02.07.2012

Die Helfer der Euroweb und ein trojanisches "Flash-Addon"

Ich warne jeden davor, dieses zu Hause oder am Arbeitsplatz nachzumachen. Die Folgen sind f├╝r Laien nicht zu ├╝bersehen, schwere Beeintr├Ąchtigungen der eigenen Privatsph├Ąre sind definitiv gegeben, prinzipiell halte ich aber auch Eingriffe z.B. in das Onlinebanking f├╝r m├Âglich! Der Artikel zeigt auf wie wichtig es ist, Software immer von den Original-Quellen zu installieren.


Nachdem ich heute auf "anonyme" Blogger gesto├čen bin, welche auf eine besonders perfide Weise Schleichwerbung f├╝r die Euroweb machen und auf eine noch perfidere Weise Kunden, die sich mittels Anw├Ąlten gegen die garstige Abzocke durch das Euroweb-Konklomerat  um Daniel Fratzscher, Philipp Berger, Christoph Preu├č, Christian Stein & Co. erwehren wollen, genau davon durch bewusste Falschmeldungen und Enten abhalten wollen, habe ich mir diese "Experten und Eminenzen" von der
Advertiso GmbH
Kiebitzhof 1a
22089 Hamburg

mit dem Gesch├Ąftsf├╝hrer Marco Remmert an der Spitze mal genauer angeschaut. Ich fand eine Verhaltensweise, die mir ein "Was f├╝r schmierige Typen!" einfach mal so heraus rutschen lie├č. Bei dem, was ich fand ist das psychologisch ganz normal, ein "vollkommen kalt bleiben" w├Ąre jedenfalls ungesund, denn man soll nicht jeden Dreck in sich rein fressen sondern auch mal kotzen. Art. 5 GG i.V. mit § 193 StGB schafft das Recht hierzu.

Einleitend ein paar Paragraphen des Strafgesetzbuches:

§ 202a StGB Aussp├Ąhen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht f├╝r ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter ├ťberwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
 (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder ├╝bermittelt werden.

§ 202b StGB Abfangen von Daten
 Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht f├╝r ihn bestimmte Daten (§ 202a Abs. 2) aus einer nicht├Âffentlichen Daten├╝bermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.  

§ 202c StGB Vorbereiten des Aussp├Ąhens und Abfangens von Daten
 (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passw├Ârter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) erm├Âglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen ├╝berl├Ąsst, verbreitet oder sonst zug├Ąnglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
 (2) § 149 Abs. 2 und 3 gilt entsprechend.  

§ 303a StGB Datenver├Ąnderung (1) Wer rechtswidrig Daten (§ 202a Abs. 2) l├Âscht, unterdr├╝ckt, unbrauchbar macht oder ver├Ąndert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
(3) F├╝r die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

Was ich fand:

auf stream-tv.de ver├Âffentlicht die Advertiso GmbH des Marco Remmert scheinbar Filme und Dokumentationen. Ich sah nur solche, die vom ZDF ver├Âffentlicht wurden:

Jeder Versuch sich einen solchen Film anzusehen, endet darin, dass man aufgefordert wird sich das aktuelle "Flash-Addon" herunterzuladen. Da sollte man sich wundern. Das habe ich auch getan. Mein Flash-Player ist n├Ąmlich - entgegen der Anzeige - aktuell:



und auf zdf.de kann ich auch ohne das angebliche "Flash-Addon" Filme ansehen...

Also habe ich eine Mini-Installation von Xubuntu gestartet und das Gast-Konto benutzt.  Was man darin auch ├Ąndert - nach dem Neustart ist das alles "perdu". Zum Gl├╝ck, wie sich gleich herausstellt. Installiert werden soll n├Ąmlich das hier:
 

vergr├Â├čert:


Den aktuellem Flash-Player mit dem aktuellen Flash-Plugin gibt es bei Adobe.com, hat man Linux auch in den Repos der Distribution. Woanders sollte man das nicht herunterladen. Warum werden wir gleich sehen.

Warnung! Das "Flash-Addon" der Hamburger Advertiso GmbH des Marcus Renner ist ein Trojaner!
"Als Trojanisches Pferd (englisch Trojan Horse), im EDV-Jargon auch kurz Trojaner genannt, bezeichnet man ein Computerprogramm, das als n├╝tzliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erf├╝llt." (Wikipedia)
Welcher der oben genannten Paragraphen auf die T├Ątigkeit des Marco Remmert von der Advertiso GmbH anzuwenden ist mag ich nicht entscheiden, aber ein Trojaner ist es, was der feine und saubere Hamburger da als "Flash-Addon" anbietet. Geschrieben hat er das Ding ├╝brigens nicht. Zusammenkopiert vielleicht. Und zum Gl├╝ck funktioniert der Dreck auch nicht. Leider gilt das nur unter Linux. Unter Windows geht der Dreckstrojaner schon, wie ich im zweiten Durchgang feststellen musste.

Vom Verdacht zur Gewissheit
 
Der Verdacht, dass es sich bei dem angeblichen "Flash-Addon" um einen Trojaner handelt wurde nahezu zur Gewissheit als ich die Seite nach der Installation ein zweites mal aufrief:

Aha. Da hat sich nichts ver├Ąndert. Sollte der Film jetzt nicht angezeigt werden? Auf www.zdf.de brauchte ich auch gar nicht installieren und k├Ânnte den Beitrag sehen. Wenn er nicht schon so alt w├Ąre... andere aber kann ich ansehen. Das habe ich schon erw├Ąhnt.

Der Trojaner-Verdacht wird zur Gewissheit, wenn man sich im Quelltext ansieht, was das "Flash-Addon" wirklich leistet:

Quelltext 1

Quelltext 2

Quelltext 3

Quelltext 4

Quelltext 5

Letztendlich l├Ąuft es darauf hinaus, dass Webseiten im Browser ver├Ąndert dargestellt werden, teilweise werden Filme bei You-Tube ├╝berschrieben - und etwas ganz anderes angezeigt - und immer wieder landet man bei: "startseite-suche.de". Wem geh├Ârt diese Seite?


Ja. Richtig. Marco Remmert von der Advertiso GmbH, der die betrogenen Kunden der Euroweb gleich nochmal anl├╝gt.

Das trifft dann auch auf die anderen, im Quelltext 2 genannten Domains, zu denen k├╝nstlicher Traffic erzeugt wird, zu.

Unter Windows kreuzgef├Ąhrlich!

Anders als unter Linux funktioniert der Trojaner unter Windows:


Bei Aufruf jeder Google Suche  werden die Informationen zur Advertiso GmbH gesendet. Der Trojaner (das angebliche "Flash-Addon") baut in die von Google gelieferte Seite einen Kasten ein, hier der mit der Werbung f├╝r "Die besten Singeb├Ârsen und Chats im ├ťberblick". Klickt man darauf findet eine Orgie statt, eine "Popup-Orgie" mit Schweinekram und (ung├╝ltigen!) Seiten von O2.



Das sind eigentlich sogar per HTTPS- Protokoll gesicherte Seiten, die erst nach der ├ťbertragung durch die Javascripte des angeblichen Flash-Addons ver├Ąndert werden! ├ähnliches k├Ânnte genau so auch mit Homebanking-Seiten gemacht werden oder mit jeder anderen Seiten auf der Sie vertrauliche Inforationen ├╝bermitteln. Wichtig ist zu wissen, dass der Trojaner live Daten und Updates von den Webservern der Advertiso GmbH bezieht, sich dessen Verhalten also binnen Sekunden ├Ąndern - und er damit auch weit ├ťbleres anrichten kann. Mit dem Trojaner auf der Platte ist Ihr Browser und Ihr Betriebssystem nicht mehr vertrauensw├╝rdig:


 
Ich spiele gerade das vorher angelegte Image (eine bin├Ąre Kopie der Partition)  zur├╝ck um sicher zu sein, dass nicht noch mehr Dreckskram mein System verseucht. Erweislich werden hier  Informationen abgegriffen, die nicht f├╝r die Advertiso GmbH des Marco Remmert bestimmt waren und erweislich werden also Daten ge├Ąndert. Eine Zustimmung hierzu erfolgte nicht, und wurde auch nicht abgefragt! Strafbares Handeln liegt also schon mal vor und der Gesch├Ąftsf├╝hrer Marco Remmert ist verantwortlich. 

Sollte Ihr System verseucht sein, dann k├Ânnen Sie gegen Herrn Remmert und die Advertiso GmbH Schadensersatzanspr├╝che geltend machen und sich die Kosten f├╝r die Wiederherstellung Ihres Systems zahlen lassen, denn dieser hat Sie durch falsches, arglistiges Vormachen betrogen und zu der Installation des Trojaners verf├╝hrt in dem er vor├Ątzlich unwahr vormachte, es handele sich um eine aktuelle Version der Standardsoftware "Flash" und Sie h├Âchst b├Âswillig nicht ├╝ber die Folgen der Installation aufgekl├Ąrt! Ob Ihr System verseucht ist finden Sie heraus in dem Sie unter der URL "about:addons" nachsehen ob der Trojaner installiert ist. Oder in dem Sie Ihr System durch einen Fachmann ├╝berpr├╝fen lassen. In wenigen Tagen sollte Ihr Virenscanner sein Werk tun und den Trojaner melden.

