Moderne "Trojaner"

Hallo Leute!

Was zur Zeit in der Fernsehwelt die Wogen hochgehen lässt, hat längst bei uns Surfern Einzug gehalten.

Findige Marketing Experten haben eine neue Strategien entwickelt um Surfer im Netz zu durchleuchten. Was sich jetzt wie ein guter Witz anhört, ist leider Tatsache geworden. Hat Microsoft begonnen mit dem M$ Intershit Exploder® oder mit M$ Office97® "User" zu "Kennzeichnen und auszuspionieren" (bei dem ersten Liveupdate wird die Windows Registry mit dem Pentium III Code an M$ weitergeleitet) , sind jetzt auch andere Anbieter auf diesen Zug aufgesprungen.

- RealAudio liest ebenfalls die Registry aus und sendet sie an eine Datenbank
- die Setup Software "Installshild Professionell" bietet in ihrer neuesten Version Software Entwicklern die Möglichkeit Spionage bei der Installation von Produkten zu betreiben.

Aber die Krone dieser Aktionen setzt uns die Firma AUREATE [ http://www.aureate.com ] auf, sie bietet Shareware Authoren die Möglichkeit Statistiken über ein Webangebot abrufbar zu machen - das heisst, diese Firma bietet einen "SDK - KIT" an, um Softwareschmieden die Möglichkeit zu geben "Nutzer ihrer Software" auszuspionieren und sensible Daten auszuwerten (Registry, Surfverhalten, Bannerclicks, installierte Software usw.).

Das AUREATE Prinzip funktioniert folgendermassen:

*) Bei der Installation bestimmter Softwareprodukte die diesen SDK-KIT beinhalten, werden Dateien im Windows System Verzeichnis soweit verändert und hinzugefügt um beim Surfen Informationen des Benutzers im Hintergrund an AUREATA zu senden. Meistens halten sich auch in diesen Programmen ständig wechselnde "Werbanner" auf. Diese Daten werden von AUREATE in Statistiken verpackt und zahlenden Kunden (Partnern) ausgehändigt.

*) Folgende Dateien werden vom AUREATE SDK KIT in Softwareprogrammen installiert oder modifiziert:

adimage.dll

advert.dll

advpack.dll

amcis.dll

amcis2.dll

amcompat.tlb

amstream.dll

anadsc.ocx

anadscb.ocx

htmdeng.exe

ipcclient.dll

msipcsv.exe

tfde.dll
Funktionen der einzelnen Dateien:

advert.dll
=======
Diese DLL versendet im Hintergrund bei jeder aktiven Internet Verbindung und Browserstart über den Port:1749 , 4 Seiten mit Informationen an AUREATE mit folgenden Inhalt:

1. Der Name des PC Besitzers der in der System Registry eingetragen ist (nicht der Namen der bei der Installation der Software angegeben wurde)
2. Die aktive IP Adresse des Benutzers
3. Der DNS (ISP) des verwendeten Zugangs um das Land zu ermitteln
4. Eine Liste der besuchten URLS von der letzten Internet Sitzung (History)
4.4 Aufschlüsselung des Surfverhaltens:
- Den Namen und die Webseite von downgeloadenen Datein (Größe, Type, Zeit)
- Alle Bannerclicks
- Zeitstempel wann gesurft wird (inkl. Surfdauer)
- Die Gewählte Telefonnummer der DFÜ Verbindung (im LAN den Netzwerkanbieter)
- Untersuchungen nach, soll auch angeblich das verschlüsselte PW der DFÜ Verbindung mitgesendet werden (ist nicht eindeutig bewiesen!)
5. Eine Liste aller Softwareprodukte die in der Registry eingetragen sind

advpack.dll & amcis.dll
=========
Diese DLLs modifizieren folgende Registry Keys:

1. HKEY_CURRENT_CONFIG
2. HKEY_DYN_DATA
3. HKEY_PERFORMANCE_DATA
4. HKEY_USERS
5. HKEY_LOCAL_MACHINE
6. HKEY_CURRENT_USER
7. HKEY_CLASSES_ROOT


Die aktive oleaut32.dll die von M$ in den Speicher geladen wird, wird umgeleitet das die anderen DLLs aktiv werden können sobald der Browser gestartet wird.

amcompat.tlb
===========
Diese DLL leitet eine Liste aller verwendeten Multimedia Clips (Video, Sounds , Flash) inkl. der ausgeführten URL, des Datendurchsatzes weiter. Diese Datei verwendet auch der Real Player für Datenspionage und MP3 Softwareprodukte.


amstream.dll
==========
Diese DLL ist verantwortlich das der Port: 1749 geöffnet wird und die Kommunikation zu AUREATE hergestellt wird.


Quelle: http://www.gismo.netsurf.at/aureata.htm

--------------------------------------------------------------------------------