Hallo Leute,
gestern ist auf meinem notebook netscape abgestürzt (win95), sodaß der rechner blockiert war. Beim affengriff meldete windoof, dass ein task namens „frohe weihnachten“ nicht mehr reagiert.
Ich habe soein programm aber nie und nimmer wissentlich gestartet.
Allerdings finden weder dr. solomons noch der neueste mc afee etwas auf dem rechner.
Habe ich nun ein echtes problem (trojaner, wirus etc?) oder nur ein kleines problem (irgendwas hat sich ohne mein wissen nicht ganz sauber installiert?)
advert.dll ein Trojaner?
Liebe Leute,
die sache hat mir keine ruhe gelassen. Nach einer längeren suche im inet
bin ich auf folgende seite gestoßen: http://pub2.ezboard.com/fcosmoconindustri…
Anscheinend werden mithilfe der advert.dll der firma auereate nicht nur
werbebanner eingeblendet (dadurch finanziert sich so manche freeware)
sondern auch zusätzliche information über den user an aureate gesendet.
Angeblich port 1975.
(Kleiner blick in die registry: find: aureate)
Mir ist noch nicht klar, welche information zusätzlich zu der werbung
übertragen wird, allerdings war bei mir die advert.dll zu einem zeitpunkt
aktiv, an dem keines der unten genannten freeware tools installiert war.
Andere user in dem oben genannten brett berichten über seltsame
koinzidenzen (portscan nach deaktivierung von advert.dll und gezielte
werbung, die eigentlich nicht hätte kommen dürfen)
Vorderhand habe ich bei mir die dll advert.dll umbenannt und damit
deaktiviert, bis klar ist, ob lediglich werbung oder aber zusätliche
information übertragen wird.
Nur: Wieso verursachte advert.dll
eine Schutzverletzung mit „Frohen Weihnachten“???
(Gibt es unter euch einen profi, der sich der sache annehmen kann?
Einfach eines der unten aufgelisteten tools in einem sandkasten
installieren - bei mir was freezip - und schauen, welche infos da übers
netz rollen. Kennt jemand nen kostenlosen firewall? Ich habe die
schnautze nämlich voll…)
Grüße Robert
Lesenswert in diesem zusammenhang: http://www.surf.to/bavariantom
einfach zu phonehome klicken, sehen, staunen und deinstallieren.
PS: Ich habe den Text nach weiteren
recherchen leicht verändert. Es besteht
nach meinem jetztigen Kenntnisstand ebenfalls die möglichkeit, dass ein anderes Programm die advert.dll mißbraucht hat.
Betroffene freewareprogramme:
[quelle: ezboard.com]
123Search
3d Anarchy
3D-FTP
3rd block
Abe’s FTP Client
Abe’s Image Viewer
Abe’s MP3 Finder
Abe’s Picture Finder
Abe’s SMB Client
Access Diver III
Acorn Email
AcqURL
ActionOutline Light 1.6
Active 'Net
Add URL
Add/Remove Plus!
Address Rover 98
Admiral VirusScanner
Advanced Call Center
Advanced Maillist Verify
AdWizard
Alive and Kicking
alphaScape QuickPaste
ASP1-A3
Auction Explorer
Aureate Group Mail
Aureate SpamKiller
AutoFTP PRO
AutoWeb
AxelCD
Beatle
Binary Boy
BinaryVortex
Blue Engine
BookSmith : Original
buddyPhone 2
Calypso E-mail
CamGrab
Capture Express 2000
Cascoly Screensaver
CDDB-Reader
CDMaster32
ChanStat
Charity Banner
Cheat Machine
Check4New
ChinMail
Clabra clipboard viewer
Classic Peg Solitaire
ComTry Music Downloader
Crystal FTP
CSE HTML Validator Lite
CuteFTP 3.0
CuteFTP 3.0
CuteFTP/Tripod
CuteMX
CutePage
Danzig Pref Engine
DateTime
Delphi Component Test
Delphi Tester
Dialer 2000
DigiBand NewsWatch
DigiCams - The WebCam Viewer
Digital Postman
DirectUpdate
DL-Mail Pro 2000v
DNScape
Doorbell 1.18
Download Minder 1.5
Download Wonder
DownLoader v.1.1
Dwyco Video Conferencing
EasySeeker
EmmaSoft ChatCat
EmmaSoft dBrow
EmmaSoft KeepLan
EmmaSoft Soundz
EnvoyMail
EZ-Forms FREE
File Mag-Net
FileSplit
Folder Guard Jr.
FourTimes
Free Picture Harvester
Free Solitaire
Free Spades
Free Submitter Pro
FreeImageEditor
FreeIRC
FreeNotePad
FreeSite
FreeWebBrowser
FreeWebMail
FreeZip!
FTPEditor
GetRight
Go!Zilla
Go!Zilla WebAttack
GovernMail
Grafula
Gunther’s PasswordSentry
HangWeb
hesci Private Label
HTML Translator
HTTP Proxy-Spy
Huey v1.8 Color Picker
Iban Technologies IP Tools 3.1
Idyle GimmIP
Idyle GimmIP
iFind Graphics
imageN
Infinite Patience
InfoBlast
InnovaClub
InstallZIP
Internet Tree
Internetrix
InterWebWord Companion
JetCar
JFK Research
jIRC
JOC Email Checker
JOC Web Finder
JOC Web Spider
KVT Diplom
apLink FTP
LineSoft Download
LOL Chat
LOL Chat
Mail Them
Meracl FontMap
Meracl ImageMap Generator
Midnight Oil Solitaire
MirNik Internet Finder
More Space 99
MouseAssist
MP3 Album Finder
MP3 Fiend
MP3 Grouppie
MP3 Mag-Net
MP3 Renamer
Mp3 Stream Recorder
MP3INFO-Editor
MultiSender
Music Genie
MX Inspector BIG AD
My Genie Patriots
My Genie SE
My GetRight
NeatFTP
Net CB
Net Scan 2000
Net Vampire
Net-A-Car Feature Car Screensaver
NetAnts
NetBoard
Netbus Pro 2.10
NetCaptor 5.0
Netman Downloader
NetNak
NetSuck 3.10.5
NetTime Thingy
Network Assistant
NeuroStock
NewsBin
NewsShark
NewsWire
NfoNak
NotePads+
Notificator 1.0b
Octopus
Pattern Book
People Seek 98
Personal Search Agent
Photocopier
PicPluck
Pictures In News
Ping Thingy
PingMaster
Planet.Billboard
Planet.MP3Find
PMS
ProtectX 3
ProxyChecker
QuadSucker/Web
Quadzle Puzzles
QuikLink Autobot
QuikLink Explorer
QuikLink Explorer Gold Edition
QuoteWatch
QWallet
Real Estate Web Site Creator
Recipe Review
ReGet 1.6
Resume Detective
RingSurf
RoboCam 1.10
Rosemary’s Weird Web World
SaberQuest Page Burner
SBJV
SBWcc
Scout’s Game
ScreenFIRE
ScreenFIRE - FileKing
ScreenFlavors
Sea Battle
Shizzam
Simple Submit
SimpleFind
SimpleSubmit v1.0
SK-111
Smart 'n Sticky
SmartBoard 200 FREE Edition
SmartSum calculator
SonicMail
Sound Agent
Space Central Screen Saver
Splash! Siterave
StartDrive
Static FTP
StockBrowser
Subscriber
SunEdit 2K
SuperIDE
Sweep
SweepsWinner
Text Transmogrifier
The Mapper
TheNet
TI-FindMail
TIFNY
Total Finger
Total Whois
Tracking The Eye
Trade Site Creator
TWinExplorer Standard
TypeWriter 1.0
UK Phone Codes
Vagabond’s Realm
VeriMP3
Vertigo QSearch
Virtual Access
Visual Cyberadio
Visual Surfer
VOG Backgammon Main
VOG Backgammon Table
VOG Chess Main
VOG Chess Table
VOG Reversi Main
VOG Reversi Table
VOG Shell
VOG Shell
VOG Shell History
W3Filer
Web Coupon
Web Page Authoring Software
Web Registrant PRO
Web Resume
Web SurfACE
WEB2SMS
WebCamVCR
WebCopier
Web-N-Force
WebSaver
Website Manager
WebStripper
WebType
WhoIs Thingy
Win A Lotto
WinEdit 2000
Word+
Wordwright
WorldChat Client
Worm
xBlock
Your ESP Test
Zion
Zip Express 2000
Mir ist noch nicht klar, welche
information zusätzlich zu der werbung
übertragen wird, allerdings war bei mir
die advert.dll zu einem zeitpunkt
aktiv, an dem keines der unten genannten
freeware tools installiert war.
Andere user in dem oben genannten brett
berichten über seltsame
koinzidenzen (portscan nach
deaktivierung von advert.dll und gezielte
werbung, die eigentlich nicht hätte
kommen dürfen)
Vorderhand habe ich bei mir die dll
advert.dll umbenannt und damit
deaktiviert, bis klar ist, ob lediglich
werbung oder aber zusätliche
information übertragen wird.
Auch die c’t ist an der Sache dran: http://www.heise.de/newsticker/data/nl-29.02.00-000/
Allerdings sieht es derzeit eher so aus, als würden keine Infos übertagen. Meine Analyse des Traffics mit Ethereal hat zumindest keine verdächtigen Übertragungen aufgespürt.
Auch die c’t ist an der Sache dran: http://www.heise.de/newsticker/data/nl-29.02.00-000/
Allerdings sieht es derzeit eher so aus,
als würden keine Infos übertagen. Meine
Analyse des Traffics mit Ethereal hat
zumindest keine verdächtigen
Übertragungen aufgespürt.
Hallo Michael!
Das beruhigt ein wenig. Einen Sniffer habe ich bis jetzt noch nicht angesetzt, aber es dürfte wohl schwer sein, den Inhalt von Binärdaten aufzuschlüsseln, von denen immer wieder die Rede ist. Als Klartext würde ich verdächtige Daten ja auch nicht übertragen.
ein blick aufs privacy statement lohnt sich
Hallo Michael, hallo Markus
habe gerade unter meinem heise-pseudonym
charly m
ein post zum thema privacy statement
abgelegt: http://www.heise.de/newsticker/forum/go.shtml?read=1…
Fazit:
Aureate sammelt daten, die über eine einzelne numerische kennung
verknüpft sind. Diese daten werden an dritte verkauft. Außerdem
haben dritte zugang zu aureate daten, für die nicht unbedingt
gilt, dass personenbezogene daten und nutzungsprofile nicht verknüpft
werden.
Das alles steht im privacy statement, ist also keine erfindung
von mir.
Wenn ihr mich fragt, da braucht es kein ausspioniern der festplatte
mehr…
Grüße Robert
PS:frowning:ja,ja,manchmal bin ich auch mit pseudo unterwegs. Aber im heiseticker gehts manchmal prollmäßig ab und ich hatte keine lust meine mailbox von spinnern zumüllen zu lassen. Also nicht weitersagen )
Das beruhigt ein wenig. Einen Sniffer
habe ich bis jetzt noch nicht angesetzt,
aber es dürfte wohl schwer sein, den
Inhalt von Binärdaten aufzuschlüsseln,
von denen immer wieder die Rede ist. Als
Klartext würde ich verdächtige Daten ja
auch nicht übertragen.
Hallo Markus,
es werden (geschätzt) insgesamt ca. 100-200 Bytes übertragen. Ich kann mir schwer vorstellen, dass da all die Infos, von denen die Rede ist, drinnen versteckt sind.
Das fazit dort lautet: Bei der aureate software handelt es sich nicht um einen sniffer im eigentlichen sinne. Es sind jedoch weitere schwere sicherheitsbedenken vorhanden, die vor allem die wahrung der privatsphäre betreffen.
)