DarkMatterAds Teil 2 – Werbeanbieter mit eigenem Trojaner und minderjährigem Betreiber

9. August 2012 | 2 Kommentare

Nach meinem letzten Artikel über DarkMatterAds ist einiges passiert. Es stellte sich nicht nur heraus, dass der Betreiber Maximilian König erst 12 Jahre alt ist – nein, dieses Werbenetzwerk hat sogar einen eigenen Trojaner.
Dazu wurde mein Filehoster mit mehr als 35.000 Spam-Dateien attackiert.  Meine Antwort auf diese Aktionen waren zwei Strafanzeigen.

Obwohl ich DarkMatterAds bereits zwei Möglichkeiten gegeben hatte, gab ich dem Netzwerk nochmal eine Chance. Diesmal testete ich die Layer.
Schon nach drei Tagen war es vorbei mit der groß angekündigten Vollauslastung. Die Vergütung war zwar gut, dafür wurden aber nur ca. 20 bis 25 % aller Layer gewertet.
Zudem wurde erneut versucht, den Besuchern der Webseite einen Schädling unterzuschieben. Für mich war damit dieser Anbieter endgültig erledigt.

Am 07.05.2012 wurden 3125 verdächtige Dateien bei meinem Filehoster hochgeladen. Dabei handelte es sich immer um die selbe Exe-Datei.
Anhand der IP-Adresse konnte der Server von DarkMatterAds als Ausgangspunkt der Uploads identifiziert werden.
Zur Überprüfung schickte ich eine dieser Dateien  an Avira, dem Hersteller einer Antivirensoftware. Die Antwort kam schnell, bei der betreffenden Datei handelte es sich um einen Trojaner: TR/Dldr.DarkMatter.A
Hier der Beweis. Für eine größere Ansicht bitte auf das Bild klicken.

Da das Verbreiten von Trojanern eine kriminelle Handlung ist, stellte ich sofort Strafanzeige und zeitgleich schickte ich Herrn König eine Rechnung wegen der Entfernung seiner Trojaner.

Doch damit war die Sache noch lange nicht vorbei. Anscheinend fühlte sich er durch mein Schreiben dazu aufgefordert, eine weitere Angriffswelle zu starten.
Am 14. und 15. Mai 2012 wurde mein Filehoster erneut massiv attackiert. Diesmal durch das Hochladen von ca. 35.000 nutzlosen Spamdateien und über diverse Proxies.

Teilweise konnte (oder besser: musste) ich diese Attacken live mit erleben. Deshalb griff ich am Morgen des 15. Mai zum Telefon und forderte den Verursacher auf, die Angriffe zu stoppen (okay zugegeben: ich habe auch etwas gedroht…). Er legte kommentarlos auf.

Mein nächster Anruf galt der zuständigen Polizeibehörde. Dort wurde mir geraten, eine weitere Anzeige zu stellen. Das habe ich getan und natürlich gab es auch eine zweite Rechnung über die Entfernung der unzähligen Dateien.

Mitte Juli wurde ich dann zur Zeugenaussage bei der Polizei vorgeladen. Hier traf mich fast der Schlag, als der Beamte sagte, dass der Beschuldigte erst 12 Jahre alt ist.
Ich erinnerte mich daran, dass Maximilian K. bei Cash4Webmaster mal seinen Personalausweis veröffentlicht hatte. Wie mittlerweile bekannt ist, handelte es sich dabei um eine Fälschung.

Bereits Ende Juni verschwand die Seite DarkMatterAds aus dem Netz. Doch das Treiben dieses Jungen ist damit nicht beendet.
Sein neues Projekt MultiAdServ basiert auf dem gleichen Prinzip und sollte ebenfalls gemieden werden. Der 12jährige Besitzer ist nicht geschäftsfähig und dürfte allein schon deswegen kein kommerzielles Netzwerk betreiben.

Hierüber werde ich in meinem nächsten Beitrag ausführlicher berichten.