Das angebliche "Flash-Addon" habe ich inzwischen bei Symantec eingereicht.


und bei anderen interessierten Diensten:





Verletzt sind wohl au├čerdem Marken und Rechte des ZDF, der Google Inc. und von Adobe. Deren Anw├Ąlte werden sich wohl freuen wie die Schneek├Ânige und sich den Marco Remmert von der Advertiso GmbH "mal richtig zur Brust nehmen". Er kann ja die 30 Silberlinge gegenrechnen, die er f├╝r die Euroweb-L├╝gengeschichten bekommen hat und sich freuen, dass ich genau deswegen auf sein trojanisches und deshalb strafbares "flash-addon" aufmerkam wurde. Ob die Euroweb dem Marco Remmert den "Schaden" zahlt? Absehbar war meine Reaktion und ich werde das Verhalten eines jeden, den ich dabei erwische, dass er f├╝r die Euroweb wirbt und also l├╝gt, in ├Ąhnlicher Weise untersuchen. Und vermutlich werde ich auch bei jedem f├╝ndig. Denn ich gehe davon aus, dass der Verstand eines jeden, der sowas macht, auch an anderer Stelle geh├Ârig aussetzt!

Und was noch?

Der Trojaner erzeugt k├╝nstlichen, praktisch unsichtbaren Traffic. Da werden, soweit ich das jetzt ├╝bersehe, Webseiten in einem Iframe angezeigt. Gr├Â├če 1 Pixel mal 1 Pixel. Also praktisch unsichtbar. Da wird sich doch auf diesen "Webseiten" nicht etwa Werbung befinden, welche "per view" abgerechnet wird? Sollte das zutreffen, dann l├Ąge Betrug vor, weil diejenigen Kunden der Advertiso GmbH, die auf diesen Seiten werben, dann f├╝r "Views" zahlen, bei denen gar nichts zu sehen ist! Und ja, das w├Ąre Betrug im Sinne des § 263 StGB. Beweis: Bild "Quelltext 2", oben.


Fazit:

Ganz ehrlich, ich w├╝nsche mir, dass auch die Euroweb dort "per View" beworben wird. Dann w├╝rde n├Ąmlich der eine Abzocker den anderen beschei├čen und ich h├Ątte richtig was zu lachen. Zusammengetan hat sich da, was zusammen geh├Ârt. Und am sch├Ânsten ist f├╝r mich die ganz allgemein geltende Gewissheit, dass sich Betr├╝ger oft gegenseitig betr├╝gen. Das ist n├Ąmlich ganz einfach am leichtesten.  Aber dass mit dem Trojaner (der nicht mal mit meinem firefox unter Linux funktioniert) dass werde ich weiter ├╝berpr├╝fen. Und ich vermute, ich bin nicht der einzige der das sehr genau tun wird. Die Staatsanwaltschaft in Hamburg d├╝rfte das auch interessieren.


Update 1:

Der StA Hamburg wurde meine Strafanzeige wegen Datenver├Ąnderung (§303a StGB) und Aussp├Ąhung (§ 202 a StGB) ├╝bermittelt.

Update 2:

webmasterplan/affili.net ist informiert. Ich habe Anzeichen f├╝r sogenannten "Klickbetrug" gefunden:

Auf den in nur 1x1 Pixel gro├čen Iframes dargestellten Seiten finden sich Werbebanner und Z├Ąhlscripte von webmasterplan. Diese bieten auch "pay per view" als Bezahlmodell an. Es werden also definitiv "Views" abgerechnet, obwohl die Werbebanner gar nicht sichtbar werden.

Die Funktion im Schript hei├čt, und das macht alles klar: "createTraffic".

Das war es wohl mit der "ehrlichen Firma", hier ist zusammen, was zusammen geh├Ârt. (Euroweb und Advertiso GmbH).

Update 3:

Die Scripte und die beiden Trojaner auf Stream-TV.de wurden jetzt - wohl um eine drohende Sperrung der Seite zu vermeiden - entfernt. Ich hatte den Hoster "Hetzner" auf das Aussenden des Trojaners aufmerksam gemacht.

Falls der Marco Remmert von der Advertiso GmbH meint, er k├Ânne f├╝r diesen Bericht Rache nehmen und mich (wom├Âglich mit Hilfe des Euroweb-Anwaltes Philipp Berger) verklagen: Ich habe alles gesichert. Auch den Quelltext der Seiten mit denen er die Benutzer unter dem vors├Ątzlich falschen Vormachen, es handele sich um ein aktuelles Flash-Plugin, zum Download und zur Installation des Trojaners aufforderte und den Link anbot. Auch seine AGB ├╝brigens. Die belegen n├Ąmlich, dass er sehr genau wusste, was er da tat.

Das wird also ein ├╝bles Eigentor, denn mit dem Urteil tapeziere ich a) das Internet und b) seinen Kiez:
"Will der Herr Graf das T├Ąnzchen wagen, so mag er's mir sagen - ich spiel ihm auf!"

Kommentare:

Anonym hat gesagt…

Ich habs an Avira geschickt.

Bei Virustotal.com meldet es kein einziger als Virus. WTF????

. hat gesagt…

"Bei Virustotal.com meldet es kein einziger als Virus."

Noch. Nachdem ich es auf BadwareBusters.org gemeldet habe wird das jetzt schnell gehen. Zudem d├╝rften die Seiten der Advertiso GmbH aus dem Suchindex fliegen.

Symantec hat jetzt auch die Beschreibung der Wirkungsweise.

. hat gesagt…

Das Abuse-Team von Hetzner (betreibt den Server) ist informiert. Ich denke morgen vormittag ist der Dreck gesperrt.

Anonym hat gesagt…

http://stopbadware.org/reports/60720231738fa9010a8e23d8e21f8ea9

Bei Deinem Englisch gibts noch Optimierungspotential :-)

Es heisst "look" nicht "luck".

"He is the crime submitter" ist auch falsch, submitter (Anzeiger, ├ťberbringer) bist ja Du. Er (Marco Remmert) ist der "criminal" (der Verbrecher).

. hat gesagt…

Ja. War schon sp├Ąt gestern. Au├čerdem hatte ich in der Schule die F├Ącher russische (unter Zwang) und franz├Âsische (freiwillig) Sprache belegt, nicht jedoch englisch. Man musste sich halt zwischen Franz├Âsisch und Englisch entscheiden.

Ich habe heute auch den zweiten Trojaner (f├╝r Chrome, Chromium; gleiche Funktion) nachgemeldet. Hetzner hat die Funktionsbeschreibung bekommen.

Anonym hat gesagt…

(Es folgt Zynismus)

Neue Dienstanweisung bei der Euroweb:

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de. Es soll auch bei Euroweb-Kunden zur Leistungsverbesserung kostenlos auf den Rechnern installiert werden.

F├╝r diese kostenlose Dienstleistung werden dann vor Gericht nur 399 Euro als erbrachte Dienstleistung abgerechnet.

. hat gesagt…

Danke, Philipp Preu├č!

Durch das sicher m├╝hselige Auffinden dieses besonders geeigneten und ├╝berhaupt willigen Dienstleisters haben Sie mir viele hundert Leser beschert.

Das ist ja, als g├Ąbe es heute im deutschen Web gar keine andere Seite.

Problemb├Ąrdompteur hat gesagt…

Ganoven ziehts halt immer wieder zu Ganoven hin.

Anonym hat gesagt…

(Es folgt Zynismus)

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de.

Geht nicht. Die benutzen den Internet Explorer. Und f├╝r den gab es das Plug-In nicht.

Anonym hat gesagt…

Die benutzen den Internet Explorer. Und f├╝r den gab es das Plug-In nicht.

Na! Und ob! In der aktuellen Version 6....

Anonym hat gesagt…

"Anonym hat gesagt…

(Es folgt Zynismus)

Neue Dienstanweisung bei der Euroweb:

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de. Es soll auch bei Euroweb-Kunden zur Leistungsverbesserung kostenlos auf den Rechnern installiert werden.

F├╝r diese kostenlose Dienstleistung werden dann vor Gericht nur 399 Euro als erbrachte Dienstleistung abgerechnet."

Peanuts! Ernsthaft, warum sollten die sich mit Kleinkram abgeben, warum nicht gleich ein Betriebbsystem einkaufen / installieren / konfigurieren? Die Dienstleistung w├Ąre um einiges erfolgreicher. Allerdings l├Ąuft es bei der Euronepp dann wohl eher auf Obnox OS Niveau hinaus!^^

Siehe: http://www.youtube.com/watch?v=d3TXeh_t23o

Anonym hat gesagt…

http://www.cossacks2.de/

ne neue seite von Marco Remmert
bin mir aber nicht ganz sicher ob des auch wie bei steam.tv ist

Kommentar ver├Âffentlichen