[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[escepticos] **(2da) Advert.dll, la dll de la polemica (II) 2da parte
Reenvío en el convencimiento que transcurridas 24 horas debo pensar que no
ha llegado y no llegará sin mi ayuda ;-)
----- Mensaje original -----
De: Alberto A. Villa <albertovilla en hotmail.com>
Para: Escepticos <escepticos en dis.ulpgc.es>
Enviado: Viernes, 14 de Abril de 2000 10:47 a.m.
Asunto: **(2da) Advert.dll, la dll de la polemica (II) 2da parte
> Continúo con el reenvío sobre el tema
>
> ----- Mensaje original -----
> De: Area de Promocio Economica-Social i Medi Ambient <iglesiascv en diba.es>
> Para: <internet en ictnet.es>
> Enviado: Jueves, 13 de Abril de 2000 08:00 a.m.
> Asunto: [internet]: RV: una-al-dia (10/04/2000) Advert.dll, la dll de la
> polemica (II)
>
>
> > Hol en s,
> >
> > Y aqui va la segunda parte, muy sabrosa tambien.
> > A mi entender el grado de desverguenza en la red aumenta
logaritmicamente
> de dia en dia.
> >
> > Adioses,
> >
> > Jeanot, 8-)
> >
> > -----Mensaje original-----
> > De: Noticias Hispasec [SMTP:noticias en hispasec.com]
> > Enviado el: jueves, 13 de abril de 2000 12:31
> > Para: iglesiascv en diba.es
> > Asunto: una-al-dia (10/04/2000) Advert.dll, la dll de la polemica (II)
> >
> > --------------------------------------------------------------------
> > HISPASEC una al dia (10/04/2000)
> > Todos los dias una noticia de seguridad
> > --------------------------------------------------------------------
> >
> > Advert.dll, la dll de la polemica (II)
> > --------------------------------------
> > Recientemente salto a todos los medios el caso de Advert.dll, una dll
> > que se instalaba con un gran numero de aplicaciones shareware de
> > renombre, y que segun todas las informaciones estaba destinada a espiar
> > las transmisiones de los usuarios. Ofrecemos a todos nuestros lectores
> > la continuacion del completo analisis que el Laboratorio de HispaSec ha
> > realizado sobre advert.dll.
> >
> > Las comunicaciones
> >
> > Otras de las acusaciones a las que ha sido sometido Aureate tienen que
> > ver con su supuesta capacidad para mantener comunicaciones en secreto
> > y enviar informacion sensible del usuario a traves de Internet. En
> > primer lugar, las comunicaciones con los servidores de publicidad, a
> > traves de TCP, pueden ser detectadas con un simple NETSTAT -A. En
> > cuanto al segundo punto, en las pruebas de monitorizacion de las
> > comunicaciones a nivel de paquete no he encontrado informacion
> > adicional fuera de la que se contempla en el propio acuerdo de
> > licencia con el usuario: ID del usuario, informacion del perfil
> > recogido por los formularios, version del software, o los banners. El
> > unico punto negro en este apartado pueden ser las cookies de los
> > servidores de publicidad, que en principio no se contemplan
> > explicitamente en la documentacion.
> >
> > En el texto que Aureate pide a los desarrolladores que integren en sus
> > propias licencias, y que como hemos visto anteriormente en la mayoria
> > de las ocasiones hacen caso omiso, se indica que los anuncios se
> > entregan via Internet y seran descargados de los servidores de Aureate
> > Media o de sus subcontratistas, socios, u otras partes autorizadas.
> > Por ultimo, informa que el software conectara con Internet para la
> > transferencia de actualizaciones del propio software y deja bajo la
> > responsabilidad del usuario cualquier coste del uso de la red u otro
> > derivado del programa.
> >
> > Una vez se lanza cualquier programa que haga uso de la tecnologia
> > Aureate se produce un intento de comunicacion con los servidores segun
> > la informacion que tiene almacenada en el registro de Windows. En
> > algun foro se ha barajado la posibilidad de modificar los parametros
> > de los servidores en el registro para que apunten a otra direccion,
> > como puede ser la local, y asi evitar las acciones de Aureate. Esta
> > accion no tiene ninguna repercusion en realidad, ya que la libreria
> > advert.dll lleva consigo direcciones predeterminadas para modificar el
> > registro en caso de problemas.
