02.07.2012

Die Helfer der Euroweb und ein trojanisches "Flash-Addon"

Ich warne jeden davor, dieses zu Hause oder am Arbeitsplatz nachzumachen. Die Folgen sind für Laien nicht zu übersehen, schwere Beeinträchtigungen der eigenen Privatsphäre sind definitiv gegeben, prinzipiell halte ich aber auch Eingriffe z.B. in das Onlinebanking für möglich! Der Artikel zeigt auf wie wichtig es ist, Software immer von den Original-Quellen zu installieren.


Nachdem ich heute auf "anonyme" Blogger gestoßen bin, welche auf eine besonders perfide Weise Schleichwerbung für die Euroweb machen und auf eine noch perfidere Weise Kunden, die sich mittels Anwälten gegen die garstige Abzocke durch das Euroweb-Konklomerat  um Daniel Fratzscher, Philipp Berger, Christoph Preuß, Christian Stein & Co. erwehren wollen, genau davon durch bewusste Falschmeldungen und Enten abhalten wollen, habe ich mir diese "Experten und Eminenzen" von der
Advertiso GmbH
Kiebitzhof 1a
22089 Hamburg

mit dem Geschäftsführer Marco Remmert an der Spitze mal genauer angeschaut. Ich fand eine Verhaltensweise, die mir ein "Was für schmierige Typen!" einfach mal so heraus rutschen ließ. Bei dem, was ich fand ist das psychologisch ganz normal, ein "vollkommen kalt bleiben" wäre jedenfalls ungesund, denn man soll nicht jeden Dreck in sich rein fressen sondern auch mal kotzen. Art. 5 GG i.V. mit § 193 StGB schafft das Recht hierzu.

Einleitend ein paar Paragraphen des Strafgesetzbuches:

§ 202a StGB Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
 (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§ 202b StGB Abfangen von Daten
 Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.  

§ 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten
 (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
 (2) § 149 Abs. 2 und 3 gilt entsprechend.  

§ 303a StGB Datenveränderung (1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

Was ich fand:

auf stream-tv.de veröffentlicht die Advertiso GmbH des Marco Remmert scheinbar Filme und Dokumentationen. Ich sah nur solche, die vom ZDF veröffentlicht wurden:

Jeder Versuch sich einen solchen Film anzusehen, endet darin, dass man aufgefordert wird sich das aktuelle "Flash-Addon" herunterzuladen. Da sollte man sich wundern. Das habe ich auch getan. Mein Flash-Player ist nämlich - entgegen der Anzeige - aktuell:



und auf zdf.de kann ich auch ohne das angebliche "Flash-Addon" Filme ansehen...

Also habe ich eine Mini-Installation von Xubuntu gestartet und das Gast-Konto benutzt.  Was man darin auch ändert - nach dem Neustart ist das alles "perdu". Zum Glück, wie sich gleich herausstellt. Installiert werden soll nämlich das hier:
 

vergrößert:


Den aktuellem Flash-Player mit dem aktuellen Flash-Plugin gibt es bei Adobe.com, hat man Linux auch in den Repos der Distribution. Woanders sollte man das nicht herunterladen. Warum werden wir gleich sehen.

Warnung! Das "Flash-Addon" der Hamburger Advertiso GmbH des Marcus Renner ist ein Trojaner!
"Als Trojanisches Pferd (englisch Trojan Horse), im EDV-Jargon auch kurz Trojaner genannt, bezeichnet man ein Computerprogramm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt." (Wikipedia)
Welcher der oben genannten Paragraphen auf die Tätigkeit des Marco Remmert von der Advertiso GmbH anzuwenden ist mag ich nicht entscheiden, aber ein Trojaner ist es, was der feine und saubere Hamburger da als "Flash-Addon" anbietet. Geschrieben hat er das Ding übrigens nicht. Zusammenkopiert vielleicht. Und zum Glück funktioniert der Dreck auch nicht. Leider gilt das nur unter Linux. Unter Windows geht der Dreckstrojaner schon, wie ich im zweiten Durchgang feststellen musste.

