie so oft bei Betreibern von Abzock- und Nutzlosdiensten, verhindert werden, dass die verantwortliche Person bekannt wird. Damit wollen die Betreiber der Web Content FZE sich wohl einer möglichen Verfolgung durch deutsche Behörden von Beginn an entziehen. Der Firmensitz soll zwar in Dubai sein, dennoch darf bezweifelt werden, ob die Betreiber dort auch residieren.

In den whois-Daten der anderen Domains finden sich noch weitere Namen, wie z.B. Bruce Lennon oder Alejandro Carlos. Ob es sich bei diesen Namen um Phantome handelt, lassen wir einmal unberücksichtigt. Letztendlich lassen sich ja doch reale Personen ausmachen, die im Hintergrund die Fäden ziehen. Dafür ist ein Blick in das DNS-LOOKUP der Domain sehr aufschlussreich.

gedichteservice.com

IN

SOA
43200
server:
ns9.ns14.de10

email:
fabiansimon.gmail.com
serial:
2008012200
refresh:
39940
retry:
14400
expire:
604800
minimum-ttl:
86400
20.69.107.89.in-addr.arpa
IN
PTR
85440
syn9.synatixserver.de

Schon seit Anfang des Jahres 2004 ist Fabian Simon in Verbindung mit illegalen Dialern aufgefallen und uns deshalb bekannt. Als Beispiel sei hier nur der Dialer pie.exe genannt.

Adressierungsmerkmal : Hash - Wert : Dateiname : Dialer - Version : Inhalteanbieter :

http://in.global-netcom.de 65417F194C272A00A4C264A31DD769F577966465 pie.exe 2.2.2.219 NGF.at Internet Service Fabian Simon Reherweg 11 31787 Hameln

Die Firma Global-Netcom war für div. Aktivitäten mit illegalen Dialern verantwotlich. Geschäftsführer der Global-Netcom war der Anwalt Bernhard Syndikus. Einige der Dialer für die Fabian Simon mit seinen Firmen Headix GmbH und NGF Internet Service verantwortlich war, sind in der Liste der Dialerdomains auf der Webseite angelfire.com gelistet. Ausserdem war er Inhaber von verschiedenen Domains wie z.B. sexstudio24.de (Anfang 2005), global-dialer.de, starhacker.de, und hackerzclub.de.

domain: global-dialer.de domain-ace: global-dialer.de descr: Headix GmbH descr: HefeHof 23 descr: D-31785 Hameln descr: Germany

Von der Firma Headix GmbH gibt es eine direkte Verbindung zu dem, aus Dialerzeiten berüchtigten, Unternehmen Mainpean GmbH.

Hunderte von Dialern, die von der Firma Mainpean GmbH angebotenen wurden, sind wiederholt durch die Regulierungsbehörde verboten worden. Auch bei einer weiteren Firma, die mit illegalen Dialern operierte, war Fabian Simon beschäftigt: HYRO FZ LLC.

Quelle: affiliate.de/forum

In einem älteren whois für die Domain agrafrost.de befand sich der folgende Eintrag:

Domain:      agrafrost.de

[Holder]
Type:         ORG
Name:         HYRO FZ-LLC
Address:      HYRO FZ-LLC
Address:      P.O. BOX 213114
Pcode:        DUBAI

Email:        domains()hyro.org

Die Hyro FZ LLC war anscheinend aber nur eine Art juristischer Strohmann für die Firma hyro - mediaservice e.K. des Jörg Dudzinski. Die emails der Seite agrofrost.de laufen nämlich über eine ganz andere Domain: hyro.org. Domaininhaber und Admin-C von hyro.org ist/war Jörg Dudzinski.

Domain Name:             HYRO.ORG
Registrant Name:         Joerg Dudzinski
Registrant Organization: hyro - mediaservice Joerg Dudzinski

Quelle und weitere Infos zu Dudzinski und Syndikus: rotglut.org

Noch einmal zurück zu der zuvor schon erwähnten Domain elbollo.de. Dort liegen die Inhalte zu verschiedenen Webseiten wie beispielsweise vorlagen.tv und routenexperte.com. Registriert wurden diese Domains auf Andreas Richter und die Firmen Mainpean GmbH bzw. Starweb - Service GmbH.

