Hochstapler…


… würde man mit Englisch-Grundkenntnissen vielleicht wörtlich mit “Highstacker” übersetzen – was natürlich auf der Insel, hinterm großen Teich oder sonstwo in der “engländisch” faselnden und kritzelnden Welt keine Socke verstehen würde… (Das Wörtchen “Impostor” träfe es eher…) Aber egal – “Stapel” (bzw. “Stack”) und “Socke” behalten wir mal im Hinterkopf…

Laut Wikipedia ist ein Hochstapler “… eine Person, die mehr scheinen will, als sie ist…” – so so! Doch da möchte ich fast Einspruch anmelden – ohne dabei hochzustapeln! Diese Definition erstreckt sich nämlich scheinbar nicht nur auf Personen – nein, sie trifft wohl auch auf den einen oder anderen Browser zu!

Ein Browser, der nicht “browst” oder vergißt, wie richtig “gebrowst” wird und was er dabei zu tun und zu lassen hat, ist doch wohl kein richtiger Browser, oder? Was soll man davon halten, wenn von jetzt auf eben der IE nicht mehr funzt und nur noch weiße bzw. gar keine Seiten mehr liefert???

Doch wer jetzt denkt, schlimmer ginge es nimmer, dem sei gesagt: Schlimmer geht immer! FF, Chrome und Opera versagen nämlich auf einmal auch den Dienst und wollen partout keine Seiten mehr über das Protokoll HTTP öffnen – selbst wenn man sich als davorsitzender DAU auf den Kopf stellt!

Doch IP, Netmask, Gateway und DNS sind unverändert, LAN ist aktiv, die NIC-LEDs leuchten; es gibt keine PPPoE-Fehler im Router zu entdecken, die hosts-Datei ist unverändert, Ping funzt – auf IPs und Domains (DNS ok)…

Häh?
Wat dat denn?
Grübeln und Kopfkratzen helfen nicht…
Hm!

Und dann die zufällige Beobachtung: HTTPS funktioniert! Google, Gesichtsbuch, 3SEPO usw. sind so durchaus erreichbar!

Nun schlägts Dreizehn! Daß Google über das sichere Hypertext-Übertragungsprotokoll erreichbar ist, ist aber schon mal gut. In solchen Situationen ist die ach so böse Datenkrake ja wohl Gold wert. Gesagt, getan – bzw. getippt, gesucht, gefunden: “Freund Google” spuckt tatsächlich Lösungen aus…

Bei Windows XP (ab SP2, wenn ich mich recht erinnere) soll das Tool Winsockfix Abhilfe schaffen.

Bei Windows 7 kommt man mit folgenden Kommandos (zum Reset der Winsock-Einträge und des TCP/IP-Stacks) und einem anschließenden Neustart des Systems ans Ziel:

netsh winsock reset catalog
netsh int ip reset reset.log hit

Beim vorliegenden Windows Vista funktionierte HTTP sogar bereits nach der Eingabe des ersten Befehls (ohne Neustart). Eine andere Seite weiß zusätzlich zu den bisher “ergoogelten” Informationen folgendes zu berichten:

Bei Windows (…???…) hilft folgendes:

netsh int ip reset c:\resetlog.txt
Neustart

Bei Windows XP SP2 und höher funktioniert folgende Anleitung:

Start von regedit
Öffnen: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services
Klick auf "Winsock" » Löschen!
Klick auf "Winsocks" » Löschen!
Registry schließen.
Computer-Neustart.
Aufrufen: Eigenschaften von LAN-Verbindung
Klick auf "Installieren"
Auswählen: "Protokoll"
Klick auf "Datenträger" ("Have Disk","Diskette" o.ä)
Pfad suchen/eingeben: C:\windows\inf\nettcpip.inf
Auswählen: "INTERNET PROTOKOLL TCP/IP"
Schließen.
Computer-Neustart.

Bei Windows 95 (mit Winsock 2), Windows 98, Windows Me, Windows NT, Windows 2000 und Windows XP hilft das Tool LSP-Fix beim Lösen des Problems.

Schuld an der Misere können Netzwerkdienste sein (LSPs = Layered Service Provider – gestapelte Dienstanbieter), die sich z.B. bei der Installation von Filesharing-Tools einklinken. Auch Überreste nicht sauber deinstallierter Programme können die Stapel “umschmeißen”.

Ist ein LSP erst einmal im Windows-Netzwerk integriert, können Dritte jegliche Art von gesendeten oder empfangenen Daten ausnutzen – das stellt ja wohl ein massives Sicherheitsrisiko dar!

Ok – ich gebe zu: Die Browser waren unschuldig und sind hiermit rehabilitiert. Ich nehme alles zurück und behaupte das Gegenteil… ;-)

Anmerkungen:

Die Erscheinung “HTTP nok – HTTPS ok” kann auch andersrum als ”HTTP ok – HTTPS nok” auftreten. (Möglicher Fehler: Falsches Systemdatum – evtl. wegen einer leeren BIOS- bzw. CMOS-Batterie CR2032 ?)

