Pewnwgo dnia otrzymałem korespondencję e-mail, w
której mój znajomy wskazał na ciekawy problem poruszony w
czasopiśmie CHIP.
(Później o tym problemie przeczytałem w PC Word Komputer 11/2000,
CHIP 6/2001.)
Szpiega znajduje programik AD aware.
Jeżeli nie możesz instalować programu np. w pracy, to zastosuj starszą wersję ,
która odpala z dyskietki 3/5.
Uwaga: link http://www.lavasoft.de/aaw/index.html
czasami nie działa!!!
* * *
Wysłano: 20 sierpnia 2000 19:20
Temat: INWIGILACJA ??? Po raz ostatni.
Być może szpieg -Aureate- kontroluje Twoje połączenia z
Internetem.
Sprawdź to!
Poniżej znajduje się lista programów o których
wiadomo że instalują konia trojańskiego o nazwie Aureate. Szpieg
Aureate kontroluje Twoje połączenia z Internetem i wysyła
sprawozdania do serwera Aureate za każdym razem kiedy otworzysz
okno swojej przeglądarki internetowej. Ten koń trojański nie jest
wykrywany przez żaden program antywirusowy. Jego działanie dotyczy
systemu Windows i na systemach Macintosh lub Linux nie jest jeszcze
rozpoznane. Szpieg Aureate składa się z poniższych plików, a w
Twoim systemie mogą być zainstalowane wszystkie lub tylko niektóre
z nich:
adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll
Program AntiSpy - sprawdza i usuwa powyższe
pliki szpiegowskie Aureate. Po uruchomieniu AntiSpy.exe i
kliknięciu na klawisz [Find Spys] program przeszuka twardy dysk i
zapyta czy usunąć pliki szpiegowskie. Po potwierdzeniu program
usunie pliki nie umieszczając ich w koszu. Firma Aureate w
odpowiedzi na mój list w sprawie ich programu-szpiega (patrz -z
ostatniej chwili-) wskazała mi swój program który usuwa szpiega z
systemu. Można go pobrać z ich strony http://www.radiate.com/privacy/remove.exe.
Na wszelki wypadek radzę sprawdzić swój komputer zarówno programem
AntiSpy jak i Remove. Ten ostatni czyści rejestr windows z
niepotrzebnych już wpisów (nie robi tego AntiSpy) ale usuwa tylko
niektóre z wymienionych wyżej plików DLL i EXE (dlaczego nie
wszystkie???). Natomiast AntiSpy wyszukuje i usuwa wszystkie pliki
programu-szpiega. AntiSpy jest autorstwa Coke2000, znanego w
Internecie hackera (rów). Rada dla nieufnych: można samemu wyszukać
i zrobić kopię wymienionych powyżej plików, a później ręcznie
usunąć je z systemu. Niektóre pliki trzeba usuwać spod DOS ponieważ
w Windows są aktywne i system odmawia ich usunięcia.
Tak dla uspokojenia: nie mylcie koni trojańskich ułatwiających
atak hakerski z trojanem-szpiegiem, który ma za zadanie zbierać
informacje o użytkowniku i przesyłać je do bazy.
Może się zdażyć (rzadko), że po usunięciu modułu szpiegowskiego
cały program przestanie działać. Jednak usunięcie szpiega na pewno
nie uszkodzi systemu Windows :-).
Czasami niektóre szpiegowskie moduły są tak oporne, że nie można
ich usunąć. Należy wówczas restartować komputer i na nowo zlecić
szukanie. Jeżeli nadal nie można ich usunąć to spróbuj pobrać starszą wersję ,
która jest bardziej brutalna od nowszej.
Na koniec uwaga: w internecie jest wiele stron oferujących
użyteczne programy, o których jednak tak naprawdę nikt nie słyszał.
Mają adresy łudząco podobne do tych uznanych. Ściągnięcie programu
np. antyszpiegowskiego grozi... zainstalowaniem u siebie szpiega
lub innego trojana. Stąd zalecana jest ostrozność w instalowaniu
wynalazków pobranych z internetu. Na końcu tej strony podałem
adresy witryn z dobrymi programami antyszpiegowskimi sprawdzonymi
przez redaktorów uznanych w Polsce czasopism komputerowych.
Poniżej przedstawiam opis działania niektórych plików
DLL których używa Aureate:
--- advert.dll ---
Tworzy ukryte okno za każdym razem gdy uruchomisz przeglądarkę.
Podczas połączenia z Internetem to okno tworzy i posyła 4 strony
informacji do serwera Aureate używając portu 1749 w Twoim systemie.
Te strony zawierają:
-
Twoje nazwisko (imię) spisane z rejestru systemu.
- Twój adres IP.
- Zwrotny DNS Twojego adresu który podaje im Twój kraj (obszar) i
ISP.
- Spis całego oprogramowania Twojego komputera pobrany z rejestru
systemu.
