News

Domain-Engel: Der trojanische Helfer

Dialer-König Mario Dolzer macht wieder von sich reden: Als "Domain-Engel" will er herrenlose Websites retten. Mit fragwürdigen Methoden.

18.01.2006, 14:12 Uhr
Datenübertragung© envfx / Fotolia.com

Dialer-König Mario Dolzer begibt sich unter die Wohltäter: Als "Domain-Engel" gibt er vor, herrenlose Netzadressen vor Missbrauch schützen zu wollen. Seine Methode ist allerdings ganz die alte -- und nicht gerade engelsgleich.
Dialer-King mit Flügelchen
Als Philipp Nordmeyer seine Domain "wahn-der-gedanken.de" aufruft, trifft ihn der Schlag. Wo er sein Blog erwartete, findet er jetzt eine Nachricht des "Domain-Engels". Der himmlische Glücksbote freut sich, die beim Wechsel des Hosters irrtümlich frei gewordene Domain vor unbefugtem Zugriff durch Dritte gerettet zu haben. Hinter der "Rettungsaktion" steckt eine alter Bekannter: Mario Dolzer.
Doch wie kam der Domain-Engel so schnell an die frei gewordene Adresse? Auf der Website bietet Dolzer dafür ein "Sozial-Tool" zum Download an. Wer dem Domain-Engel bei seiner karitativen Arbeit helfen will, soll das Programm "help.exe" (auf der Website zunächst "k.exe", später "k2.exe" genannt) herunterladen und installieren. Wir erinnern uns: Dolzer hat in der Vergangenheit ein Programm namens "k.exe" über zahlreiche seiner Dialer-Seiten verbreitet. Das kleine Tool nistete sich in Windowssystemen ein und fragte zahlreiche Domains bei verschiedenen Whois-Servern ab. Handelt es sich bei Dolzers neuer Sozial-Software also auch um die berüchtigte "k.exe", die vom Virenschutzhersteller AntiVir als Trojaner eingestuft wurde?
Neues Kleidchen
Die Antivirus-Experten von ESET haben das Tool für den DSL-Vergleichsdienst onlinekosten.de analysiert. Offenbar sind verschiedene Versionen des Programms im Umlauf, die sich in Lizenztext und Lizenznehmer unterscheiden und daher auch in ihren Dateigrößen etwas voneinander abweichen. Nach der Analyse der Virenexperten ist jedoch die Funktionsweise des neuen Tools die gleiche. Das gibt Dolzer auch unumwunden zu: "Das Programm überwacht eine Vielzahl von Domains, in dem es prüft, ob diese Domains noch registriert sind. Wird eine der überwachten Domains frei, wird diese sofort auf unseren Namen registriert."
Trotzdem bestreitet Dolzer, dass es sich bei dem angeblich neuen Tool um die "k.exe" handelt. Tatsächlich besteht ein Unterschied zwischen "k.exe" und "help.exe", auch wenn beide Programme ähnliche Aufgaben erfüllen. Die Analyse der ESET-Spezialisten ergab, dass Programmcode und Funktion von "help.exe" und Vorgänger "k2.exe" identisch sind. Michael Neitzel, Senior Virus Researcher bei ESET, erklärt die Funktionsweise der Software so: "Das Programm kontaktiert ständig 13 Server, die allesamt auf die Firma Universal Boards GmbH & Co. KG registriert sind." Deren Geschäftsführer heißt Mario Dolzer.
Verschlüsselte Informationen
Nach Erkenntnis der Experten lädt das Programm bei jedem Serverkontakt eine verschlüsselte Datei, die eine Vielzahl von Domainnamen enthält. Die Spezialisten von ESET konnten die Datei für onlinekosten.de entschlüsseln. Sie enthält Informationen, wann eine Adresse zuletzt abgerufen wurde und ein festes Datum, an dem der jeweilige Rechner die Domain wieder abfragen soll. Mit den empfangenen Domain-Namen werden Abfragen zu 26 Whois-Servern gestartet, um den Status der Domains zu überprüfen.
Zusammen mit den periodischen Downloads verursachte das Verfahren in einem Testnetzwerk mit 25 Rechnern etwa ein Megabyte Datenverkehr pro Stunde und Client. Nach Ansicht der Experten stellt das eine hohe Belastung dar, die kleine Netze lahm legen könne. Hinzu kommt, dass der Nutzer das Programm nicht selbst stoppen kann. Bei einem volumenbegrenzten Internetzugang kann die "Domain-Hilfe" also schnell zum teuren Vergnügen werden.
Surf-Protokoll
Darüber hinaus zeigte die Analyse, dass das Tool auf dem jeweiligen Wirtsrechner aufgerufene Domains protokolliert und diese an Dolzers Server sendet. Die Anzahl der überwachten Domains nimmt so immer weiter zu: unsere Experten stellten fest, dass auf jedem der 25 Testrechner eine andere Domainliste lag. Unter anderem enthalten diese Listen renommierte Websites wie "rtl.de", auch "onlinekosten.de" hält der Domain-Engel offenbar für eine attraktive Adresse.
Soweit macht Dolzers Tool nicht mehr, als er auf seiner Website vorgibt. Dennoch halten die Sicherheitsspezialisten bei ESET Dolzers Spielzeug für "hochgradig gefährlich". Die offizielle Bezeichnung der Virenschützer für das "Sozial-Tool": "W32/Domangle trojan".
Das liegt an den anderen Aktivitäten der Anwendung, die sie zu einem potenziellen Sicherheitsrisiko machen. Das Tool öffnet einen bestimmten TCP/IP-Port auf den Wirtsrechnern und macht den Computer so anfällig für Angriffe von außen. "Das Programm beinhaltet ein erhebliches Sicherheitsrisiko", erklärt Neitzel, "denn die Öffnung erfolgt ungeschützt und ohne Authentifizierung. Dadurch entsteht eine Hintertür, durch die ein freier Zugriff auf das System möglich wird."
Geheimes Hintertürchen
ESET vermutet, dass sich die Software mit dieser Funktion im Peer-to-Peer-Verfahren selbst updaten kann: Die verschiedenen Versionen der "k.exe" kommunizieren untereinander und versorgen sich gegenseitig mit frischem Code. Praktisch: Die Kosten für den Datenverkehr tragen so die Besitzer der befallenen Systeme. Faktisch macht gerade diese Funktion die "help.exe" zu einem Schädling, über den jedermann Zugriff auf das Computersystem erlangen kann.
Zwar kann sich das Programm anders als ein Wurm nicht selbständig weiter verbreiten, es bietet aber jedem halbwegs begabten Telnet-User ein offenes Scheunentor, über das er Viren oder andere Malware auf fremde Systeme einschleusen kann. Statt also unentgeltlich bei einer guten Tat zu helfen, holen sich ahnungslose Helfer des Domain-Engels ein kapitales Sicherheitsloch ins Haus.
Faire Chance?
Dennoch führt Dolzer weiter ehrenhafte Motive ins Feld: Den Schutz vor Domain-Grabbern. "So geben wir dem materiell Berechtigten eine Chance, seine Domain schnell und unbürokratisch zurück zu erhalten." Diese Chance wollte auch Philipp Nordmeyer nutzen. Doch ganz so einfach war das nicht: "Nach mehrmaligem, elektronischem Beten zum Domain-Engel gab er jedoch meine Domain immer noch nicht frei, ich blieb ihm den ausschlaggebenden Nachweis schuldig", so Nordmeyer gegenüber onlinekosten.de.
Schließlich reicht dem pflichtbewussten Wohltäter nicht nur der bloße Vorbesitz einer Domain, um die "materielle Berechtigtigung" nachzuweisen. Immerhin könnte der Anspruch von einem Domain-Grabber angemeldet werden, der zufällig an die Adresse gekommen sei.
"Materielle Berechtigung"
"Ein materiell Berechtigter wird seine Rechte jederzeit nachweisen können, sei es durch Vorlage seines Ausweises, des Handels- oder Vereinsregisternachweises, durch eine Markenanmeldung oder durch sonstige Unterlagen, aus denen sich seine Verkehrsbekanntheit ergibt", erklärt der Domain-Engel. Doch waren die meisten der "geretteten" Adressen in privater Hand, ein solcher Nachweis dürfte da schwer fallen - wie bei Nordmeyer.
Denn wer nicht gerade den eigenen Nachnamen als Adresse für seinen privaten Webauftritt gewählt oder eine gleichnamige Firma oder einen Verein gegründet hat, von dem verlangt der Domain-Engel zum Beispiel eine Markeneintragung beim Deutschen Patent- und Markenamt. Das kostet einen Haufen Geld: mindestens 300 Euro werden allein für eine nationale Markenanmeldung fällig.
Mario will Geld
Das Geld nimmt aber auch Mario Dolzer gerne. Der selbstlose Engel erklärte gegenüber Nordmeyer: "Normalerweise verkaufen wir solche Domains für 300 bis 500 Euro." Doch gibt sich Dolzer kulant: "Da bei Ihnen wohl ein Fehler passierte, biete ich Ihnen die Domain für 190 Euro netto an". Nordmeyer verzichtete bislang auf den Rückkauf.

(Aleksandra Leon)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang