heh.pl
Kanał informacyjny Heh.pl


Sobota 4 maja 2024 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Temat

permanentna inwigilacja AUREATE ! uważajcie SP1 XP


217.98.198.* napisał:
Może na miano Krzysztofa Kolumba nie załuguję , ale wczoraj przez przypadek z jakiegoś starego CDR-a odpaliłem progsa i przypomniałem sobie , do czego on jest . Hasło wywoławcze : szpieg AUREATE
Między innymi w GETRIGHT , CUTE FTP , WEBCOPIER (lista progsów jest dość długa) instalują tego szpiega . Nie wykrywa go ŻADEN antywirus .
Żeby było jeszcze śmieszniej , zawiera go również SERVICE PACK 1 WIN XP icon_eek2.gif
Szpieg tworzy ukryte okno za każdym razem gdy uruchomisz przeglądarkę. Podczas połączenia z Internetem to okno tworzy i posyła 4 strony informacji do serwera "Aureate" używając portu 1749 w Twoim systemie. Te strony zawierają:

1. Twoje nazwisko (imię) spisane z rejestru systemu.
2. Twój adres IP.
3. Zwrotny DNS Twojego adresu który podaje im Twój kraj (obszar) i ISP.
4. Spis całego oprogramowania Twojego komputera pobrany z rejestru systemu.
5. Adresy URL wszystkich stron WWW i FTP na których jesteś, a w tym:

a.) Kliknięcia w bannery
b.) Wszystkie "download" czyli ściągnięcia plików z uwzględnieniem nazwy pliku, wielkości, daty, czasu i typu (image, zip, executable, itd).
c.) Daty i czas wszystkich działań podczas używania przeglądarki.
d.) Konfigurację połączenia DialUp.
e.) Hasło DialUp jeżeli jest zapisane w systemie. Jeżeli nie jest, może być podejrzane w trakcie wprowadzania z klawiatury.

Jeżeli będzie zainteresowanie tematem , zarzucę więcej szczegółów , a jeśli temat jest wszystkim znany , to sorrrrki bardzo i prosze modera o zdjęcie topica

pozdro

217.153.7.* napisał:
Jakim programem można usunąć tego szpiega?? Ad-Aware'em sie uda??

217.98.198.* napisał:
Szpieg Aureate składa się z poniższych plików, a w Twoim systemie mogą być zainstalowane wszystkie lub tylko niektóre z nich , ponadto każdy z nich może występować kilkakrotnie :

adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll

W moim kompie to gnojstwo usiadło tutaj :

c:WINDOWSServicePackFiles icon_eek2.gif i386advpack.dll
c:WINDOWSsystem32advpack.dll
c:WINDOWSsystem32amcompat.tlb
c:WINDOWSRegisteredPackages{44BBA855-CC51-11CF-AAFA-00AA00B6015C}amstream.dll
c:WINDOWSsystem32amstream.dll
c:WINDOWSsystem32dllcacheamstream.dll

Jest taki programAntiSpy (nie pomylić z tym do WinXP , ale nie wiem gdzie go zassać - miałem do niego linka , ale już jest nieaktualny) - sprawdza i usuwa powyższe pliki szpiegowskie Aureate.
Zawsze można te pliki usunąć ręcznie (ja tak zrobiłem) - niektóre niestety spod DOS-u , bo Winda odmawia dostępu . A ten Ad-aware - nie wiem .