- Adresy URL wszystkich stron WWW i FTP na których jesteś, a w
tym:
- Kliknięcia w bannery
- Wszystkie -download- czyli ściągnięcia plików z uwzględnieniem
nazwy pliku, wielkości, daty, czasu i typu (image, zip, executable,
itd).
- Daty i czas wszystkich działań podczas używania
przeglądarki.
- Konfigurację połączenia DialUp.
- Hasło DialUp jeżeli jest zapisane w systemie. Jeżeli nie jest,
może być podejrzane w trakcie wprowadzania z klawiatury.
- w swoim kodzie zawiera notę programisty: -Show me the money!
I want to be Mike!-
--- advpack.dll ---
Używany tylko podczas instalacji dla potrzeb instalowanych
plików.
--- amcis.dll ---
Modyfikuje następujące klucze rejestru:
1. HKEY_CURRENT_CONFIG
2. HKEY_DYN_DATA
3. HKEY_PERFORMANCE_DATA
4. HKEY_USERS
5. HKEY_LOCAL_MACHINE
6. HKEY_CURRENT_USER
7. HKEY_CLASSES_ROOT
--- amcompat.tlb ---
Śledzi tytuły wszystkich multimediów które oglądasz
(video/obraz/dzwięk).
Zawiera odniesienia do DblClick.
--- amstream.dll ---
Setup dwukierunkowej łączności pomiędzy Twoim komputerem, a
serwerem Aureate.
Wysyła informacje i otrzymuje polecenia lub aktualizacje. Otwiera
port 1749 dla łączności.
Lista programów o których wiadomo, że instalują szpiega
Aureate:
123Search
3d Anarchy
3D-FTP
3rd block
Abe's FTP Client
Abe's Image Viewer
Abe's MP3 Finder
Abe's Picture Finder
Abe's SMB Client
Access Diver III
Acorn Email
AcqURL
ActionOutline Light 1.6
Active 'Net
Add URL
Add/Remove Plus!
Address Rover 98
Admiral VirusScanner
Advanced Call Center
Advanced Maillist Verify
AdWizard
Alive and Kicking
alphaScape QuickPaste
ASP1-A3
Auction Explorer
Aureate Group Mail
Aureate SpamKiller
AutoFTP PRO
AutoWeb
AxelCD
Beatle
Binary Boy
BinaryVortex
Blue Engine
BookSmith : Original
buddyPhone 2
Calypso E-mail
CamGrab
Capture Express 2000
Cascoly Screensaver
CDDB-Reader
CDMaster32
ChanStat
Charity Banner
Cheat Machine
Check4New
ChinMail
Clabra clipboard viewer
Classic Peg Solitaire
ComTry Music Downloader
Crystal FTP
CSE HTML Validator Lite
CuteFTP 3.0
CuteFTP 3.0
CuteFTP/Tripod
CuteMX
CutePage
Danzig Pref Engine
DateTime
Delphi Component Test
Delphi Tester
Dialer 2000
DigiBand NewsWatch
DigiCams - The WebCam Viewer
Digital Postman
DirectUpdate
DL-Mail Pro 2000
DNScape
Doorbell 1.18
Download Minder 1.5
Download Wonder
DownLoader v.1.1
Dwyco Video Conferencing
EasySeeker
EmmaSoft ChatCat
EmmaSoft dBrow
EmmaSoft KeepLan
EmmaSoft Soundz
EnvoyMail
EZ-Forms FREE
File Mag-Net
FileSplit
Folder Guard Jr.
FourTimes
Free Picture Harvester
Free Solitaire
Free Spades
Free Submitter Pro
FreeImageEditor
FreeIRC
FreeNotePad
FreeSite
FreeWebBrowser
FreeWebMail
FreeZip!