Wenn Winsock-Einträge oder TCP/IP-Stapel verbogen sind, sollte man unbedingt das System gründlich auf Schwachstellen und Malware prüfen! Denn Malware kann bekanntlich vielfältig sein – nicht, daß ein Cyberkrimineller loszieht und als “Hochstapler” in Ihrem Namen eBay leerkauft oder/und Ihr PayPal-Konto abräumt… – dann kann man sich nämlich die Kugel geben und sich gleich mit auf den nächstbesten Misthaufen stapeln… :-)

Von Pornos kriegt man wunde Finger…


… und scheinbar machen erstere auch dumm. Zumindest denken die Trittbrettfahrer, die auf die aktuelle RedTube-Abmahnwelle aufspringen, so oder ähnlich über ihre potentiellen Wunsch-Opfer.

Derzeit werden – und das stimmt so weit – Urheberrechtsverletzungen abgemahnt, die durch das bloße Streamen eines heißen Streifens über das Portal Redtube begangen worden sein sollen. So haben wohl etliche Internetuser “Werke” wie “Amandas Secrets” konsumiert, um dabei Hand an sich zu legen.

Mal davon abgesehen, daß jeder Mensch mit etwas Grips wissen müßte, daß die temporär im Cache liegenden Dateischnipsel Bestandteil bzw. Folge des technischen Vorgangs des Streamens sind… – die Frage, ob das bereits eine Vervielfältigung ist oder nicht, ist noch gar nicht eindeutig geklärt und in der Juristerei stark umstritten.

Jedenfalls wurden IPs gesammelt, Adreßdaten angefragt und auch herausgegeben; Abmahnungen sind unterwegs. Doch auch die eingangs erwähnten Trittbrettfahrer sind mit von der Partie und verschicken Abmahnungen per E-Mail.

Während unsereiner dümmliche E-Mails mit dummen Anhängen von noch dümmeren Absendern vollends ignoriert und im Zweifelsfalle auf altmodisches Papier mit Aktenzeichen, Stempel und Unterschrift  wartet, gibt es natürlich wie immer unbedarfte User, die feucht in der Hose werden. Nicht so wie einst, vorn, beim Konsum der “Secrets” – nein; dieses Mal hinten, beim Anblick der Mail. Bibber, schlotter, zitter – und schon ist die Hose voll!

Vor Schreck und in ängstlicher Neugier wird dann geklickt – und schon teilt der Rechner das Schicksal der Hose:

AntiVir     TR/Matsnu.A.113     
ESET-NOD32  Win32/Trustezeb.E     
Ikarus      Trojan-Spy.Zbot     
Kaspersky   Trojan-Dropper.Win32.Injector.jspw     
McAfee      Artemis!38B1862A42A6     
Sophos      Mal/Generic-S

Der Gag ist, daß sich diese – Entschuldigung – Scheiße gar nicht auf den Rechner ergießen müßte, wenn man nicht jeden Mist öffnen würde. Da lobe ich mir doch mein Outlook Express, daß mir einen Blick in den Quelltext ermöglicht:

Logdaten meiner Mahnung? Nanü? Was das wohl ist?

Also ne, ehrlich mal… Der Traggi wieder… Hinter traggi@arcor.de vermutet man natürlich sofort einen seriösen Anwalt. Und was der alles weiß, hat und kann… – sagenhaft!!!

Der weiß z.B. nämlich heute schon, daß ich am 19.12.2013 um 23:15:50 Uhr über 64-21-220-14.static-ip.telepacific.net Amandas Geheimnisse ergründen werde.

Respekt !!!

Bei so viel Know-How haben dumme Pornojunkies keine Chance, erst recht keine Wiederholungstäter. Ich bin übrigens auch einer, da ich gar nicht genug von dem Steifen – äh… Streifen kriegen kann. Habe ich doch am 02.12. auch schon gesündigt, dieses Mal über c-76-20-208-128.hsd1.ga.comcast.net… Meine Güte, ich wußte gar nicht, daß ich soooooo viel DSL habe..

From: "=?utf-8?q?Rechtsanw=C3=A4lte Urmann und Collegen?=" <ideas@casema.nl>
To: "Hilgendorf Olaf" <napalm@faett-boys.de>
Subject: Redtube Urheberrechtsverletzung an dem Werk Amandas secrets
Date: Tue, 10 Dec 2013 10:32:19 GMT
Datum/Uhrzeit: 02.12.2013 22:64:62
IP-Adresse: 76.20.208.128 Hilgendorf Olaf
Produktname: Amandas secrets
Benutzerkennung: 98330189939
Stream Seite: Redtube
Gegenstandswert: 3450,00 Euro
Geschäftsgebühr §§ 13, 14, Nr. 2030 VV RVG: 175,12 Euro
Pauschale für Post und Telekommunikation: 32,28 Euro
Schadensersatz: 83,45 Euro
Aufwendung für Ermittlung der Rechtsverletzung pauschal: 70,00 Euro

