AUREATE und ihr Vorgehen

AUREATE bietet Shareware Authoren die Möglichkeit Statistiken über ein Webangebot abrufbar zu machen - das heisst
diese Firma bietet einen "SDK - KIT" an, um Softwareschmieden die Möglichkeit zu geben "Nutzer ihrer Software"
auszuspionieren und sensible Daten auszuwerten (Registry, Surfverhalten, Bannerclicks, installierte Software usw.).

Das AUREATE Prinzip funktioniert folgendermassen:

Bei der Installation bestimmter Softwareprodukte die dieses SDK-KIT beinhalten, werden Dateien im Windows System Verzeichnis soweit verändert und hinzugefügt, um beim Surfen Informationen des Benutzers im Hintergrund an AUREATE zu senden. Meistens halten sich auch in diesen Programmen ständig wechselnde "Werbanner" auf. Diese Daten werden von AUREATE in Statistiken verpackt und zahlenden Kunden ausgeliefert.

Folgende Dateien werden vom AUREATE SDK KIT in Softwareprogrammen installiert oder modifiziert:

-adimage.dll
-advert.dll
-advpack.dll
-amcis.dll
-amcis2.dll
-amcompat.tlb
-amstream.dll
-anadsc.ocx
-anadscb.ocx
-htmdeng.exe
-ipcclient.dll
-msipcsv.exe
-tfde.dll

Funktionen der einzelnen Dateien:

-advert.dll

=======
Diese DLL versendet im Hintergrund bei jeder aktiven Internet Verbindung und Browserstart über den Port: 1749 , 4 Seiten mit Informationen an AUREATE mit folgenden Inhalt:

Der Name des PC Besitzers der in der System Registry eingetragen ist
(nicht der Namen der bei der Installation der Software angegeben wurde)!
Die aktive IP Adresse des Benutzers!
Der DNS (ISP) des verwendeten Zugangs um das Land zu ermitteln!
Eine Liste der besuchten URLS von der letzten Internet Sitzung (History)
Aufschlüsselung des Surfverhaltens:
- Den Namen und die Webseite von downgeloadenen Datein (Größe, Type, Zeit)
- Alle Bannerclicks
- Zeitstempel wann gesurft wird (inkl. Surfdauer)
- Die Gewählte Telefonnummer der DFÜ Verbindung (im LAN den Netzwerkanbieter)
- Angeblich soll das verschlüsselte PW der DFÜ Verbindung mitgesendet werden (nicht eindeutig bewiesen!)

Eine Liste aller Softwareprodukte die in der Registry eingetragen sind

-advpack.dll & amcis.dll

=========
Diese DLLs modifizieren folgende Registry Keys:

1. HKEY_CURRENT_CONFIG
2. HKEY_DYN_DATA
3. HKEY_PERFORMANCE_DATA
4. HKEY_USERS
5. HKEY_LOCAL_MACHINE
6. HKEY_CURRENT_USER
7. HKEY_CLASSES_ROOT

Die aktive oleaut32.dll die von M$ in den Speicher geladen wird, wird umgeleitet das die
anderen DLLs aktiv werden können sobald der Browser gestartet wird.

-amcompat.tlb

===========
Diese DLL leitet eine Liste aller verwendeten Multimedia Clips (Video, Sounds , Flash)
inkl. der ausgeführten URL, des Datendurchsatzes weiter. Diese Datei verwendet auch der
Real Player für Datenspionage und MP3 Softwareprodukte.

-amstream.dll

==========
Diese DLL ist verantwortlich das der Port: 1749 geöffnet wird und die Kommunikation zu AUREATE hergestellt wird.

Wie schafft man sich das Problem vom Leib (PC)?:

==============================================

Möglichkeit 1:
Windows Benutzer öffnen den Sytemordner von Windows und suchen die oben aufgelisteten DLLs und entfernt sie aus dem Ordner (in einem anderen Ordner sichern). Läuft das System stabil und uneingeschränkt (ausser der oben aufgelisteten Softwareprodukte) können sie gelöscht werden.
Die Anwesenheit von AUREATA kann ganz leicht nachvollzogen werden in dem man auf die betreffenden DLLs mit der rechten Maustaste klickt und "Eigenschaften" wählt.

Möglichkeit 2:
Benutzen Sie das Freewaretool "AD-aware v4.55" um die Dateien zu entfernen
Vorsicht ist bei der Datei "advpack.dll" geboten, diese Datei sollte von der originalen M$ Windows CD überschrieben werden. (wurde von AUREATE modifiziert!!)

Quelle: Newsgroups, thanks to Gismo
-MoMolly-