A teraz lista programów o których wiadomo że instalują szpiega Aureate:
123Search
3d Anarchy
3D-FTP
3rd block
Abe's FTP Client
Abe's Image Viewer
Abe's MP3 Finder
Abe's Picture Finder
Abe's SMB Client
Access Diver III
Acorn Email
AcqURL
ActionOutline Light 1.6
Active 'Net
Add URL
Add/Remove Plus!
Address Rover 98
Admiral VirusScanner
Advanced Call Center
Advanced Maillist Verify
AdWizard
Alive and Kicking
alphaScape QuickPaste
ASP1-A3
Auction Explorer
Aureate Group Mail
Aureate SpamKiller
AutoFTP PRO
AutoWeb
AxelCD
Beatle
Binary Boy
BinaryVortex
Blue Engine
BookSmith : Original
buddyPhone 2
Calypso E-mail
CamGrab
Capture Express 2000
Cascoly Screensaver
CDDB-Reader
CDMaster32
ChanStat
Charity Banner
Cheat Machine
Check4New
ChinMail
Clabra clipboard viewer
Classic Peg Solitaire
ComTry Music Downloader
Crystal FTP
CSE HTML Validator Lite
CuteFTP 3.0
CuteFTP 3.0
CuteFTP/Tripod
CuteMX
CutePage
Danzig Pref Engine
DateTime
Delphi Component Test
Delphi Tester
Dialer 2000
DigiBand NewsWatch
DigiCams - The WebCam Viewer
Digital Postman
DirectUpdate
DL-Mail Pro 2000
DNScape
Doorbell 1.18
Download Minder 1.5
Download Wonder
DownLoader v.1.1
Dwyco Video Conferencing
EasySeeker
EmmaSoft ChatCat
EmmaSoft dBrow
EmmaSoft KeepLan
EmmaSoft Soundz
EnvoyMail
EZ-Forms FREE
File Mag-Net
FileSplit
Folder Guard Jr.
FourTimes
Free Picture Harvester
Free Solitaire
Free Spades
Free Submitter Pro
FreeImageEditor
FreeIRC
FreeNotePad
FreeSite
FreeWebBrowser
FreeWebMail
FreeZip!
FTPEditor
GetRight
Go!Zilla
Go!Zilla WebAttack
GovernMail
Grafula
Gunther's PasswordSentry
HangWeb
hesci Private Label
HTML Translator
HTTP Proxy-Spy
Huey v1.8 Color Picker
Iban Technologies IP Tools 3.1
Idyle GimmIP
Idyle GimmIP
iFind Graphics
imageN
Infinite Patience
InfoBlast
InnovaClub
InstallZIP
Internet Tree
Internetrix
InterWebWord Companion
JetCar
JFK Research
jIRC
JOC Email Checker
JOC Web Finder
JOC Web Spider
KVT Diplom
LapLink FTP
LineSoft Download
LOL Chat
LOL Chat
Mail Them
Meracl FontMap
Meracl ImageMap Generator
Midnight Oil Solitaire
MirNik Internet Finder
More Space 99
MouseAssist
MP3 Album Finder
MP3 Fiend
MP3 Grouppie
MP3 Mag-Net
MP3 Renamer
Mp3 Stream Recorder
MP3INFO-Editor
MultiSender
Music Genie
MX Inspector BIG AD
My Genie Patriots
My Genie SE
My GetRight
NeatFTP
Net CB
Net Scan 2000
Net Vampire
Net-A-Car Feature Car Screensaver
NetAnts
NetBoard
Netbus Pro 2.10
NetCaptor 5.0
Netman Downloader
NetNak
NetSuck 3.10.5
NetTime Thingy
Network Assistant
NeuroStock
NewsBin
NewsShark
NewsWire
NfoNak
NotePads+
Notificator 1.0b
Octopus
Pattern Book
People Seek 98
Personal Search Agent
Photocopier
PicPluck
Pictures In News
Ping Thingy
PingMaster
Planet.Billboard
Planet.MP3Find
PMS
ProtectX 3
ProxyChecker
QuadSucker/Web
Quadzle Puzzles
QuikLink Autobot
QuikLink Explorer
QuikLink Explorer Gold Edition
QuoteWatch
QWallet
Real Estate Web Site Creator
Recipe Review
ReGet 1.6
Resume Detective
RingSurf
RoboCam 1.10
Rosemary's Weird Web World
SaberQuest Page Burner
SBJV
SBWcc
Scout's Game
ScreenFIRE
ScreenFIRE - FileKing
ScreenFlavors
Sea Battle
Shizzam
Simple Submit
SimpleFind
SimpleSubmit v1.0
SK-111
Smart 'n Sticky
SmartBoard 200 FREE Edition
SmartSum calculator
SonicMail
Sound Agent
Space Central Screen Saver
Splash! Siterave
StartDrive
Static FTP
StockBrowser
Subscriber
SunEdit 2K
SuperIDE
Sweep
SweepsWinner
Text Transmogrifier
The Mapper
TheNet
TI-FindMail
TIFNY
Total Finger
Total Whois
Tracking The Eye
Trade Site Creator
TWinExplorer Standard
TypeWriter 1.0
UK Phone Codes
Vagabond's Realm
VeriMP3
Vertigo QSearch
Virtual Access
Visual Cyberadio
Visual Surfer
VOG Backgammon Main
VOG Backgammon Table
VOG Chess Main
VOG Chess Table
VOG Reversi Main
VOG Reversi Table
VOG Shell
VOG Shell
VOG Shell History
W3Filer
Web Coupon
Web Page Authoring Software
Web Registrant PRO
Web Resume
Web SurfACE
WEB2SMS
WebCamVCR
WebCopier
Web-N-Force
WebSaver
Website Manager
WebStripper
WebType
WhoIs Thingy
Win A Lotto
WinEdit 2000
Word+
Wordwright
WorldChat Client
Worm
xBlock
Your ESP Test
Zion
Zip Express 2000