> >
> > Cada vez que una aplicacion que lleve el sistema de Aureate intenta la
> > comunicacion se provoca una media de 150 paquetes TCP y
> > aproximadamente 21.600 bytes -segun condiciones-, a traves de la cual
> > el cliente envia su ID al servidor lo que le permite identificar el
> > perfil del usuario, enviado la primera vez que se instala Aureate, y
> > cruzarlo con todos sus datos estadisticos. Aqui podemos ver uno de
> > esos paquetes capturados en las pruebas:
> >
> >
> > 0000: C4 55 FB 00 01 01 00 01 B0 56 9A 80 08 00 45 00 .U.......V....E.
> > 0010: 00 36 6F 08 40 00 80 06 F9 85 D4 3B D8 46 D8 25 .6o. en ......;.F.%
> > 0020: 0D 8C 04 86 07 B7 00 38 87 80 4B 49 D9 B7 50 18 .......8..KI..P.
> > 0030: 22 19 A0 B9 00 00 00 00 00 00 06 77 6F 14 31 00 "..........wo.1.
> > 0040: 00 00 FB 35 ...5
> >
> > Del que podemos ver que se trata de un paquete TCP, donde la direccion
> > de destino es la 216.37.13.140, que equivale a "ad2-1.aureate.com",
> > dirigido al puerto 1975 (07B7) y entre los datos podemos encontrar la
> > cadena "00 00 00 00 06 77 6F 14" que concuerda con el ID que en la
> > prueba tenia almacenado en la clave
> >
> > HKEY_CURRENT_USER\Software\Aureate\Advertising\Demographics
> > valor "User ID", dato "14 6f 77 06 00 00 00 00".
> >
> > Entre la informacion que intercambian el servidor de Aureate y el
> > cliente se envia un paquete en el que se indica donde tiene que
> > recoger el proximo banner.
> >
> > 0000: 00 01 B0 56 9A 80 C4 55 FB 00 01 01 08 00 45 00 ...V...U......E.
> > 0010: 00 C4 9C D4 40 00 75 06 D6 2B D8 25 0D 8C D4 3B .... en .u..+.%...;
> > 0020: D8 46 07 B7 04 86 4B 49 D9 DE 00 38 87 DF 50 18 .F....KI...8..P.
> > 0030: 21 CC 0F 42 00 00 80 00 00 00 44 68 74 74 70 3A !..B......Dhttp:
> > 0040: 2F 2F 6B 61 6E 73 61 73 2E 76 61 6C 75 65 63 6C
> file://kansas.valuecl
> > 0050: 69 63 6B 2E 63 6F 6D 2F 72 65 64 69 72 65 63 74 ick.com/redirect
> > 0060: 3F 68 6F 73 74 3D 68 30 30 32 34 34 36 39 26 62 ?host=h0024469&b
> > 0070: 3D 69 6E 64 65 78 70 61 67 65 26 76 3D 30 00 81 =indexpage&v=0..
> > 0080: 00 00 00 3C 9F 00 00 00 48 68 74 74 70 3A 2F 2F ...<....Hhttp://
> > 0090: 6B 61 6E 73 61 73 2E 76 61 6C 75 65 63 6C 69 63 kansas.valueclic
> > 00A0: 6B 2E 63 6F 6D 2F 63 79 63 6C 65 3F 68 6F 73 74 k.com/cycle?host
> > 00B0: 3D 68 30 30 32 34 34 36 39 26 62 3D 69 6E 64 65 =h0024469&b=inde
> > 00C0: 78 70 61 67 65 26 6E 6F 73 63 72 69 70 74 3D 31 xpage&noscript=1
> > 00D0: 00 02 ..
> >
> > Entonces el cliente Aureate hace una peticion HTTP a la direccion para
> > recibir el banner, donde ademas el nuevo servidor que entra en juego
> > aprovecha para enviar sus cookies que Aureate se encarga de manejar y
> > almacenar en el registro de Windows. Por lo tanto, ademas del
> > seguimiento que realiza Aureate a traves de sus servidores, se produce
> > un segundo control por los servidores de publicidad de donde se
> > recogen los banners, aspecto este que tampoco he podido encontrar
> > reflejado en el acuerdo de licencia con el usuario. En las pruebas
> > realizadas este segundo servidor ha redirigido una vez mas a nuestro
> > cliente a un tercer servidor que ha sido el encargado de suministrar
> > el banner en formato GIF. En la prueba de comunicacion realizada, con
> > una duracion de 10 minutos, el cliente de Aureate ha realizado 4
> > peticiones de nuevos banners siempre obteniendo resultados similares a
> > los comentados.
> >
> > La libreria amcis.dll, el "lado oscuro"
> >
> > Todo el protagonismo de las informaciones arrojadas sobre el caso
> > Aureate ha recaido sobre la libreria advert.dll, una de las fijas en
> > las primeras versiones de este software. De manera incomprensible se
> > ha olvidado a amcis.dll, otra de las librerias que tampoco podian
> > faltar en esas distribuciones, cuyo estudio despeja algunas incognitas
> > y nos muestra un lado que hasta la fecha habia permanecido oculto en
> > toda esta trama.
> >
> > Durante el proceso de instalacion la libreria amcis.dll se identifica
> > como clase con un valor especifico, de 128 bits, el denominado Class
> > ID en el registro de Windows bajo la clave CLSID. A traves de la
> > aplicacion regedit podemos realizar una busqueda de la cadena
> > "BDF0-11D2-BBE5-00609419F467" para encontrar todas las referencias de
> > las creaciones de objetos relacionados con esta libreria. En algunas
> > podemos observar como en el valor InprocServer32 se apunta a la
> > libreria en cuestion, por ejemplo "c:\windows\system\amcis.dll" junto
> > con el valor ThreadingModel con el dato "Apartment" que indica que el
> > objeto solo puede ejecutarse en un apartamento de un unico hilo.
> > Ademas se crean otras entradas con los valores Stub.NetscapeStop.1,
> > Netscape Starting, Automation Shutdown, Automation Startup,
> > Stub.NetscapeStop, Stub.CIEStub.1, Stub.CIEStub y como Browser Helper
> > Objects.
> >
> > El resultado de todo este entramado de registros es que cada vez que
> > se lanza una instancia de Internet Explorer o Netscape la libreria
> > amcis.dll es cargada en memoria en el mismo proceso que el navegador.
> > En ese momento la libreria se encuentra conectada con IExplorer, de
> > forma que puede tener el control del navegador asi como "escuchar" los
> > eventos que en el sucedan mediante una interfaz. Ademas, amcis.dll
> > realiza una llamada a advert.dll, por lo que el resultado final es que
> > ambas librerias son lanzadas al abrir el navegador, sin necesidad de
> > que se encuentre en memoria la aplicacion que hacia uso de la
> > tecnologia Aureate, incluso habiendola desinstalado. A continuacion un
> > ejemplo de las librerias que se encuentran en memoria y enlazadas con
> > Internet Explorer en el sistema objeto de las pruebas de este
> > analisis, se pueden observar, entre otras, amcis.dll y advert.dll.