Vom Verdacht zur Gewissheit
 
Der Verdacht, dass es sich bei dem angeblichen "Flash-Addon" um einen Trojaner handelt wurde nahezu zur Gewissheit als ich die Seite nach der Installation ein zweites mal aufrief:

Aha. Da hat sich nichts verändert. Sollte der Film jetzt nicht angezeigt werden? Auf www.zdf.de brauchte ich auch gar nicht installieren und könnte den Beitrag sehen. Wenn er nicht schon so alt wäre... andere aber kann ich ansehen. Das habe ich schon erwähnt.

Der Trojaner-Verdacht wird zur Gewissheit, wenn man sich im Quelltext ansieht, was das "Flash-Addon" wirklich leistet:

Quelltext 1

Quelltext 2

Quelltext 3

Quelltext 4

Quelltext 5

Letztendlich läuft es darauf hinaus, dass Webseiten im Browser verändert dargestellt werden, teilweise werden Filme bei You-Tube überschrieben - und etwas ganz anderes angezeigt - und immer wieder landet man bei: "startseite-suche.de". Wem gehört diese Seite?


Ja. Richtig. Marco Remmert von der Advertiso GmbH, der die betrogenen Kunden der Euroweb gleich nochmal anlügt.

Das trifft dann auch auf die anderen, im Quelltext 2 genannten Domains, zu denen künstlicher Traffic erzeugt wird, zu.

Unter Windows kreuzgefährlich!

Anders als unter Linux funktioniert der Trojaner unter Windows:


Bei Aufruf jeder Google Suche  werden die Informationen zur Advertiso GmbH gesendet. Der Trojaner (das angebliche "Flash-Addon") baut in die von Google gelieferte Seite einen Kasten ein, hier der mit der Werbung für "Die besten Singebörsen und Chats im Überblick". Klickt man darauf findet eine Orgie statt, eine "Popup-Orgie" mit Schweinekram und (ungültigen!) Seiten von O2.



Das sind eigentlich sogar per HTTPS- Protokoll gesicherte Seiten, die erst nach der Übertragung durch die Javascripte des angeblichen Flash-Addons verändert werden! Ähnliches könnte genau so auch mit Homebanking-Seiten gemacht werden oder mit jeder anderen Seiten auf der Sie vertrauliche Inforationen übermitteln. Wichtig ist zu wissen, dass der Trojaner live Daten und Updates von den Webservern der Advertiso GmbH bezieht, sich dessen Verhalten also binnen Sekunden ändern - und er damit auch weit Übleres anrichten kann. Mit dem Trojaner auf der Platte ist Ihr Browser und Ihr Betriebssystem nicht mehr vertrauenswürdig:


 
Ich spiele gerade das vorher angelegte Image (eine binäre Kopie der Partition)  zurück um sicher zu sein, dass nicht noch mehr Dreckskram mein System verseucht. Erweislich werden hier  Informationen abgegriffen, die nicht für die Advertiso GmbH des Marco Remmert bestimmt waren und erweislich werden also Daten geändert. Eine Zustimmung hierzu erfolgte nicht, und wurde auch nicht abgefragt! Strafbares Handeln liegt also schon mal vor und der Geschäftsführer Marco Remmert ist verantwortlich. 

Sollte Ihr System verseucht sein, dann können Sie gegen Herrn Remmert und die Advertiso GmbH Schadensersatzansprüche geltend machen und sich die Kosten für die Wiederherstellung Ihres Systems zahlen lassen, denn dieser hat Sie durch falsches, arglistiges Vormachen betrogen und zu der Installation des Trojaners verführt in dem er vorätzlich unwahr vormachte, es handele sich um eine aktuelle Version der Standardsoftware "Flash" und Sie höchst böswillig nicht über die Folgen der Installation aufgeklärt! Ob Ihr System verseucht ist finden Sie heraus in dem Sie unter der URL "about:addons" nachsehen ob der Trojaner installiert ist. Oder in dem Sie Ihr System durch einen Fachmann überprüfen lassen. In wenigen Tagen sollte Ihr Virenscanner sein Werk tun und den Trojaner melden.