Registrant:
   Mainpean GmbH
   Scharnweberstrasse 69
   Berlin, Berlin 12587
   Germany

   Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
   Domain Name: ROUTENEXPERTE.COM
      Created on: 11-Jul-05
      Expires on: 11-Jul-08
      Last Updated on: 11-Jul-07

   Administrative Contact:
      Richter, Andreas  domains@mainpean.de
      Mainpean GmbH
      Scharnweberstrasse 69
      Berlin, Berlin 12587
      Germany

Diese Domains sind zur Zeit aber nur Umleitungen, die zu dem Dienst alphaload.de von der Firma Walea GmbH führen. Auch die Firma Walea GmbH darf wohl mit Recht als Teil der Dialermafia angesehen werden, wenn man sich einmal ansieht, wer dort als Gesellschafter im Handelsregister eingetragen ist.

Firma:Walea GmbH (CH-140.4.002.859-4)
Domizil:Hostattstrasse 5 6060 Sarnen

Eingetragene Personen: Stolz, Benjamin, deutscher Staatsangehöriger, in Sarnen, Gesellschafter und Geschäftsführer, mit Einzelunterschrift, mit einer Stammeinlage von CHF 10'000.--; Richter, Andreas, deutscher Staatsangehöriger, in Berlin (DE), Gesellschafter, ohne Zeichnungsberechtigung, mit einer Stammeinlage von CHF 10'000.--.

Quelle. HR-Monitor.ch

Zu Benjamin Stolz gibt es einen ausführlichen, lesenswerten Beitrag auf rotglut.org.

Nicht nur bei der Dialerfirma Mainpean GmbH war Andreas Richter noch tätig, sondern auch bei weiteren Firmen wie z.B. Starweb-Service GmbH. Die Starweb-Service GmbH hat merkwürdigerweise sogar die gleiche Adresse wie die Mainpean GmbH, wie man dem network-whois von vorlagen.tv entnehmen kann.

person:       Andreas Richter
address:      Starweb-Service
address:      Scharnweberstrasse 69
address:      D-12587 Berlin

Es gibt aber noch weitere Verwicklungen. Wenn wir schon einmal dabei sind, dann schauen wir uns doch mal den Internetauftritt der Firma Synatix GmbH aus Hameln an. Im Impressum wird als Geschäftführung eine Frau Petra Simon angegeben.

Quelle: Synatix-GmbH.de/impressum

Bei einer Whoisabfrage finden wir im DNS-Lookup die Emailadresse von Fabian Simon.

synatix-gmbh.de

IN

SOA
43200
server:
ns9.ns14.de

email:
fabiansimon.gmail.com

Der Inhaber und administrativ Verantwortliche für die Domain ist aber eine ganz andere Person.

Domain:      synatix-gmbh.de
Domain-Ace:  synatix-gmbh.de
Nserver:     ns9.ns14.de
Nserver:     ns10.ns14.de
Status:      connect
Changed:     2008-01-22T18:50:46+01:00

[Holder]
Type:         PERSON
Name:         minh nguyen
Address:      Voerderstrasse 71a
Pcode:        58135
City:         Hagen

Komisch, auch der Name Minh Nguyen kommt uns bekannt vor. Den Namen haben wir doch schon einmal im whois einer anderen Domain entdeckt, nämlich bei bewerbungsexperte.com. Das ist deshalb bemerkenswert weil die Seite bewerbungsexperte.com ursprünglich wohl als Abofalle vorgesehen war, dann aber nicht mehr online gehen konnte. Denn kurz vor der Fertigstellung hatte die Staatsanwaltschaft den Server wegen betrügerischer Machenschaften beschlagnahmt. Die Aktion richtete sich gegen die Gauner von fabrikeinkauf.com, die Firma CR Onlinevermarktungsgesellschaft Ltd. und ihre Hintermänner. Auf dem Server lag auch die Domain bewerbungsexperte.com. Im whois der Domain war die CR Onlinevermarktungsgesellschaft Ltd. als Inhaber eingetragen wie an Hand eines screenshots zu sehen ist.