217.153.7.* napisał:
Dzieki za odpowiedź. Ad-Aware chyba sobie z tym radzi, bo mam getrighta, a żadnego z plików, które wymieniłeś nie mam w systemie.

217.98.198.* napisał:
"Odpowiedzialność" poszczególnych plików Aureate (przynajmnien mi znane) :

--- advert.dll ---
Tworzy ukryte okno za każdym razem gdy uruchomisz przeglądarkę. Podczas połączenia z Internetem to okno tworzy i posyła 4 strony informacji do serwera "Aureate" używając portu 1749 w Twoim systemie. Te strony zawierają:

1. Twoje nazwisko (imię) spisane z rejestru systemu.
2. Twój adres IP.
3. Zwrotny DNS Twojego adresu który podaje im Twój kraj (obszar) i ISP.
4. Spis całego oprogramowania Twojego komputera pobrany z rejestru systemu.
5. Adresy URL wszystkich stron WWW i FTP na których jesteś, a w tym:

a.) Kliknięcia w bannery
b.) Wszystkie "download" czyli ściągnięcia plików z uwzględnieniem nazwy pliku, wielkości, daty, czasu i typu (image, zip, executable, itd).
c.) Daty i czas wszystkich działań podczas używania przeglądarki.
d.) Konfigurację połączenia DialUp.
e.) Hasło DialUp jeżeli jest zapisane w systemie. Jeżeli nie jest, może być podejrzane w trakcie wprowadzania z klawiatury.

6. advert.dll w swoim kodzie zawiera notę programisty: "Show me the money! I want to be Mike!"

--- advpack.dll ---
Używany tylko podczas instalacji dla potrzeb instalowanych plików.

--- amcis.dll ---
Modyfikuje następujące klucze rejestru:
1. HKEY_CURRENT_CONFIG
2. HKEY_DYN_DATA
3. HKEY_PERFORMANCE_DATA
4. HKEY_USERS
5. HKEY_LOCAL_MACHINE
6. HKEY_CURRENT_USER
7. HKEY_CLASSES_ROOT

--- amcompat.tlb ---
Śledzi tytuły wszystkich multimediów które oglądasz (video/obraz/dzwięk).
Zawiera odniesienia do DblClick.

--- amstream.dll ---
Setup dwukierunkowej łączności pomiędzy Twoim komputerem, a serwerem Aureate.
Wysyła informacje i otrzymuje polecenia lub aktualizacje. Otwiera port 1749 dla łączności.

217.97.10.* napisał:
jak ktoś szuka AntiSpy to dałem to na ftp
http://fulko.fm.interia.pl/antispy.zip
faktycznie tego ciulstwa multum sie instaluje icon_confused2.gif
na pewno pomysł microsyfu icon_twisted.gif icon_twisted.gif icon_evil.gif

217.98.198.* napisał:


thx 4 link do antispy'a

aha! jeszcze jedno ważne przypomnienie : po usunięciu tych plików z Aureate Winda wrzeszczy że ma nie rozpoznane wersje plików - olejcie to i pozostawcie je , bo wkładając na żądanie n.p. "CDRom z ServicePack 1 XP" może znowu zainstalować te świństwa .

