02.07.2012

Die Helfer der Euroweb und ein trojanisches "Flash-Addon"

Ich warne jeden davor, dieses zu Hause oder am Arbeitsplatz nachzumachen. Die Folgen sind fĂŒr Laien nicht zu ĂŒbersehen, schwere BeeintrĂ€chtigungen der eigenen PrivatsphĂ€re sind definitiv gegeben, prinzipiell halte ich aber auch Eingriffe z.B. in das Onlinebanking fĂŒr möglich! Der Artikel zeigt auf wie wichtig es ist, Software immer von den Original-Quellen zu installieren.


Nachdem ich heute auf "anonyme" Blogger gestoßen bin, welche auf eine besonders perfide Weise Schleichwerbung fĂŒr die Euroweb machen und auf eine noch perfidere Weise Kunden, die sich mittels AnwĂ€lten gegen die garstige Abzocke durch das Euroweb-Konklomerat  um Daniel Fratzscher, Philipp Berger, Christoph Preuß, Christian Stein & Co. erwehren wollen, genau davon durch bewusste Falschmeldungen und Enten abhalten wollen, habe ich mir diese "Experten und Eminenzen" von der
Advertiso GmbH
Kiebitzhof 1a
22089 Hamburg

mit dem GeschĂ€ftsfĂŒhrer Marco Remmert an der Spitze mal genauer angeschaut. Ich fand eine Verhaltensweise, die mir ein "Was fĂŒr schmierige Typen!" einfach mal so heraus rutschen ließ. Bei dem, was ich fand ist das psychologisch ganz normal, ein "vollkommen kalt bleiben" wĂ€re jedenfalls ungesund, denn man soll nicht jeden Dreck in sich rein fressen sondern auch mal kotzen. Art. 5 GG i.V. mit § 193 StGB schafft das Recht hierzu.

Einleitend ein paar Paragraphen des Strafgesetzbuches:

§ 202a StGB AusspĂ€hen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht fĂŒr ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
 (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder ĂŒbermittelt werden.

§ 202b StGB Abfangen von Daten
 Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht fĂŒr ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen DatenĂŒbermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.  

§ 202c StGB Vorbereiten des AusspĂ€hens und Abfangens von Daten
 (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen ĂŒberlĂ€sst, verbreitet oder sonst zugĂ€nglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
 (2) § 149 Abs. 2 und 3 gilt entsprechend.  

§ 303a StGB DatenverĂ€nderung (1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrĂŒckt, unbrauchbar macht oder verĂ€ndert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
(3) FĂŒr die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

Was ich fand:

auf stream-tv.de veröffentlicht die Advertiso GmbH des Marco Remmert scheinbar Filme und Dokumentationen. Ich sah nur solche, die vom ZDF veröffentlicht wurden:

Jeder Versuch sich einen solchen Film anzusehen, endet darin, dass man aufgefordert wird sich das aktuelle "Flash-Addon" herunterzuladen. Da sollte man sich wundern. Das habe ich auch getan. Mein Flash-Player ist nÀmlich - entgegen der Anzeige - aktuell:



und auf zdf.de kann ich auch ohne das angebliche "Flash-Addon" Filme ansehen...

Also habe ich eine Mini-Installation von Xubuntu gestartet und das Gast-Konto benutzt.  Was man darin auch Ă€ndert - nach dem Neustart ist das alles "perdu". Zum GlĂŒck, wie sich gleich herausstellt. Installiert werden soll nĂ€mlich das hier:
 

vergrĂ¶ĂŸert:


Den aktuellem Flash-Player mit dem aktuellen Flash-Plugin gibt es bei Adobe.com, hat man Linux auch in den Repos der Distribution. Woanders sollte man das nicht herunterladen. Warum werden wir gleich sehen.

Warnung! Das "Flash-Addon" der Hamburger Advertiso GmbH des Marcus Renner ist ein Trojaner!
"Als Trojanisches Pferd (englisch Trojan Horse), im EDV-Jargon auch kurz Trojaner genannt, bezeichnet man ein Computerprogramm, das als nĂŒtzliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfĂŒllt." (Wikipedia)
Welcher der oben genannten Paragraphen auf die TĂ€tigkeit des Marco Remmert von der Advertiso GmbH anzuwenden ist mag ich nicht entscheiden, aber ein Trojaner ist es, was der feine und saubere Hamburger da als "Flash-Addon" anbietet. Geschrieben hat er das Ding ĂŒbrigens nicht. Zusammenkopiert vielleicht. Und zum GlĂŒck funktioniert der Dreck auch nicht. Leider gilt das nur unter Linux. Unter Windows geht der Dreckstrojaner schon, wie ich im zweiten Durchgang feststellen musste.