Tja, dann ist es wohl in Zukunft erst mal Essig mit dem Onanieren. Da werde ich wohl meine wunden Fingerchen eher vom Stricken kriegen… Denn für so viel Kohle müssen nicht nur alte Omis lange stricken. Hinzu kommt, daß ich chronisch langsam bin…

Oder… Bessere Idee !!! Ab in die Tonne mit dem Müll! Auch Outlook Express verfügt über eine Löschfunktion…

Hintergrund:
• Streaming-Abmahnungen schrecken Internet-Nutzer auf
• Abmahnung von Streaming-Nutzern: Nur ein Missverständnis?
• RedTube: Streaming-Abmahnungen unwirksam?
• Warnung: Fake-Abmahnung von U+C Rechtsanwälte im Umlauf
• Streaming-Abmahnung! Schon tausende User sind davon betroffen! U+C Rechtsanwälte

Das Wort zum Montag: The dark side of Web 3.0


Heute möchte ich lediglich mal einen EXTREM lesenswerten Beitrag empfehlen… Clean IT – wem das sauber vorkommt, der kann selbst nicht sauber sein…

Also, liebe Leute – wenn Ihr noch 486er bis P200MMX nebst 9- oder 24-Nadel-Drucker habt: Aufheben – und Farbband mit Stempelfarbe o.ä. tränken! Ansonsten könnt Ihr nämlich irgendwann nicht mal mehr einen Einkaufszettel drucken, ohne daß der Schnüffelstaat es mitbekommt… Einkaufen geht zwar trotzdem nicht – wegen der bargeldlosen Abbuchung vom Konto mit der “Human-ID” – aber es geht ums Prinzip!

Zugegeben – das Beispiel mit dem Einkaufszettel ist blöd. Aber wer plant, in der “kommenden” Diktatur (wir haben sie ja jetzt schon – aber irgendwann merkt es eben auch der letzte Depp..) revolutionäre Schriften zu drucken, sollte das alte Equipment aufheben. Es könnte nämlich sein, daß der um seine Bürger besorgte “Staat” aus Gründen der Terror-Prävention nur nach Online-Abgleich diverser Zertifikate Druckvorgänge zuläßt… Und dann wäre man als Widerstandskämpfer der nahen Zukunft  so ziemlich in den Pöks gekniffen.

Handkurbel-Rechner, Nadeldrucker und selbst gefärbte Farbbänder mal beiseite – denkt aber auch daran, PAPIER für den E-Fall zu horten !!! Denn das gibt es auch nur noch gegen Abbuchung vom Human-ID-Konto – und sei es, daß ein RFID-Chip auf dem neckischen Personalausweis-Kärtchen beim Marsch durch den Supermarkt finanziell belastet wird. 

Die Human-Ressource mit der ID 2579163 hat im letzten Jahr 800 Pakete DIN A4 in 81 Supermärkten gekauft? Und der Druck von nur 173 Seiten wurde beim Zertifikatsanbieter registriert? Dann schickt dem Kollegen Meier mal das SEK der NWO in die Lange Straße 14 nach Döbeln… Der Typ kann nur Terrorist sein!  

Alternative Beschaffungsmöglichkeit: Möhren oder selbstgezogene Kartöffelchen  gegen Papier auf dem Schwarzmarkt eintauschen – also auch die Gärten unbedingt bis zur nächsten ECHTEN Krise (die jetzige ist ein Theaterstück par excellence und von oben gewollt) behalten! Ein paar tausend Liter Sprit im Keller für das Aggregat können auch nicht schaden – also schon mal hamstern. Wird demnächst eh teurer…

Eigentlich hilft im Moment nur noch allgemeine Volksbewaffnung – und jede Menge Stricke, die von Laternen und Ästen runterbaumeln… Aber Revolution ist ja anstrengend – man muß ja mindestens das Hirn einschalten. Chillen macht da schon viel mehr Spaß…

Gute Nacht, freie Welt – die Illusion zerbröselt!
Willkommen in der Matrix!
Amen!

PS – einen habe ich noch: Wer von Freunden und Nachbarn noch nicht “Verschwörungstheoretiker” geschimpft wurde, kann wahrscheinlich mit NWO, Weltregierung und Bilderbergern nichts anfangen. Selbst schuld, wenn man nur schläft, obwohl man wach ist…

Vielleicht wacht derjenige ja mal auf, wenn demnächst sein Rechner gesperrt ist – und  zwar dieses Mal von echter Ransomware (a la BKA-/GEMA-/GVU-”Trojaner”) – nur eben “made for and by US-Unterhaltungsindustrie”…

Ich weiß nur noch nicht, wie ich dann für EiTiCo die Kohle von der “Human-ID” des hilfesuchenden Kunden (manche Menschen können ja nicht lesen oder interessieren sich für nichts – und brauchen daher selbst bei solchen Sachen Hilfe von IT-lern…) abbuche, weil ja die Analyse des nicht funzenden Rechners (und die daraus resultierende, von uns gegebene Handlungsaufforderung zur Selbstanzeige des Kunden) Arbeitszeit kostet und schon den einen oder anderen Umsatz erzeugen sollte… Aber wir gehen ja mit der Zeit. Also werden wir uns wohl demnächst einen Chip-Scanner/Kartenleser besorgen. Zusammen mit dem Zertifikat, ein NWO-Sklave zu sein. Hauptsache: Digital signiert! 