217.153.7.* napisał:
ściągnałem tego Antispy'a i co... NAV upiera się że to jest trojan icon_sad2.gif

217.98.198.* napisał:
buuuuuuuuuuuuuuuuuuuuuu..........
niedźwiedzia przysługa ze strony kolegi Fulko , ale i tak thx za dobre chęci .

p.s.
nie instaluj tego - spróbuję poszukać
gdybym nie znalazł , usuń pliki ręcznie i będzie git icon_mrgreen.gif

217.98.198.* napisał:
ale jaja... panowie! znalazłem 9 stron z Antispy i WSZYSTKIE miały go z trojanem
ale znalazłem http://www.majorgeeks.com/article.php?sid=506&cat=31 - Ad-Aware
sprawdziłem - jest "czyste" (NAV sie nie rozdziera) i znajduje , po czy usuwa świństwa z kompa (ale nie wszystkie)
będę szukał dalej

62.233.173.* napisał:
Win Xp to caly jeden trojan icon_surprised3.gif
O tym ze ten windows przesyla konfig i inne takie do microsoftu to wiedzialem dawno, ale zalamales mnie tym Aureate icon_eek2.gif

217.98.198.* napisał:


stary... XP to jeszcze pikuś! czytałem , że "świeża" instalka Win95 icon_eek2.gif zawiera niektóre pliki wchodzące w skład Aureate...
co ty na to? icon_lol.gif
czyżby wujek Bill już od początku zamierzał stać się wielkim imperatorem IT i swój misterny plan realizuje punkt za punktem? icon_question.gif

62.21.32.* napisał:
heh, ale motyw....ciekawe jak wykorzystuja otrzymane dane...

217.153.7.* napisał:


Ale z kolei ad-aware nie usuwa wszystkiego, np. tego aureate nie znalazl...

217.98.198.* napisał:
na pewno można je wykorzystać w celu marketingowym - te dane to po prostu wykres zainteresowania poszczególnymi dziedzinami
a przy okazji mają rozeznanie , ile pirackiego oprogramowania lata po rynku , np. z rejestru ci wyczesza sławetny key XP FCKGW-RHQQ2-YXRKT.... icon_lol.gif

217.98.198.* napisał:
Przecież napisałem



chyba że chcesz sobie wsadzić trojana z Antispy... laugh.gif
Jeszcze raz mówię :
START->wyszukaj (nazwy plików aureate) ->znalezione zaznacz i DELETE icon_mrgreen.gif

80.50.231.* napisał:
hah... a do tego większość dostępnych na sieci plików z softem to usuwającym ma trojany... ciekawe dlaczego - czyżby komós zależało żebyśmy tego nie usuwali na swoich kompach icon_smile3.gif
ciekawe czy jak zablokuje port 1749 to mi to <span style="color:red;">[ciach!]</span>o z sieci lokalnej nic nie wyśle? nie jestem też pewien czy działanie togo typu oprogramowania nie jest nielegalne (w końcu bez powiadomienia wysyła dane???)
ale najbardziej ciekawi mnie czy jak zablokuje ten port to nie pójdzie dziadostwo innym ??? próbował ktoś?

217.98.198.* napisał:


zerknij 2 posty wyżej - to jest moje mniemanie
notabene jest do też prawdopodobnie w Linuxie , tak przynajmniej czytałem , ale jeszcze nie wyczaili co i jak konkretnie
A co do portu , to jakisik spec by się mógł wypowiedzieć - zauważyłem , że np. jeden z adminów - marco , ma dość dobrze obcykany temat .
Może by z nim zagaworzyć? Tak z czystej ciekawości?

217.97.10.* napisał:



icon_confused2.gif icon_confused2.gif icon_confused2.gif qrde 1 raz ten program widzicie czy co icon_question.gif
antywiry zawsze tak na niego reagują i było to kiedyś opisane w Enterze
sprawdzał mi to kiedyś kolega na kompie nie podłączonym do netu i żadnych dziełań nie stwierdzono

217.97.10.* napisał:
jak wam sie nie podoba antispy to macie linka do nowego ad-aware6
http://www.lavasoft.de/support/download/
na marginesie to stosuje antispy 2lata i jak dotąd żyje ja i mój komp icon_confused2.gif icon_cool3.gif