> >
> > Base Size Version Path
> > 0x00400000 0x13000 5.00.2314.1000 C:\Program Files\Plus!\Microsoft
> Internet\IEXPLORE.EXE
> > 0x77f60000 0x5e000 4.00.1381.0174 C:\WINNT\System32\ntdll.dll
> > 0x77dc0000 0x3f000 4.00.1381.0203 C:\WINNT\system32\ADVAPI32.dll
> > 0x77f00000 0x5e000 4.00.1381.0178 C:\WINNT\system32\KERNEL32.dll
> > 0x77e70000 0x54000 4.00.1381.0133 C:\WINNT\system32\USER32.dll
> > 0x77ed0000 0x2c000 4.00.1381.0115 C:\WINNT\system32\GDI32.dll
> > 0x77e10000 0x57000 4.00.1381.0193 C:\WINNT\system32\RPCRT4.dll
> > 0x70bd0000 0x44000 5.00.2314.1000 C:\WINNT\system32\SHLWAPI.dll
> > 0x70f20000 0xe6000 5.00.2314.1000 C:\WINNT\System32\shdocvw.dll
> > 0x71590000 0x87000 5.80.2314.1000 C:\WINNT\system32\COMCTL32.dll
> > 0x77c40000 0x13c000 4.00.1381.0171 C:\WINNT\system32\SHELL32.dll
> > 0x71730000 0x57000 5.00.2314.1000 C:\WINNT\System32\shdoclc.dll
> > 0x70400000 0x77000 5.00.2314.1000 C:\WINNT\System32\MLANG.DLL
> > 0x77b20000 0xb6000 4.00.1381.0190 C:\WINNT\system32\ole32.dll
> > 0x71020000 0xc4000 5.00.2314.1000 C:\WINNT\System32\BROWSEUI.dll
> > 0x717a0000 0xb000 5.00.2314.1000 C:\WINNT\System32\browselc.dll
> > 0x779b0000 0x9000 4.00.1371.0001 C:\WINNT\System32\LinkInfo.dll
> > 0x77720000 0x11000 4.00.1381.0027 C:\WINNT\system32\MPR.dll
> > 0x77a40000 0xd000 4.00.1381.0027 C:\WINNT\System32\ntshrui.dll
> > 0x78000000 0x47000 6.01.8455.0000 C:\WINNT\system32\MSVCRT.dll
> > 0x77800000 0x3a000 4.00.1381.0093 C:\WINNT\system32\NETAPI32.dll
> > 0x77840000 0x9000 4.00.1371.0001 C:\WINNT\system32\NETRAP.dll
> > 0x777e0000 0xd000 4.00.1381.0135 C:\WINNT\system32\SAMLIB.dll
> > 0x10000000 0xc000 1.00.0000.0001 C:\WINNT\System32\amcis.dll
> > 0x65340000 0x92000 2.40.4275.0001 C:\WINNT\system32\OLEAUT32.dll
> > 0x01200000 0x8d000 1.05.0001.0018 C:\WINNT\System32\advert.dll
> > 0x776d0000 0x8000 4.00.1381.0201 C:\WINNT\system32\WSOCK32.dll
> > 0x776b0000 0x14000 4.00.1381.0172 C:\WINNT\system32\WS2_32.dll
> > 0x776a0000 0x7000 4.00.1381.0031 C:\WINNT\system32\WS2HELP.dll
> > 0x77d80000 0x32000 4.00.1381.0133 C:\WINNT\system32\COMDLG32.dll
> > 0x70280000 0x6e000 5.00.2314.1003 C:\WINNT\System32\urlmon.dll
> > 0x77a90000 0xb000 4.00.1371.0001 C:\WINNT\system32\VERSION.dll
> > 0x779c0000 0x8000 4.00.1371.0001 C:\WINNT\system32\LZ32.dll
> > 0x71190000 0x7000 5.00.2314.1000 C:\WINNT\system32\MSIDLE.DLL
> > 0x77bf0000 0x7000 4.00.1381.0160 C:\WINNT\System32\rpcltc1.dll
> > 0x70200000 0x70000 5.00.2314.1003 C:\WINNT\System32\WININET.DLL
> > 0x717e0000 0x9000 5.00.2314.1000 C:\WINNT\System32\shfolder.dll
> > 0x777f0000 0xc000 4.00.1381.0027 C:\WINNT\System32\ntlanman.dll
> > 0x77890000 0x15000 4.00.1381.0046 C:\WINNT\System32\NETUI0.dll
> > 0x77850000 0x3a000 4.00.1381.0046 C:\WINNT\System32\NETUI1.dll
> > 0x017b0000 0x36000 4.01.0000.0000 C:\PROGRA~1\GetRight\XX2GR.DLL
> > 0x77c00000 0x18000 4.00.1381.0027 C:\WINNT\System32\WINSPOOL.DRV
> > 0x77660000 0xf000 4.00.1381.0037 C:\WINNT\system32\msafd.dll
> > 0x77690000 0x9000 4.00.1381.0037 C:\WINNT\System32\wshtcpip.dll
> > 0x75320000 0x22000 4.00.1381.0194 C:\WINNT\System32\RASAPI32.DLL
> > 0x74a10000 0x1f000 4.00.1381.0135 C:\WINNT\System32\TAPI32.dll
> > 0x750f0000 0x10000 4.00.1381.0194 C:\WINNT\System32\RASSCRPT.dll
> > 0x75210000 0x7000 4.00.1371.0001 C:\WINNT\System32\RASFIL32.dll
> > 0x752f0000 0xb000 4.00.1381.0194 C:\WINNT\System32\rascauth.dll
> > 0x751a0000 0x12000 4.00.1381.0194 C:\WINNT\System32\rasman.dll