Globaler Klo-Komplex


Was fällt einem zu 12 Nullen ein? Manche mögen da an eine gewisse nordische Fußballmannschaft samt Trainer denken… Oder nach dem “Genuß” dieser Katzenbergschen Werbung (für 118000) auch an 12 Stullen… 

Irgendwie passend, daß ich deswegen gerade gedanklich beim Essen bin. Denn: Wer ein Fätt-Boys sein will, muß viel essen. Und als Folge dessen muß man sich notgedrungen auch entsprechend oft “notdürftig” entleeren. Was dabei für Zeit draufgeht – sagenhaft!

Jedenfalls – um zum Thema zurückzukommen – habe ich als richtig fätter Fätt-Boy mit exzessivem Freß- und (Entschuldigung!) Scheiß-Verhalten automatisch 6 nebeneinanderstehende Toilettenhäuschen a la Dixi- oder Plumps-Klo vor Augen… Von wegen “00″ an der Tür, falls das noch einer kennt. Kam damals gleich nach den ausgesägten Herzchen als Türschmuck für die Räumlichkeiten mit der löchrigen Sitzgelegenheit auf…

Das Thema “Scheiße” paßt also irgendwie zu unseren Nullen. Erst recht drängeln sich einem derartige fäkale Gedanken auf, wenn man nichtsahnend und gut gelaunt auf dem Höhepunkt eines stressigen Arbeitstages unpassenderweise gerade beim Essen oder Schlafen gestört wird, weil das Telefon bimmelt. Und schaut man dann aufs Display, reibt man sich unmittelbar danach die Augen: Zwölf Nullen!  000000000000 !!!

Nanü? Geht man ran, hört man entweder gar nichts – oder ein paar Sekunden Stille und danach “Good bye” - oder (wenn man selbst nichts von sich gibt) eine Folge zaghafter bis energischer “Hello”s in schönstem außengeländisch. Ich vermute, daß es sich um indisches/pakistanisches “Engländisch” handelte. ;o)

Zumindest die Anrufe, die von Teilnehmern in GB oder der Schweiz entgegengenommen wurden, erwiesen sich - sofern das Sabbel-Äffchen am anderen Ende loslegte – als englischsprachige Ohr-Abkau-Versuche.

Die Typen geben sich wohl als (Microsoft-)IT-Supporter aus und versuchen dann im Gespräch, das angerufene Opfer davon zu überzeugen, das es einen Virus auf dem Rechner hätte. Und wahrscheinlich ist man dann so nett und “hilft” dem vermeintlich armen Opfer mittels Ammyy.com-Fernwartungssoftware. Spätestens danach ist das Worst-Case-Szenario von der Schadsoftware dann wohl bittere Realität.

Was lernen wir daraus? Nach Großbritannien und der Schweiz ist jetzt Deutschland an der Reihe; denn die mindestens schon seit 2008 nach diesem Muster operierende, cyberkriminelle Kack-Mafia hat es derzeit scheinbar auf arme, dumme Scheißerchen im beschaulich schönen, kleinen Barth abgesehen. Man geht hier nämlich auf Dummenfang, indem man eine Barther Nummer nach der anderen anruft. Und je nachdem, ob sich kraftvolle Männerstimmen oder die Stimmchen von ahnungslosen Hausmütterchen melden, hört man was – oder eben auch nicht. Zumindest ist das eine mögliche Erklärung für das unterschiedliche Telefonierverhalten. Junge Kerle sind doch etwas computer-affiner als Frauen in den Wechseljahren (und sei es auch nur wegen der sogenannten “Ballerspiele”) – daher kann man ersteren vielleicht doch nicht ganz so leicht so viel gequirlte Scheiße erzählen …

Zumindest muß es ja einen triftigen Grund geben, daß mal was gesagt wird und mal nicht. Ist mir aber auch, gelinde gesagt, scheißegal. Ich will dieses Scheiß-Pack nicht in meiner (Telefon-)Leitung haben – egal, ob nun geschwiegen oder geredet wird. Höchstens im Abflußrohr…

Ich habe da doch glatt so einen kleinen virtuellen Spülkasten von AVM… *lol*
Dank dieser sogenannten FRITZ!Box habe ich dieses Gesch(m)eiß gleich zur Klo-Frau  umgeleitet. Und da dieser Job ja auch ganz hervorragend von Männern gemacht werden kann, sind die Anrufe von der Latrinen-Mafia bei Telefon-Paul (071150885524) gut aufgehoben.

So – ich muß jetzt erst einmal aufs Klo. Kein Wunder – bei dem Thema…

Weitere Infos:
Link (!!!)LinkLinkLinkLink- Link - Link

‘Beim Teutates…’


… hätte der unbeugsame Gallier Asterix wohl gesagt, wenn er aus dem fernen Rom eine E-Mail-Bestätigung für seine Hotel-Buchung (3 Tage Lutetia all inclusive für schlappe 987 Sesterzen) bekommen hätte – vorausgesetzt, er hätte auch gebucht!