FTPEditor
GetRight
Go!Zilla
Go!Zilla WebAttack
GovernMail
Grafula
Gunther's PasswordSentry
HangWeb
hesci Private Label
HTML Translator
HTTP Proxy-Spy
Huey v1.8 Color Picker
Iban Technologies IP Tools 3.1
Idyle GimmIP
Idyle GimmIP
iFind Graphics
imageN
Infinite Patience
InfoBlast
InnovaClub
InstallZIP
Internet Tree
Internetrix
InterWebWord Companion
JetCar
JFK Research
jIRC
JOC Email Checker
JOC Web Finder
JOC Web Spider
KVT Diplom
LapLink FTP
LineSoft Download
LOL Chat
LOL Chat
Mail Them
Meracl FontMap
Meracl ImageMap Generator
Midnight Oil Solitaire
MirNik Internet Finder
More Space 99
MouseAssist
MP3 Album Finder
MP3 Fiend
MP3 Grouppie
MP3 Mag-Net
MP3 Renamer
Mp3 Stream Recorder
MP3INFO-Editor
MultiSender
Music Genie
MX Inspector BIG AD
My Genie Patriots
My Genie SE
My GetRight
NeatFTP
Net CB
Net Scan 2000
Net Vampire
Net-A-Car Feature Car Screensaver
NetAnts
NetBoard
Netbus Pro 2.10
NetCaptor 5.0
Netman Downloader
NetNak
NetSuck 3.10.5
NetTime Thingy
Network Assistant
NeuroStock
NewsBin
NewsShark
NewsWire
NfoNak
NotePads+
Notificator 1.0b
Octopus
Pattern Book
People Seek 98
Personal Search Agent
Photocopier
PicPluck
Pictures In News
Ping Thingy
PingMaster
Planet.Billboard
Planet.MP3Find
PMS
ProtectX 3
ProxyChecker
QuadSucker/Web
Quadzle Puzzles
QuikLink Autobot
QuikLink Explorer
QuikLink Explorer Gold Edition
QuoteWatch
QWallet
Real Estate Web Site Creator
Recipe Review
ReGet 1.6
Resume Detective
RingSurf
RoboCam 1.10
Rosemary's Weird Web World
SaberQuest Page Burner
SBJV
SBWcc
Scout's Game
ScreenFIRE
ScreenFIRE - FileKing
ScreenFlavors
Sea Battle
Shizzam
Simple Submit
SimpleFind
SimpleSubmit v1.0
SK-111
Smart 'n Sticky
SmartBoard 200 FREE Edition
SmartSum calculator
SonicMail
Sound Agent
Space Central Screen Saver
Splash! Siterave
StartDrive
Static FTP
StockBrowser
Subscriber
SunEdit 2K
SuperIDE
Sweep
SweepsWinner
Text Transmogrifier
The Mapper
TheNet
TI-FindMail
TIFNY
Total Finger
Total Whois
Tracking The Eye
Trade Site Creator
TWinExplorer Standard
TypeWriter 1.0
UK Phone Codes
Vagabond's Realm
VeriMP3
Vertigo QSearch
Virtual Access
Visual Cyberadio
Visual Surfer
VOG Backgammon Main
VOG Backgammon Table
VOG Chess Main
VOG Chess Table
VOG Reversi Main
VOG Reversi Table
VOG Shell
VOG Shell
VOG Shell History
W3Filer
Web Coupon
Web Page Authoring Software
Web Registrant PRO
Web Resume
Web SurfACE
WEB2SMS
WebCamVCR
WebCopier
Web-N-Force
WebSaver
Website Manager
WebStripper
WebType
WhoIs Thingy
Win A Lotto
WinEdit 2000
Word+
Wordwright
WorldChat Client
Worm
xBlock
Your ESP Test
Zion
Zip Express 2000
Oto odpowiedź na list wysłałany 25-03-2000 do firmy Aureate w
sprawie ich programu-szpiega.
Hello.
We provide advertising technology to software
companies. The advertising allows them to give their software away
to consumers for free, but still generate revenue. Our advertising
technology is used by programs like Go!Zilla, CuteFTP, GetRight,
Buddyphone, and over 300 others.
Your machine connects to our servers to update the ad data that
is used in these software applications when you are not connected
to the Internet. We ask our software partners to include an
explanation of this in their product's license agreement, which is
displayed during the installation process. If you know it was not
included, please let us know which product you installed, and we
will make sure the license agreement is updated to explain that
this will happen. The advertisements are stored on the PC and are
then displayed when you run the software application you have
installed that uses our advertising technology. Our DLL is loaded
when the browser is launched. When the DLL is loaded, we deliver
advertisements to your computer. Please be aware that we do NOT
send personally identifiable data unless knowingly and willingly
volunteered to us by you. We also do not search your registry or
monitor your web browsing. To continue to use the program you have
installed that uses our advertising technology, this connection to
our servers needs to take place. However, if you are no longer
using the software, you can download a file from our site that will
remove our technology from your system. Please go to:
http://www.radiate.com/privacy/remover.html
If you wish to manually remove our technology
from your system, you can do the following. First, delete all
instances of amcis.dll and advert.dll, this will cause any
connections between your system and our servers to stop.Please make
sure your browser, and any software that utilizes our advertising
technology, is not running when you delete these files. You can
delete the following registry keys:
HKEY_CLASSES_ROOT\Software\Aureate\
You may also delete the following directories:
amc
amcdl
Please keep in mind that if you have other programs on your
machine that use our technology, they may cease to function without
these files and registry keys. I hope this helps.
Thanks,
Jeremy
----
Jeremy J. Newton, VP Corporate Development
Radiate (formerly Aureate Media)
http://www.radiate.com/
1916 Old Middlefield Way
Mountain View, CA 94043
---
-----Original Message-----
From: Jerzy J
Sent: Friday, March 24, 2000 4:09 PM
To: euroinfo@aureate.com
Subject: Aureate SPY
What this is Aureate spy?
Files:
adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll
Tell me why Aureate SPY ???
|