> > 0x74ff0000 0xe000 4.00.1381.0201 C:\WINNT\System32\rnr20.dll
> > 0x75360000 0x7000 4.00.1371.0001 C:\WINNT\System32\rasadhlp.dll
> > 0x70c30000 0x240000 5.00.2314.1002 C:\WINNT\System32\mshtml.dll
> > 0x4a000000 0x2c000 6.00.0000.8169 C:\WINNT\System32\PDM.DLL
> > 0x4aa00000 0x15000 6.00.0000.8146 C:\WINNT\System32\MSDBG.DLL
> > 0x76ab0000 0x5000 4.00.1381.0001 C:\WINNT\System32\IMM32.DLL
> > 0x711b0000 0x76000 5.00.0000.3715 C:\WINNT\System32\jscript.dll
> > 0x48080000 0x28000 3.10.0337.0000 C:\WINNT\System32\MSLS31.DLL
> >
> > Esta particularidad daria argumentos a aquellos que quieren ver en
> > Aureate un troyano: el sistema enlaza con los navegadores para
> > asegurarse su ejecucion sin necesidad de los programas anfitriones,
> > ademas con la posibilidad de espiar los eventos que suceden mientras
> > navegamos.
> >
> > En las pruebas realizadas no se ha podido detectar en ningun caso que
> > las librerias cargadas en memoria por Internet Explorer, sin la
> > mediacion de los progamas anfitriones, mantuvieran algun tipo de
> > comunicacion con los servidores de publicidad. Por lo que respecta a
> > este analisis la unica evidencia, demostrada, es que las librerias de
> > Aureate se cargan en memoria cuando se lanzan los navegadores de
> > Microsoft o Explorer, incluso tras la desinstalacion de los programas
> > anfitriones con las que se distribuyeron dichas DLLs.
> >
> > Las pruebas en este apartado han consistido en el analisis a nivel de
> > paquetes derivado de la navegacion al azar durante 10 minutos. En el
> > debe queda realizar el analisis por un periodo de tiempo mas
> > prolongado, asi como comprobar si estas librerias utilizan su posicion
> > en memoria para seguir actualizando las cookies registradas por los
> > servidores de publicidad.
> >
> > Desinstalar Aureate
> >
> > Por Internet ya circulan algunas utilidades que tienen como fin el
> > desinstalar el sistema de Aureate, en los casos probados ninguna de
> > ellas realiza la desinstalacion total de las DLLs de las diferentes
> > versiones, y mucho menos de las entradas del registro. Ademas,
> > provocan que los programas que utilizan esta tecnologia dejen de
> > funcionar. Con la informacion proporcionada en este analisis se puede
> > llevar a cabo la limpieza total o parcial, a base de borrar todas las
> > librerias y registros del sistema mencionados. En el caso de que se
> > quieran conservar los programas con tecnologia Aureate en
> > funcionamiento, pero se desee eliminar la activacion automatica con
> > los navegadores, bastara con borrar la libreria amcis.dll, asi como
> > seria adecuado eliminar las entradas en el registro que le hacen
> > referencia.
> >
> > Bernardo Quintero
> > bernardo en hispasec.com
> >
> > -------------------------------------
> > una-al-dia es un servicio de HispaSec (http://www.hispasec.com)
> >
> > ---------------------------------------------------------------------
> > (c) 2000 Hispasec. copyright en hispasec.com
> >
> >
> >
_________________________________________________________________________
> > Comunidad Virtual Internet para usuarios:
> > http://www.ictnet.es/esp/comunidades/internet/
> > Envia tus mensajes a mailto:internet en ictnet.es
> > Informacion lista: http://www.ictnet.es/esp/comunidades/internet/#3
> >
_________________________________________________________________________
> >
>
>
>
>