Allerdings geht es heute hier weniger um Gallier, als um die Bewohner des bereits Jahrhunderte vorher untergegangenen, weit entlegenen Trojas. Richtig – es geht um Trojaner.

Ich will ja hier niemandem was vom Pferd erzählen – aber auch Teutates paßt nicht so recht ins Szenario; waren doch sowohl Trojaner als auch Griechen eher der griechischen als der keltischen Mythologie (Gab es die zu der Zeit überhaupt schon?) verbandelt. Für alle Streithähne diesseits und jenseits der Stadtmauern Trojas war nämlich Onkel Zeus der Göttervater, der die Donnerkeile warf…

Und eben dieser erlebt momentan ein Revival. Er geistert nämlich im Netz rum und spioniert Zugangsdaten aus. Betroffen sind Paypal, Online-Banking und auch E-Mails-Accounts – vorausgesetzt, ich bin so neugierig und öffne die (angeblich!) von hotel.de stammende Buchungsbestätigung, obwohl ich gar nicht gebucht habe!

Zum Glück habe ich als Atheist keinen Platz für diesen Heini auf meinem Rechner. Und da ich die meiste Zeit eh damit verbringe, dämliche Blog-Kommentare abzusetzen, habe ich auch keine Zeit für Urlaub im Sundance Grande Mountain Resort. Welch Segen der Technik, daß man sich bei ominösen Mails den Quelltext* anschauen kann, bevor man sie (oder auch nicht) öffnet. Dateianhänge, die ich nicht erwarte, sind eben vielleicht von dem einen oder anderen Gott (so auch von Zeus) gewollt – aber eben nicht von mir. Und das ist für mich ausschlaggebend. Wer ist schon Gott?

* Quelltext:

Return-Path: <shutoutsz6@facebook.com>
Delivery-Date: Tue, 02 Oct 2012 13:13:27 +0200
Received-SPF: fail (mxbap2: domain of facebook.com does not designate 216.129.179.51 as permitted sender) client-ip=216.129.179.51; envelope-from=shutoutsz6@facebook.com; helo=216-129-179-51.arvig.net;
Received: from 216-129-179-51.arvig.net (216-129-179-51.arvig.net [216.129.179.51])
 by mx.kundenserver.de (node=mxbap2) with ESMTP (Nemesis)
 id 0LlWxr-1TstG92x2l-00b4Qm for xxxx@xxxxx-xxxx.xx; Tue, 02 Oct 2012 13:13:27 +0200
Return-Path: <confirmations@hotel.de>
Received: from unknown (HELO prodmail.hotel.de) (217.6.56.198)
  by server-6.tower-52.messagelabs.com with SMTP; Tue, 2 Oct 2012 05:13:08 -0600
Received: from ([127.0.0.1]) with MailEnable ESMTP; Tue, 2 Oct 2012 05:13:08 -0600
MIME-Version: 1.0
From: “hotel.de” <Confirmations@hotel.de>
To: <xxxx@xxxxx-xxxx.xx>
Date: Tue, 2 Oct 2012 05:13:08 -0600
Subject: Reservierung [13244394], Tue, 2 Oct 2012 05:13:08 -0600
Message-ID: <cmu-lmtpd-599366-164698860564@hotel.de>
Content-Type: multipart/mixed;
  boundary=”—-=a__imlc_92_85_22″
X-UI-Loop: V01:PxlkVr9F2sY=:FFwmKWJx3aPjrYB+kIVWL8J6boxalbN1ve6ocrN2S/o=
X-UI-Junk: AutoMaybeJunk +0 ();
  V01:Geyh48xW:HLAPKqdBh2tmHXfC4yS8ihlrdOj2bgWz+9pyTM7pybfkgLQ/SCe
  SxCqnpCexW/NUsjercQ+6H7DfrJ9yovA2DdDdjOIPA2xP1I73vWac1cJWahjUlSE
  HbWfCbjoCW16Tb2OxH82oJT0Qz71PFshBEXWyGtwPZlkqAh7AglaqeIGdjjdx8fE
  S/CGMhJciYpPk
Envelope-To: xxxxxx@xxxxx-xxxx.xx

——=a__imlc_92_85_22
Content-Type: multipart/alternative;
  boundary=”—-=_imlc_92_85_22″

——=_imlc_92_85_22
Content-Type: text/plain;
 charset=”windows-1250″
Content-Transfer-Encoding: quoted-printable

Reservierung
=A0
=A0
Buchungsnummer:=A0VX1166231
Buchungsdatum:=A0Tue, 2 Oct 2012 05:13:08 -0600
Mehr Details in der beigefugten Datei=A0=A0
Hotelname:=A0Sundance Grande Mountain Resort & Spa
Stra&#223;e:=A0Turracherhohe 325
PLZ/Ort:=A08864=A0Turracherhohe=A0(Osterreich)

Fax:=A0+43/4275/2675670

Anreise:=A009.10.2012=A0Anzahl N&#228;chte:=A01
Abreise:=A010.10.2012=A0Gesamtanzahl Personen:=A01
Preis:58,83=A0EUR
Der Gesamtpreis beinhaltet 3,59 EUR Steuern und Abgaben.
=A0
Hinweis: Diese Buchung ist per Kreditkarte gesichert.=A0
————————————————————————-=
——-Mit freundlichen Gru?enIhr hotel.de/hotel.info-Teamhotel.de AG – w=
ww.hotel.de – www.hotel.infoAufsichtsratsvorsitzender: Tobias RaggeHRB 22=
864, Amtsgericht Nurnberg

——=_imlc_92_85_22
Content-Type: text/html;
 charset=”windows-1250″
Content-Transfer-Encoding: quoted-printable

usw.