Vom Verdacht zur Gewissheit
 
Der Verdacht, dass es sich bei dem angeblichen "Flash-Addon" um einen Trojaner handelt wurde nahezu zur Gewissheit als ich die Seite nach der Installation ein zweites mal aufrief:

Aha. Da hat sich nichts verÀndert. Sollte der Film jetzt nicht angezeigt werden? Auf www.zdf.de brauchte ich auch gar nicht installieren und könnte den Beitrag sehen. Wenn er nicht schon so alt wÀre... andere aber kann ich ansehen. Das habe ich schon erwÀhnt.

Der Trojaner-Verdacht wird zur Gewissheit, wenn man sich im Quelltext ansieht, was das "Flash-Addon" wirklich leistet:

Quelltext 1

Quelltext 2

Quelltext 3

Quelltext 4

Quelltext 5

Letztendlich lĂ€uft es darauf hinaus, dass Webseiten im Browser verĂ€ndert dargestellt werden, teilweise werden Filme bei You-Tube ĂŒberschrieben - und etwas ganz anderes angezeigt - und immer wieder landet man bei: "startseite-suche.de". Wem gehört diese Seite?


Ja. Richtig. Marco Remmert von der Advertiso GmbH, der die betrogenen Kunden der Euroweb gleich nochmal anlĂŒgt.

Das trifft dann auch auf die anderen, im Quelltext 2 genannten Domains, zu denen kĂŒnstlicher Traffic erzeugt wird, zu.

Unter Windows kreuzgefÀhrlich!

Anders als unter Linux funktioniert der Trojaner unter Windows:


Bei Aufruf jeder Google Suche  werden die Informationen zur Advertiso GmbH gesendet. Der Trojaner (das angebliche "Flash-Addon") baut in die von Google gelieferte Seite einen Kasten ein, hier der mit der Werbung fĂŒr "Die besten Singebörsen und Chats im Überblick". Klickt man darauf findet eine Orgie statt, eine "Popup-Orgie" mit Schweinekram und (ungĂŒltigen!) Seiten von O2.



Das sind eigentlich sogar per HTTPS- Protokoll gesicherte Seiten, die erst nach der Übertragung durch die Javascripte des angeblichen Flash-Addons verĂ€ndert werden! Ähnliches könnte genau so auch mit Homebanking-Seiten gemacht werden oder mit jeder anderen Seiten auf der Sie vertrauliche Inforationen ĂŒbermitteln. Wichtig ist zu wissen, dass der Trojaner live Daten und Updates von den Webservern der Advertiso GmbH bezieht, sich dessen Verhalten also binnen Sekunden Ă€ndern - und er damit auch weit Übleres anrichten kann. Mit dem Trojaner auf der Platte ist Ihr Browser und Ihr Betriebssystem nicht mehr vertrauenswĂŒrdig:


 
Ich spiele gerade das vorher angelegte Image (eine binĂ€re Kopie der Partition)  zurĂŒck um sicher zu sein, dass nicht noch mehr Dreckskram mein System verseucht. Erweislich werden hier  Informationen abgegriffen, die nicht fĂŒr die Advertiso GmbH des Marco Remmert bestimmt waren und erweislich werden also Daten geĂ€ndert. Eine Zustimmung hierzu erfolgte nicht, und wurde auch nicht abgefragt! Strafbares Handeln liegt also schon mal vor und der GeschĂ€ftsfĂŒhrer Marco Remmert ist verantwortlich. 

Sollte Ihr System verseucht sein, dann können Sie gegen Herrn Remmert und die Advertiso GmbH SchadensersatzansprĂŒche geltend machen und sich die Kosten fĂŒr die Wiederherstellung Ihres Systems zahlen lassen, denn dieser hat Sie durch falsches, arglistiges Vormachen betrogen und zu der Installation des Trojaners verfĂŒhrt in dem er vorĂ€tzlich unwahr vormachte, es handele sich um eine aktuelle Version der Standardsoftware "Flash" und Sie höchst böswillig nicht ĂŒber die Folgen der Installation aufgeklĂ€rt! Ob Ihr System verseucht ist finden Sie heraus in dem Sie unter der URL "about:addons" nachsehen ob der Trojaner installiert ist. Oder in dem Sie Ihr System durch einen Fachmann ĂŒberprĂŒfen lassen. In wenigen Tagen sollte Ihr Virenscanner sein Werk tun und den Trojaner melden.

Das angebliche "Flash-Addon" habe ich inzwischen bei Symantec eingereicht.


und bei anderen interessierten Diensten:





Verletzt sind wohl außerdem Marken und Rechte des ZDF, der Google Inc. und von Adobe. Deren AnwĂ€lte werden sich wohl freuen wie die Schneekönige und sich den Marco Remmert von der Advertiso GmbH "mal richtig zur Brust nehmen". Er kann ja die 30 Silberlinge gegenrechnen, die er fĂŒr die Euroweb-LĂŒgengeschichten bekommen hat und sich freuen, dass ich genau deswegen auf sein trojanisches und deshalb strafbares "flash-addon" aufmerkam wurde. Ob die Euroweb dem Marco Remmert den "Schaden" zahlt? Absehbar war meine Reaktion und ich werde das Verhalten eines jeden, den ich dabei erwische, dass er fĂŒr die Euroweb wirbt und also lĂŒgt, in Ă€hnlicher Weise untersuchen. Und vermutlich werde ich auch bei jedem fĂŒndig. Denn ich gehe davon aus, dass der Verstand eines jeden, der sowas macht, auch an anderer Stelle gehörig aussetzt!

Und was noch?

Der Trojaner erzeugt kĂŒnstlichen, praktisch unsichtbaren Traffic. Da werden, soweit ich das jetzt ĂŒbersehe, Webseiten in einem Iframe angezeigt. GrĂ¶ĂŸe 1 Pixel mal 1 Pixel. Also praktisch unsichtbar. Da wird sich doch auf diesen "Webseiten" nicht etwa Werbung befinden, welche "per view" abgerechnet wird? Sollte das zutreffen, dann lĂ€ge Betrug vor, weil diejenigen Kunden der Advertiso GmbH, die auf diesen Seiten werben, dann fĂŒr "Views" zahlen, bei denen gar nichts zu sehen ist! Und ja, das wĂ€re Betrug im Sinne des § 263 StGB. Beweis: Bild "Quelltext 2", oben.


Fazit:

Ganz ehrlich, ich wĂŒnsche mir, dass auch die Euroweb dort "per View" beworben wird. Dann wĂŒrde nĂ€mlich der eine Abzocker den anderen bescheißen und ich hĂ€tte richtig was zu lachen. Zusammengetan hat sich da, was zusammen gehört. Und am schönsten ist fĂŒr mich die ganz allgemein geltende Gewissheit, dass sich BetrĂŒger oft gegenseitig betrĂŒgen. Das ist nĂ€mlich ganz einfach am leichtesten.  Aber dass mit dem Trojaner (der nicht mal mit meinem firefox unter Linux funktioniert) dass werde ich weiter ĂŒberprĂŒfen. Und ich vermute, ich bin nicht der einzige der das sehr genau tun wird. Die Staatsanwaltschaft in Hamburg dĂŒrfte das auch interessieren.


Update 1:

Der StA Hamburg wurde meine Strafanzeige wegen DatenverĂ€nderung (§303a StGB) und AusspĂ€hung (§ 202 a StGB) ĂŒbermittelt.

Update 2:

webmasterplan/affili.net ist informiert. Ich habe Anzeichen fĂŒr sogenannten "Klickbetrug" gefunden:

Auf den in nur 1x1 Pixel großen Iframes dargestellten Seiten finden sich Werbebanner und ZĂ€hlscripte von webmasterplan. Diese bieten auch "pay per view" als Bezahlmodell an. Es werden also definitiv "Views" abgerechnet, obwohl die Werbebanner gar nicht sichtbar werden.

Die Funktion im Schript heißt, und das macht alles klar: "createTraffic".

Das war es wohl mit der "ehrlichen Firma", hier ist zusammen, was zusammen gehört. (Euroweb und Advertiso GmbH).

Update 3:

Die Scripte und die beiden Trojaner auf Stream-TV.de wurden jetzt - wohl um eine drohende Sperrung der Seite zu vermeiden - entfernt. Ich hatte den Hoster "Hetzner" auf das Aussenden des Trojaners aufmerksam gemacht.