Das angebliche "Flash-Addon" habe ich inzwischen bei Symantec eingereicht.


und bei anderen interessierten Diensten:





Verletzt sind wohl außerdem Marken und Rechte des ZDF, der Google Inc. und von Adobe. Deren Anwälte werden sich wohl freuen wie die Schneekönige und sich den Marco Remmert von der Advertiso GmbH "mal richtig zur Brust nehmen". Er kann ja die 30 Silberlinge gegenrechnen, die er für die Euroweb-Lügengeschichten bekommen hat und sich freuen, dass ich genau deswegen auf sein trojanisches und deshalb strafbares "flash-addon" aufmerkam wurde. Ob die Euroweb dem Marco Remmert den "Schaden" zahlt? Absehbar war meine Reaktion und ich werde das Verhalten eines jeden, den ich dabei erwische, dass er für die Euroweb wirbt und also lügt, in ähnlicher Weise untersuchen. Und vermutlich werde ich auch bei jedem fündig. Denn ich gehe davon aus, dass der Verstand eines jeden, der sowas macht, auch an anderer Stelle gehörig aussetzt!

Und was noch?

Der Trojaner erzeugt künstlichen, praktisch unsichtbaren Traffic. Da werden, soweit ich das jetzt übersehe, Webseiten in einem Iframe angezeigt. Größe 1 Pixel mal 1 Pixel. Also praktisch unsichtbar. Da wird sich doch auf diesen "Webseiten" nicht etwa Werbung befinden, welche "per view" abgerechnet wird? Sollte das zutreffen, dann läge Betrug vor, weil diejenigen Kunden der Advertiso GmbH, die auf diesen Seiten werben, dann für "Views" zahlen, bei denen gar nichts zu sehen ist! Und ja, das wäre Betrug im Sinne des § 263 StGB. Beweis: Bild "Quelltext 2", oben.


Fazit:

Ganz ehrlich, ich wünsche mir, dass auch die Euroweb dort "per View" beworben wird. Dann würde nämlich der eine Abzocker den anderen bescheißen und ich hätte richtig was zu lachen. Zusammengetan hat sich da, was zusammen gehört. Und am schönsten ist für mich die ganz allgemein geltende Gewissheit, dass sich Betrüger oft gegenseitig betrügen. Das ist nämlich ganz einfach am leichtesten.  Aber dass mit dem Trojaner (der nicht mal mit meinem firefox unter Linux funktioniert) dass werde ich weiter überprüfen. Und ich vermute, ich bin nicht der einzige der das sehr genau tun wird. Die Staatsanwaltschaft in Hamburg dürfte das auch interessieren.


Update 1:

Der StA Hamburg wurde meine Strafanzeige wegen Datenveränderung (§303a StGB) und Ausspähung (§ 202 a StGB) übermittelt.

Update 2:

webmasterplan/affili.net ist informiert. Ich habe Anzeichen für sogenannten "Klickbetrug" gefunden:

Auf den in nur 1x1 Pixel großen Iframes dargestellten Seiten finden sich Werbebanner und Zählscripte von webmasterplan. Diese bieten auch "pay per view" als Bezahlmodell an. Es werden also definitiv "Views" abgerechnet, obwohl die Werbebanner gar nicht sichtbar werden.

Die Funktion im Schript heißt, und das macht alles klar: "createTraffic".

Das war es wohl mit der "ehrlichen Firma", hier ist zusammen, was zusammen gehört. (Euroweb und Advertiso GmbH).

Update 3:

Die Scripte und die beiden Trojaner auf Stream-TV.de wurden jetzt - wohl um eine drohende Sperrung der Seite zu vermeiden - entfernt. Ich hatte den Hoster "Hetzner" auf das Aussenden des Trojaners aufmerksam gemacht.

Falls der Marco Remmert von der Advertiso GmbH meint, er könne für diesen Bericht Rache nehmen und mich (womöglich mit Hilfe des Euroweb-Anwaltes Philipp Berger) verklagen: Ich habe alles gesichert. Auch den Quelltext der Seiten mit denen er die Benutzer unter dem vorsätzlich falschen Vormachen, es handele sich um ein aktuelles Flash-Plugin, zum Download und zur Installation des Trojaners aufforderte und den Link anbot. Auch seine AGB übrigens. Die belegen nämlich, dass er sehr genau wusste, was er da tat.

Das wird also ein übles Eigentor, denn mit dem Urteil tapeziere ich a) das Internet und b) seinen Kiez:
"Will der Herr Graf das Tänzchen wagen, so mag er's mir sagen - ich spiel ihm auf!"

12 Kommentare:

Anonym hat gesagt…

Ich habs an Avira geschickt.

Bei Virustotal.com meldet es kein einziger als Virus. WTF????

. hat gesagt…

"Bei Virustotal.com meldet es kein einziger als Virus."

Noch. Nachdem ich es auf BadwareBusters.org gemeldet habe wird das jetzt schnell gehen. Zudem dürften die Seiten der Advertiso GmbH aus dem Suchindex fliegen.

Symantec hat jetzt auch die Beschreibung der Wirkungsweise.

. hat gesagt…

Das Abuse-Team von Hetzner (betreibt den Server) ist informiert. Ich denke morgen vormittag ist der Dreck gesperrt.

Anonym hat gesagt…

http://stopbadware.org/reports/60720231738fa9010a8e23d8e21f8ea9

Bei Deinem Englisch gibts noch Optimierungspotential :-)

Es heisst "look" nicht "luck".

"He is the crime submitter" ist auch falsch, submitter (Anzeiger, Überbringer) bist ja Du. Er (Marco Remmert) ist der "criminal" (der Verbrecher).

. hat gesagt…

Ja. War schon spät gestern. Außerdem hatte ich in der Schule die Fächer russische (unter Zwang) und französische (freiwillig) Sprache belegt, nicht jedoch englisch. Man musste sich halt zwischen Französisch und Englisch entscheiden.

Ich habe heute auch den zweiten Trojaner (für Chrome, Chromium; gleiche Funktion) nachgemeldet. Hetzner hat die Funktionsbeschreibung bekommen.

Anonym hat gesagt…

(Es folgt Zynismus)

Neue Dienstanweisung bei der Euroweb:

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de. Es soll auch bei Euroweb-Kunden zur Leistungsverbesserung kostenlos auf den Rechnern installiert werden.

Für diese kostenlose Dienstleistung werden dann vor Gericht nur 399 Euro als erbrachte Dienstleistung abgerechnet.

. hat gesagt…

Danke, Philipp Preuß!

Durch das sicher mühselige Auffinden dieses besonders geeigneten und überhaupt willigen Dienstleisters haben Sie mir viele hundert Leser beschert.

Das ist ja, als gäbe es heute im deutschen Web gar keine andere Seite.

Problembärdompteur hat gesagt…

Ganoven ziehts halt immer wieder zu Ganoven hin.

Anonym hat gesagt…

(Es folgt Zynismus)

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de.

Geht nicht. Die benutzen den Internet Explorer. Und für den gab es das Plug-In nicht.

Anonym hat gesagt…

Die benutzen den Internet Explorer. Und für den gab es das Plug-In nicht.

Na! Und ob! In der aktuellen Version 6....

Anonym hat gesagt…

"Anonym hat gesagt…

(Es folgt Zynismus)

Neue Dienstanweisung bei der Euroweb:

Das Flash-Addon von Stream-TV.de wird Euroweb-Standardsoftware zum Ansehen der Filme auf ZDF.de. Es soll auch bei Euroweb-Kunden zur Leistungsverbesserung kostenlos auf den Rechnern installiert werden.

Für diese kostenlose Dienstleistung werden dann vor Gericht nur 399 Euro als erbrachte Dienstleistung abgerechnet."

Peanuts! Ernsthaft, warum sollten die sich mit Kleinkram abgeben, warum nicht gleich ein Betriebbsystem einkaufen / installieren / konfigurieren? Die Dienstleistung wäre um einiges erfolgreicher. Allerdings läuft es bei der Euronepp dann wohl eher auf Obnox OS Niveau hinaus!^^

Siehe: http://www.youtube.com/watch?v=d3TXeh_t23o

Anonym hat gesagt…

http://www.cossacks2.de/

ne neue seite von Marco Remmert
bin mir aber nicht ganz sicher ob des auch wie bei steam.tv ist

Kommentar veröffentlichen