Infos: http://blog.botfrei.de/2012/10/virenausbruch-tarnt-sich-als-reservierungsbestatigung-von-hotel-de/

Richtig viel Geld…


… sollte man haben, wenn man ungeschützten Verkehr hat. Nur einmal kurz nicht aufgepaßt - und dann wird es richtig teuer…

So oder ähnlich klingen Leidensgeschichten. Aber es geht hier nicht um die frischgebackener Väter, sondern um die Erfahrungen der unfreiwilligen Mafia-Financiers, wie sie hier landauf landab in den Wohnzimmern vor den heimischen PCs sitzen.

Es geht um Datenverkehr, nicht vorhandenen oder ungenügenden Schutz und das Nichtaufpassen bei Internetadressen oder aktivierten Internetoptionen im Browser…

Denn es wird teuer, wenn sich der Otto-Normalbürger einen GVU-GEMA-BKA-BLABLA-”Trojaner” einfängt – entweder beim Computerfritzen, der dann seine Arbeit bezahlt haben will – oder bei der Ransomware-Mafia, die über UKASH abkassiert – natürlich nur, wenn man so bescheuert ist und was bezahlt. Denn ich habe bisher nur von ganz wenigen Betroffenen gehört, die nach der Zahlung wirklich wieder Zugriff auf ihre gekaperten Rechner erhalten haben…

Ich bin für beide Arten des Geldausgebens zu geizig. Allerdings auch dumm genug, mit aktiviertem Java irgendwelche zwielichtigen Wallpaperseiten anzusurfen – zugegeben. Aber aus Schaden wird man klug.

GVU 2.07

GVU 2.07

Unlängst von Bundespolizei bzw. Konsorten in Form des 3.04ers heimgesucht (http://blog.trisepo.com/archives/348/ und http://blog.trisepo.com/archives/28/) hatte ich nichts besseres zu tun, als mir nun die GVU-Version 2.07 für meine persönliche Raupensammlung einzufangen.

Und das ganz einfach: Surf… surf… surf… load… und PENG! Der Monitor sah aus wie eine Plakatwand. 100.000 Euro, 9 Jahre Knast, Urheberrecht, ich glaube sogar irgendwas von Kinderpornos und – was weiß ich – nicht sonst noch alles… Ganz ehrlich? Ich nehme das Geld ;-)

Um zu gucken, wie ich den Schädling deaktiviere, hätte ich ihn erst einmal deaktivieren müssen – das altbekannte Lied. (Ok, zumindest, wenn man gerade nur einen Rechner hat – das ist hier zum Glück nicht der Fall. Aber noch ‘ne weitere Möhre hochfahren? Nö – höchst ungern, wenn evtl. Dreck im Netzwerk rumgeistert…) . Also LAN-Kabel raus, runterfahren, hochfahren, msconfig aufrufen und durchleuchten, dieses hier

25.07.2012  01:28  205.728  rty0_7z.exe
                            (TR/Injector.QV.1)
25.07.2012  01:28   23.750  jar_cache8739479208859326340.tmp  
                            (EXP/2012-0507.CW.2)
25.07.2012  01:30    2.125  txt55F.tmp
25.07.2012  01:28    6.451  V.class

 in bzw. unter f:\Temp entsorgen, msconfig-Eintrag deaktivieren, neustarten, fertig.

msconfig

msconfig mit Autostart-Eintrag f:\Temp\rty0_7z.exe,FQ10

Autostart

Mißglückter Autostart nach Löschen der Files

Antimalware und HiJackThis rübergejagt. Scheinbar (!!!) sauber. Der Rechner ist erst mal wieder (bedingt) arbeitsfähig, sollte aber unbedingt neu aufgesetzt werden. Schwein gehabt…

Denn es hätte auch schlimmer kommen können: http://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html. Dieses Mist-Ding treibt seit Mitte Mai sein Unwesen. Und dann wäre mit ziemlicher Sicherheit erst einmal Schicht im Schacht und guter Rat teuer…

Neue Variante

Neue Variante

Also: Antivirensoftware ist Pflicht! Aktuelle Backups! Am besten nur noch mit Browsern in der Sandbox oder in einer virtuellen Maschine ins Netz. Benutzerkontensteuerung. Oder ein reiner Surf-PC. Langsam wird es nämlich wirklich gefährlich im Internetz…

Die Jungs von der Bundespolizei…


… haben ja wohl nicht wirklich etwas mit dem Befall zahlreicher Rechner zu tun. Ebenso wenig das BKA oder die GVU. Und auch die GEMA, die derzeit mit ihrer unverschämten Geldgier Schlagzeilen macht, steckt nicht hinter der nervenden Abzockmasche, die viele Computer-Nutzer in den Wahnsinn treibt: Eine Art Ransom-Ware mit einer über Ukash zu begleichenden “Lösegeldforderung” – vom betroffenen Volk ehrfurchtsvoll BKA-Trojaner, GEMA-Trojaner, Bundespolizei-Virus etc. genannt. Es ist der absolute Computer-GAU: Nichts geht mehr…

Zumindest scheinbar. Denn es gibt natürlich Abhife. Wir berichteten bereits unter http://blog.trisepo.com/archives/28/ und verwiesen u.a. auf betriebssystem- und versionsspezifische Anleitungen bzw. Artikel auf den Internetseiten von  http://bka-trojaner.de und http://blog.botfrei.de.

Trotz aller erfolgreichen Gegenwehr ist die Bedrohung leider nach wie vor als solche existent. Doch mit der Zahl aller im Lauf der Zeit schon einmal betroffen gewesenen User steigt glücklicherweise auch die Zahl der rebellischen Webmaster, die mit ihrem Wissen  Betroffenen helfen möchten, deshalb Hilfestellungen veröffentlichen und nicht vor dieser Seuche kapitulieren – sei es auch nur durch die Zurverfügungstellung von Forum-Strukturen zum Meinungsaustausch im Rahmen gegenseitiger Hilfe.

Rene Hifinger aus Neukirchen-Vluyn ist ein Webmaster der erstgenannten Kategorie. Auf seiner Seite http://www.bundespolizei-virus.de/ finden Opfer dieser Schadsoftware einen adäquate Anleitung bzw. ausführliche Hilfe.

Mal keinen Ärger mit dem Finanzamt…


… bekommt man, wenn man eine der seit einigen Wochen kursierenden E-Mails mit dem letzten Steuerbescheid bekommt und diese neugierig öffnet. Welche Innovation bei ELSTER! ESt-Bescheid im *.pdf-Format… Doch weit gefehlt – der Ärger droht von ganz anderer Seite. Denn: Der, der sich nicht darüber im Klaren ist, daß über ELSTER lediglich Hinweis-Mails kommen, so daß man seinen Bescheid online “abholen” kann, erlebt nämlich eine Überreschung:

Die Mails enthalten einen netten kleinen T-R-O-J-A-N-E-R !!!

WARNUNG: “Die Steuerverwaltung sendet Ihnen grundsätzlich nur Benachrichtigungen, aber niemals die eigentlichen Steuerdaten in Form eines E-Mail-Anhangs.” (Quelle)

Hier mal eine solche Mail als Beispiel:

Return-Path: <Steuerverwaltung@elster.de>
Delivery-Date: Tue, 24 Apr 2012 16:04:50 +0200
Received: from apps301.myhostingpack.com (apps301.myhostingpack.com [184.154.119.82])
 by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis)
 id 0MY57A-1SihMo00pM-00V1ye for XXXXXX@XXXXXXXXXX.XX; Tue, 24 Apr 2012 16:04:50 +0200
Received: from dgf (203.66.151.147)
 by apps301.myhostingpack.com; Tue, 24 Apr 2012 09:04:49 -0500
Message-ID: <007001c433c9$cc7b28bf$748a5610@dgf>
Reply-To:  <Steuerverwaltung@elster.de>
From:  <Steuerverwaltung@elster.de>
To:  <XXXXXXXX@XXXXXXXXXX.XX>
Subject: ELSTER. Ihre Steuerverwaltung.
Date: Tue, 24 Apr 2012 09:04:49 -0500
MIME-Version: 1.0
Content-Type: multipart/mixed;
        boundary=”—-=_NextPart_000_007C_01C45610.748A28BF”
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-UI-Loop: V01:u2YgqqhV75Q=:z0ku5FWrvjjkInuuGF6GL+wdtcesxnWmVRFlM2PPkOI=
X-UI-Junk: AutoMaybeJunk +92 (SPA);
  V01:D878I6hv:UjNQKP1h5bgBaiWkRHlAgOd6GfBDgXCBuTL2sH9UrZIyqP9TzDE
  kd73iV+ggBdMijJBs/SaaKuDypjnPE3TmthCJMqLTcw7f44kQwgmS2f0dp8ZGNCX
  vGRvQmqLdyyBrwU8XSAL4Yujy3p0ATOLnlEAWgHRa4MOSW2BmBLO0QtbcT7gy7c6
  KJ8yckkFRpe91O0resDTf0tQYVucvQQMmDSJsDgDcAMjhhIUp1A7Zov9cxUrWT9b
  QjW9zXsVl665+h1aU4dKObKbvT0sCVwSlG8WgCkR1QKliHm+qx4JNKFQXhUGdoRX
  OwaxcmO9a83KWdRIYy4o+wzPEhnHvUlKGEQ==
Envelope-To: XXXXXXXX@XXXXXXXXXX.XX

——=_NextPart_000_007C_01C45610.748A28BF
Content-Type: text/html;
        charset=”windows-1251″
Content-Transfer-Encoding: quoted-printable

<html>=0D
=0D
<body>=0D
=0D
<p>Sehr geehrte Damen und Herren,<br>=0D
<br>=0D
für Sie wurde von Ihrem Finanzamt bzw. Ihrer Steuerverwaltung übe=
r das Verfahren =0D
ELSTER eine verschlüsselte Datei<br>=0D
(Einkommensteuerbescheid) zur Abholung bereitgestellt.<br>=0D
<br>=0D
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3DIhre Datei finden Sie als PDF-Datei im =
Anhang dieser E-Mail. =0D
=3D=3D=3D=3D=3D=3D=3D=3D<br>=0D
<br>=0D
Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automat=
isch =0D
gelöscht.<br>=0D
<br>=0D
Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an =
diese =0D
Mailadresse.<br>=0D
<br>=0D
Mit freundlichen Grüßen<br>=0D
Ihr Finanzamt / Ihre Steuerverwaltung<br>=0D
www.elster.de<br>=0D
<br>=0D
HINWEIS:<br>=0D
Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihr=
er =0D
Steuererklärung die<br>=0D
Mailbenachrichtigung auf diese E-Mailadresse gewünscht haben.<br>=0D
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.<=
/p>=0D
=0D
</body>=0D
=0D
</html>=0D

——=_NextPart_000_007C_01C45610.748A28BF
Content-Type: application/pdf;
 name=”ELSTER.pdf”
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename=”ELSTER.pdf”

.
usw.

Die Absender-IP gehört zum Bereich von United States Chicago Singlehop Inc., was auch nicht gerade für die deutschen Finanzbehörden als Absender spricht… Also nicht immer gleich alles öffnen!

BKA vs. EiTiCo oder GEMA vs. Fätt-Boys?


Der BKA-/UKASH-/GEMA-Trojaner treibt immer noch sein Unwesen. Habe ich mir gerade einen Ableger in Version 3.04 unter XP eingefangen… 

Da der Sperr-Screen, wie es aussieht, erst bei stehender Internetverbindung nachgeladen wird, kam mir der Gedanke, die Netzwerkverbindung zu deaktivieren. LAN-Kabel raus, fertig. Danach konnte die Kiste erst einmal wieder ohne Sperr-Screen (aber natürlich auch ohne Internet) benutzt werden !!! 

Das an Bord befindliche Avira AntiVir verlangte während des Scans die Rescue-CD, und die fand dann nichts. Die allseits als BKA-Wunderheiler bekannte Rescue Disk 10 von Kaspersky brach beim Scan des befallenen Laufwerks einfach ab. OTL im abgesicherten Modus (wie so oft empfohlen) ging gar nicht – der abgesicherte Modus ließ sich per F8 zwar aufrufen – der Bildschirm blieb aber dauerhaft schwarz… Also blieb nur ein Normal-Booting übrig. Ein Aufruf von msconfig brachte einen Autostart-Eintrag von C:/Dokumente und Einstellungen/Administrator/Lokale Einstellungen/Anwendungsdaten/Skype/SkypePM.exe (Trojan-Spy.Win32.Zbot.dptt; Bezeichnung des Schädlings ist variabel!) zum Vorschein. Haken raus. Pfad gemerkt. Datei gelöscht (wurde von AntiVir nicht als verseucht erkannt!).

Allerdings zeugten Datum und der Fakt, daß ich kein Skype auf dem Rechner habe, davon, daß da irgendwer irgendwie aus irgend einem Grund sein Unwesen trieb. Es folgte ein Aufruf von Regedit. Suche nach SkypePM. 2 Einträge gelöscht (einer davon war der, der über msconfig zu sehen war). Reboot, Kabel ran, SCHEINBAR alles roger.

Avira und Kaspersky per Rescue-Scheibe nacheinander rübergejagt; nach neuerlichem Reboot dann HiJackThis und AntiMalware von Malwarebytes. Noch zwei Registry-Einträge entdeckt, die etwas kurios anmuteten. Diese habe ich aber selbst mal ‘verbogen’ – also Entwarnung. Übrigens: Der Kasper fand dabei dann doch noch was: Trojan-Spy.Win32.Zbot.dptt in einer F:/Temp/ms0cfg32.exe (Größe 0 Byte, erstellt und geändert 31.12.69 23:59)…. Der Krempel wurde entsorgt.

WindowsUnlocker (von der Kasper-CD) quittiert alles mit OK.

ZBotKiller.exe von Kaspersky findet auch nichts mehr, was er entsorgen könnte. Scheint nun wieder alles ruhig zu sein…

Auch der Online-Scanner ESET findet nichts.

Der Ansatz mit der msconfig stellte sich im Nachhinein auch als richtig raus - ich habe soeben noch diese nette Anleitung gefunden…

[UPDATE 26.06.2012]