217.98.198.* napisał:
Boshe... stary , co się tak pienisz? spokojnie , nikt tu nie ma do ciebie pretensji , bo jak sam napisałem na 9 stronach mieli go z trojanem .
A sprawa nadgorliwych antywirów - owszem , jest ogólnie znana , ale skąd masz pewność , że w tym konkretnym wypadku jakiś gostek nie wrąbał faktycznie swojego trojana?
Ja takiegosik czegoś nie zainstaluję i finał - wolę ręcznie pliki wyrzucać...

ach , ale ta młodzież dzisiaj nerwowa :bij:

80.50.231.* napisał:
no i sobie sprawdziłem - znalazłem tylko dwa.

amcompat.tlb - w XP Pro i uwaga - w nowej instalacji Windows 2000 Server!!!!!!

amstream.dll - też w obu, z tym, że w XP z pięc razy

zaraz skasuje i zobaczymy czy windoza wstanie icon_smile3.gif
w tym xp to może być wszystko bo mam na nim zainstalowanego m.in. getrighta i kupę innego syfu, ale nowiutka instalacja 2000 Server i to jeszcze jest oryginał, żadne pirackie g... Widać m$ śledzi nas i to na dobre. Ciekaw jestem tylko z tym portem - czy wystarczy go zamknąć - wszędzie mamy firewall'e na bsd icon_smile3.gif więc żadna micro$winia icon_twisted.gif mi się nie przepchnie - jeśli ten port coś da icon_smile3.gif

217.97.10.* napisał:


wcale nie taka młodzież icon_cool3.gif to raz a 2 to wq... się o podejrzenia o celowosć
co do trojana to reaguje na to norton i kasperski ale jako podejrzane działanie a po sprawdzeniu firewal nie melduje o żadnych tikach
i jeszcze jedno ten program się nie instaluje mam go na cd i z cd uruchamiam

80.50.231.* napisał:
no i usunąłem - a XP odrazu zareagował tym:

user posted image

czyli czuwa icon_smile3.gif

myślę, że pliki trzeba będzie usuwać po każdej aktualizacji softu - może ktoś napisze jakiś skrypcik - codziennie by się odpalał i czyścił?

- no i jeszcze, jeden pomysł - prawdopodobnie on przesyła dane w okreslone miejsce - jakiś serwer główny tego softu - może poprostu blikować w firewall'ach (także tych windowsowych) możliwość wysłania czegokolwiek na dane ip?
Jak ktoś ma jakiś pomysł jak to "zablokować" bez biegania po wszystkich kompach w sieci i ręcznego usuwania plików to proszę, niech się podzieli wiedzą.

pozdrawiam,

217.98.198.* napisał:
dżizas , chłopie - a kto ci zarzuca celowość w działaniu???
ludzie , albo ja się nie umiem dobrze wysłowić o co mi chodzi , albo ty się kompletnie na żartach się nie znasz...

a w sumie nieważne - mea culpa - i'm sorry - przepraszam - izwienitie - perdona me - zachowałem się jak smarkacz i wogóle...

217.98.198.* napisał:


to jest właśnie to o czym pisałem - tyle że u mnie wydarł japę o "ServicePack1 XP Disc"

217.98.172.* napisał:
Uwaga !!! Bardzo Wazne Dla Win XP Prof !!!
==========================================

skasowanie z systemu plikow:

- advpack.dll
- amcompat.tlb
- amstream.dll

spowoduje utrate praw administratora! nawet dla uzytkownika "Administrator"!!! system wyswietli wtedy komunikat:

"Aktualnie zalogowany uzytkownik nie ma przywilejow Administratora.
Zaloguj sie ponownie jako Administrator lub skontaktuj sie z Administratorem komputera."

w tej sytuacji niemozliwym staje sie wykonywanie w systemie niektorych rzeczy wymagajacych praw dostepu Administratora - np prozaiczna instalacja nowego DirectX.

rozwiazaniem jest PRZENIESIENIE wymienionych plikow gdzies w "ustronne" miejsce i w przypadku pojawienia sie problemu z prawami Administratora przywrocenie ich spowrotem - wystarczy przywrocic je do katalogu c:windowssystem32 - potem ponownie je usowamy.

brak pliku "amstream.dll" jest takze zauwazony w diagnostyce DirectX /dxdiag/ "Brakuje pliku amstream.dll! Należy ponownie zainstalować program DirectX, aby uzyskać najnowszą wersję." - jednak jeszcze nie udalo mi sie napotkac na jakiekolwiek konsekwencjie tego bledu.
zachowanie sie DX'a testowalem tylko 3Dmark'iem 2003 - zadnych nieporzadanych zachowan nie zauwazylem.