Falls der Marco Remmert von der Advertiso GmbH meint, er könne fĂŒr diesen Bericht Rache nehmen und mich (womöglich mit Hilfe des Euroweb-Anwaltes Philipp Berger) verklagen: Ich habe alles gesichert. Auch den Quelltext der Seiten mit denen er die Benutzer unter dem vorsĂ€tzlich falschen Vormachen, es handele sich um ein aktuelles Flash-Plugin, zum Download und zur Installation des Trojaners aufforderte und den Link anbot. Auch seine AGB ĂŒbrigens. Die belegen nĂ€mlich, dass er sehr genau wusste, was er da tat.

Das wird also ein ĂŒbles Eigentor, denn mit dem Urteil tapeziere ich a) das Internet und b) seinen Kiez:
"Will der Herr Graf das TĂ€nzchen wagen, so mag er's mir sagen - ich spiel ihm auf!"

Kommentare:

Anonym hat gesagt…

Ich habs an Avira geschickt.

Bei Virustotal.com meldet es kein einziger als Virus. WTF????

. hat gesagt…

"Bei Virustotal.com meldet es kein einziger als Virus."

Noch. Nachdem ich es auf BadwareBusters.org gemeldet habe wird das jetzt schnell gehen. Zudem dĂŒrften die Seiten der Advertiso GmbH aus dem Suchindex fliegen.

Symantec hat jetzt auch die Beschreibung der Wirkungsweise.

. hat gesagt…

Das Abuse-Team von Hetzner (betreibt den Server) ist informiert. Ich denke morgen vormittag ist der Dreck gesperrt.

Anonym hat gesagt…

http://stopbadware.org/reports/60720231738fa9010a8e23d8e21f8ea9

Bei Deinem Englisch gibts noch Optimierungspotential :-)

Es heisst "look" nicht "luck".

"He is the crime submitter" ist auch falsch, submitter (Anzeiger, Überbringer) bist ja Du. Er (Marco Remmert) ist der "criminal" (der Verbrecher).

. hat gesagt…

Ja. War schon spĂ€t gestern. Außerdem hatte ich in der Schule die FĂ€cher russische (unter Zwang) und französische (freiwillig) Sprache belegt, nicht jedoch englisch. Man musste sich halt zwischen Französisch und Englisch entscheiden.

Ich habe heute auch den zweiten Trojaner (fĂŒr Chrome, Chromium; gleiche Funktion) nachgemeldet. Hetzner hat die Funktionsbeschreibung bekommen.

Anonym hat gesagt…

(Es folgt Zynismus)

Neue Dienstanweisung bei der Euroweb:

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de. Es soll auch bei Euroweb-Kunden zur Leistungsverbesserung kostenlos auf den Rechnern installiert werden.

FĂŒr diese kostenlose Dienstleistung werden dann vor Gericht nur 399 Euro als erbrachte Dienstleistung abgerechnet.

. hat gesagt…

Danke, Philipp Preuß!

Durch das sicher mĂŒhselige Auffinden dieses besonders geeigneten und ĂŒberhaupt willigen Dienstleisters haben Sie mir viele hundert Leser beschert.

Das ist ja, als gÀbe es heute im deutschen Web gar keine andere Seite.

ProblembĂ€rdompteur hat gesagt…

Ganoven ziehts halt immer wieder zu Ganoven hin.

Anonym hat gesagt…

(Es folgt Zynismus)

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de.

Geht nicht. Die benutzen den Internet Explorer. Und fĂŒr den gab es das Plug-In nicht.

Anonym hat gesagt…

Die benutzen den Internet Explorer. Und fĂŒr den gab es das Plug-In nicht.

Na! Und ob! In der aktuellen Version 6....

Anonym hat gesagt…

"Anonym hat gesagt…

(Es folgt Zynismus)

Neue Dienstanweisung bei der Euroweb:

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de. Es soll auch bei Euroweb-Kunden zur Leistungsverbesserung kostenlos auf den Rechnern installiert werden.

FĂŒr diese kostenlose Dienstleistung werden dann vor Gericht nur 399 Euro als erbrachte Dienstleistung abgerechnet."

Peanuts! Ernsthaft, warum sollten die sich mit Kleinkram abgeben, warum nicht gleich ein Betriebbsystem einkaufen / installieren / konfigurieren? Die Dienstleistung wÀre um einiges erfolgreicher. Allerdings lÀuft es bei der Euronepp dann wohl eher auf Obnox OS Niveau hinaus!^^

Siehe: http://www.youtube.com/watch?v=d3TXeh_t23o

Anonym hat gesagt…

http://www.cossacks2.de/

ne neue seite von Marco Remmert
bin mir aber nicht ganz sicher ob des auch wie bei steam.tv ist

Kommentar veröffentlichen