-----------------------------------
nie mialem mozliwosci przetestowania
jak powyzsze dzialania beda zachowywac sie
w systemie XP w wersji HOME - dlatego
wszelkie inne doswiadczenia beda mile
widziane.


with greetings 2 bill g.
powered by emge_

212.95.34.* napisał:
Hehehe, robicie sobie zarty chlopaki, czy co? icon_biggrin3.gif
IMHO, amcompat.tlb to pliczek zwiazany z media playerem, a dokladniej zawiera ustawionka opcji. 'Dblclick' - ale to moze byc skrot od dwukrotnego klikniecia, biorac pod uwage ze to nie jest jedyny wyraz z "click".
amstream.dll - ten mi wyglada na czesc DirectX odpowiedzialna za DirectShow. Wiec emge nic dziwnego ze dxdiag cos wywalal po usunieciu jak mu pliki kasujesz icon_wink2.gif Za to advpack.dll, to pliczek wykorzystywany w trakcie instalki InternetExplorera.
Tylko te trzy mam w sysie i nie mam zamiaru sie ich pozbywac icon_smile3.gif
Oczywiscie, __to tylko moje dywagacje na temat prawdziwej przydatnosci tych plikow__, i nie musza byc zgodne z rzeczywistoscia! Ale po przegladnieciu ich tak to widzialem, jak napisalem icon_wink2.gif

p.s. zadnego programu z listy nie posiadam.
p.p.s. jak by sie jakies "okno" chcialo laczyc na zewnatrz, to by go raczej firewall wylapal, nie? w koncu pilnuje wszystkich portow.

217.98.172.* napisał:
swieta racja to co piszesz Daethar_Rumarth
byc moze tak jest ze znaczenie tych plikow jest faktycznie trywialne.

jednak jesli jest tak trywialne - to jak to sie dzieje ze ich usuniecie automatycznie uniemozliwia dostep do praw administratora? badz co badz najwazniejsza rzecz w systemie dla uzytkownika.

tak na prawde to mi traci jakims "archiwum x" - wielka tajemnica, krag wtajemniczonych, etc, etc... a jak wszystkim powszechnie wiadomo prawda lezy po srodku.

62.89.101.* napisał:
jedna rzecz mnie dziwi (nie zebym kogos od razu oskarzal tylko pytam)

Kostk: skad masz te informacje?

UPDATE: teraz siedzie w pracy na NT sp5 i jest
advpack.dll
amstream.dll
amcompat.tlb

217.98.198.* napisał:
przed ponad rokiem przeglądałęm jakąś anglojęzyczną stronkę z której ściągnąłem sobie progsy żeby to wywalić , a poza tym potwierdź to sobie :
http://www.ap.krakow.pl/papers/spying.html
http://republika.pl/szukajszpiega/aureate_rmv.htm
http://republika.pl/slater1/szpieg/watch.htm
http://www.ariadna.pl/nessie/szpieg.htm
http://republika.pl/nikokk/opis.htm
http://republika.pl/nikokk/antispy.htm
sorry , ale więcej linków mi się nie chciało icon_redface.gif

62.89.101.* napisał:
ok dzieki, jak bede mial czas to poszukam sobie jeszcze sam i poczytam bo dla mnie stronki zaczynajace sie na republika.pl/XXX, to nie zbyt wiarygodne zrodlo ale thx

217.98.198.* napisał:
to co zamieściłem w poście , to "przedruk" z angola - zauważ że prawie identyczne teksty są na tych stronkach , więc prawdopodobnie byli też na którejś z tych stronek

Podobne tematy


Działy









Copyright © 2002-2024 | Prywatność | Load: 24.88 | SQL: 1 | Uptime: 33 days, 14:01 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl