Access Diver
4.0
(9.9.00)fügt die CD_Load.exe in die Startreihe
ein, welche eine Internet-Verbindung etabliert.
ACDsee ab V3
(10.3.00) Der Admin eines kleinen LANs berichtet,
daß seine
Firewall outbound-Versuche registrierte.
Seine fundierte Recherche ergab, daß die Adresse acdsystems.com
anvisiert wurde, und sein Sniffer fand UDP-Packet die Registrierungsnummer!
Der Schreiber der Mail ist ein Profi und ich empfehle, seine
Recherchen ernst zu nehmen.
(10.9.00) ACDSee(V3.1e von FOSI)
Es wird berichtet, daß "...ein Modul namens ACDINTOUCH nöchte
gern seinem Server einige "unwesentliche" Informationen übermitteln: Produkt-ID,
Seriennummer, Name, Firma, E-Mail, Betriebssystem... "
Weiter wird berichtet, daß unmittelbar nach diesem Vorfall sämtliche
Dateien auf C: gelöscht wurden, was jedoch nicht bewiesenermassen durch
ACDSee verursacht ist...
Weiterhin wurde nach der Installation ein Task namens Port3 gesichtet, der
bisweilen nicht zugeordnet werden kann.
Addweb
Diese Soft läßt die Registrierung beim Hersteller authentifizieren.
Adobe GoLive 4(28.9.00)
verbindet sich zum Localhost (?!) laut ZoneAlarm:
PE,2000/09/13,19:53:53 +2:00 GMT,Adobe GoLive Application,127.0.0.1:1025,N/A
Seltsam, oder?
Adobe Photoshop(1012.00)
startet die RPCSS.exe, bzw installiert sie neu, falls diese exe gelöscht
wird.
Näheres dazu unter http://cexx.org/rpcss.htm.
Erfolgversprechend sei es die exe umzubenennen.
Einer Mail zufolge verfahren auch weitere Adobe-Produkte so...zumindest
trifft dies auf Framemaker 5.5.6 zu.
Advanced Administrative Tools
Diese Soft läßt die Registrierung beim Hersteller
authentifizieren.
das beweisende Log:Rule "Advanced Administrative Tools" blocked (www.awe.com,http).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,1261)
Remote address,service is (www.awe.com,http)
Process name is "C:\USERPROG\AATOOLS\AATOOLS.EXE"
Advanced Dialer 2
Dieses Einwahlprog sendet (4.2.00) bei jeder Einwahl eine
Datei, bzw eine Mail an eine Adresse der Firma PYSOFT.
Und die ist - ratet mal - der Hersteller ;-)
AK-Mail 3.0 deutsch
(11.7.00) Hierzu folgendes Log:
at guard meldete:
Rule "Implicit block rule" blocked (www.triwdata.ch,http). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1089)
Remote address,service is (www.triwdata.ch,http)
Process name is "*****\AK-MAIL\AKMAIL.EXE"
(18.7.00)Andererseits wird auch von äußerst verläßlicher
Stelle berichtet,
daß AK-Mailer nicht nach Hause telefoniert, sondern daß es sich
hierbei um
einen sogenannten Web-Bug handelt - hier mehr dazu
AI Robo Form
(9.10)führt bei jedem Auto-Fill einen Update-Check bei http://www.roboform.com/
durch.
Dies ließ sich mit ZoneAlarm bemerken und blockieren.
AOL Instant Messenger(22.2.01)
schmiert ab, wenn man ihn blockt. Er hält auch die Verbindung zu MS,
wenn er nicht geblockt wird.
Screenshot hier. Die Auto-Update-Funktion läßt
sich per Registry unterbinden - siehe Screenshot
hier. Dazu den Wert von AutoUpdate = 0 setzen.
Audio Grabber
Dieses Prog verbindet sich mit dem Hersteller und macht sich ungültig.
MAßNAHME: Löscht das File slicks.cnt, evtl öfter, falls
es sich erneut sperrt.
Die Validierung wird nur bei Benutzung des CDDB-Features durchgeführt.
(6.2.00) Bestätigung dessen für V1.6, Tip: Benutzt zwei Versionen,
die Full zum grabben, die Free, um zu saugen(CDDB). Nicht mit
der Full ins Netz zu gehen (PC tilt)
Dies (15.2.00) gilt auch für den Full-Release der Version 1.5
(26.4.) Es wird berichtet, daß sich das Prog, als es während
einer
online-session gestartet wurde, gesperrt hatte, bzw sich als Trialversion
darstellte und zur Eingabe der Serial aufforderte, obwohl es zuvor mit Keygen
problemlos lief.
Jedoch läßt sich auch dieses Ungemach beseitigen, wenn man im
Windows-
Ordner die Datei video32.ind löscht.
(25.5..00)weitere Dateien besagter Art: ssplz.cnt, floss.cnt
Ein fleissiger Forscher hat folgende Gemeinsamkeiten der betreffenden
Dateien herausgearbeitet:
1. Sie liegen immer in \windows
2. Sie enthalten immer nur "F1621"
3. Sie enden immer auf ".cnt" (Ausnahme: video32.ind)
4. Sie sind immer 80 byte groß, wobei die ersten vier byte so
aussehen: "46 31 36 32 31", dezimal also F1621. Die restlichen 75 byte
bestehen nur aus "00" ("nop" sozusagen ;) )
5. Sie werden immer ca. 6-7 Monate zurückdatiert.
Es scheint also so zu sein, daß es eine Reihe möglicher Dateinamen
gibt. Evtl. per Zufallsgenerator ermittelt und dann für den AG in der
Registry versteckt... Verschlüsselt natürlich, denn auch mit hview
oder wdasm32 läßt sich in der Audiograbber.exe kein Hinweis auf einen
dieser Dateinamen finden. Auch in keiner anderen beiliegenden Datei.
Trotzdem sollte es anhand dieser Kriterien kein Problem sein, die
Lock-Datei zu finden...
...Besser kann man es einfach nicht sagen. Dankeschön :-))
(4.6.00)Ein weiterer Weg zu problemlosen CDDB-Abfrage:
-Lockdatei suchen und modifizieren, zB F1621 in E1621 ändern.
-Diese Datei als system, hidden, readonly unter Datei-Eigenschaften markieren.
Diese Methode begründet sich darin, daß scheinbar die Lockdatei
auf einem
bestimmten PC immer den gleichen Namen erhält. So jedenfalls bei dem
Tüftler,
der diese Methode der Allgemeinheit zur Verfügung stellt. Dankeschön
:-)
(8.6.00)Neue Info: Die Lockdatei muß nicht unbedingt auf .cnt enden
oder
video32.ind heißen(siehe info vom25.5.). Sie wurde auch als drop16.old
benannt
gefunden. Somit gelten aber auf jeden Fall die Kriterien:
- im Windows-Verzeichnis
- 80 Byte Länge
- enthaltene Zeichenfolge: F1621
Ergänzung zu Audiograbber 1.6(18.3.01)
Weitere Zieldatei der Dateimanipulation:
agroove.old 80 byte groß, Anfang des Inhalts genauso A1600 (Hex: 41
31 36 30 30)
Audio Sphere 1.2 (Share von PcIntern 12.99)
(3.2.00) Trojaner <DUN Control> in einer der DLL´s. Wenn
dies vom
Author beabsichtigt ist, kann man sich denken, warum!
Aureate-Software(25.2.00)
Ich habe eine bessere Liste gefunden, als die, die ich von mir bisher
hatte -
deswegen verlinke ich sie hier....
Einen Aureate-Scanner gibt´s bei John
Omega -
in der Rubrik "Soft" gucken. Testet ihn bitte, John freut
sich über Feedback.
(2.3.00)Ein Anti-Spy-tool gibt´s auch von Cokebottle hier.
Achtung, die davon gelöschten DLL´s könnten die
betroffenen Progs teilweise nicht mehr benutzbar machen.
(6.3.00)Weitere Diskussion auf einem anderen Forum
siehe unter Quellen
(26.12.00)Ein Leser hat mir heute als Textfile eine Liste mit Spyware-Programmen
zugeschickt, die Ihr hier downloaden könnt.
Ich bitte um Verständnis, daß ich den Text nicht nachformatiert
habe....keine Zeit...sondern ihn präsentiere "as is".
(6.1.01)Ad-Aware
liegt, wie ein User mitteilt, nun in der 4er-Version vor. Holt Euch dieses
nützliche kleine Teile von www.lavasoft.de.
Dort findet Ihr die mittlerweile erweiterte Version, sowie die Database,
und die FAQ dazu.
Sehr empfehlenswert. Ein Danke an die Jungs und Mädels dort - Ihr seid
klasse. Das Prog ist übrigens Freeware und ich bitte Euch, sagt den
Codern mal in einer kurzen Mail "Dankeschön", damit sie spüren,
sie machen´s nicht umsonst :))
(6.1.01)Nochmal Aureate:
Mich erreichte die Einsendung eines Users, der eine weitere Liste von Aureate-Progs,
sowie den installierten dll´s schickt. Ferner hat er eine batch-script
für die autoexec.bat gebastelt, daß beim System-Start auf Aureate
überprüft. Eigentlich eine simple Sache, aber nützlich...Zwar
werden dabei ein paar Leute den Kopf schütteln, aber andererseits bin
ich sicher, daß Einige auch dankbar dafür sein werden :). Deshalb
hier das Textfile im Originalton.
Babylon-Translator
Dieses Prog kann sich online ja einiges vom Hersteller holen.
Laut @Guard versucht es aber auch unaufgefordert,
sich mit dem Hersteller zu verbinden(Mail vom 31.1.00)
Info (28.2.00): Auch wenn man unter "configure" die Option
"Auto-Update" deaktiviert, werden von Zone-Alarm Verbindungsversuche
gemeldet.
(15.5.) Das bestätigt auch folgendes Log:
Outbound UDP packet
Local address,service is (0.0.0.0,4140)
Remote address,service is (192.168.***.***)
Process name is "C:\PROGRAMME\BABYLON TRANSLATOR\BABYLON.EXE"
Und das obwohl, wie der mitgesandte Screenshot besagt, daß sämtliche
Auto-Update
und Verbindungs-features abgestellt sind.
(01.06)Nochmal ein kleines Log:
>Outbound TCP connection
>Local address,service is (0.0.0.0,3433)
>Remote address,service is (clients.babylon.co.il,http)
>Process name is "babylon.exe"
Gemäß des Eventlogs wird alle 10 Minuten !!! versucht, diese
Verbindung zu
etablieren.
(23.10) Babylon 3.1b build 9 versucht es jetzt mit Cydoor. Hinlänglich
bekannte Firma,
wir erinnern uns an Aureate,
läßt sich Daten via eines Programmes namens
CD_Load.exe übermitteln, wie man es auch an anderer Stelle gesehen
hat. Im Reg-Key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
findet man den Cydoor-Clienten. Wenn man die Reg nach Cydoor untersucht,
findet man unter einem Eintrag "Exist File" die Babylon.exe.
Bei Babylon 3.1b build 23 (22.2.01)
lohnt es sich, den Cydoor-Clienten aus der Reg zu entfernen. Die Eigenwerbung
con Babylon kommt trotzdem noch.
Bali Tools 2000
(24.3.00) verbindet sich zum Hersteller.
Battleclient von Shadowfactor
verbindet sich (6.2.00) mit dem Herstellerserver,
auch ohne daß man einer Session beitritt oder startet. Hier ein Log:
Rule "BFC_HOMECALL" blocked (shadowfactor.com,52101). Details:
Outbound UDP packet
Local address,service is (0.0.0.0,1892)
Remote address,service is (shadowfactor.com,52101)
Process name is "C:\APPS\BFC\BATTLECLIENT.EXE"
BlackIce Defender(25.12.00)
aus dem Netz zu Testzwecken ließ nach dem zweiten Start nicht mehr
zur Arbeit bewegen...stattdessen poppte bloß das Info-Fenster auf...und
darin stand die eingegebene Serial. Inwiefern sie im Netz validiert wurde,
hm, ist aber anzunehmen
Black Widow
(24.3.00) telefoniert nach Hause. Scheinbar sucht das Prog zudem noch
nach piratierter Software auf der Platte des Users.
Blindread /Blindwrite(22.2.01)
connecten beim ersten Start laut NPF ins Internet:
This one time, the user has chosen to "block" communications.
Details: Outbound TCP connection
Remote address,service is (212.27.35.68,http)
Process name is "BlindRead.exe"
bzw.
This one time, the user has chosen to "block" communications.
Details: Outbound TCP connection
Remote address,service is (212.27.35.99,http)
Process name is "BlindWrite.exe"
Ein NS-lookup ergibt folgende Servernamen:
web2-2.pro.proxad.net und web4-1.pro.proxad.net
Bestcrypt V6.06
(24.3.00) validiert sich online. Meiner Info zufolge schlägt hierbei
nicht
mal Atguard Alarm.....scheinbar hilft hier kein Keygen, sondern ein Patch.
Wer näheres und ergänzendes weiß, bitte mail an mich.
(27.3.00)Man muß dem Prozess bcresident.exe den Internetzugang
sperren.
Es erfolgt dann nach Neuregistrierung keine Sperrung mehr.
Es heißt weiter, daß der Crack von Saltine KC aus der
Trial
das Problem des Zeitlimits löst - unter vollen Funktionsumfang.
Wer nen Link hierzu kennt, bitte mailen.
BlackIce Defender
Macht sich nach Update ungültig.
Borland c++ builder 5 Enterprise(22.2.01)
verbindet sich beim Aufruf des Menu-Punktes Hilfe->Community ins Internet.
Der Inhalt der übertragenen Daten ist bisweilen unklar. Daß es
sich dabei nicht nur um sog Community-Weitergaben handelt, lässt sich
daraus schliessen, daß auch sonst während der Laufzeit des Programms
Internetaktivität verursacht wird.
Hier das entsprechende Log:
Outbound TCP connection
Remote address,service is (www.borland.com,http)
Process name is "X:\XXXXXXXXX\BCB\CBUILDER5\BIN\BCB.EXE"
Borland JBUILDER4 (18.3.01)
Lt ZA versucht die Java.exe als Server zu fungieren. Blockt man das, läuft
das Prog trotzdem weiter.
Boss-Alarm V2000-I
(28.5.00) Wenn diese Version mit dem Crack von Breakpoint
testverlängert wird, schaltet sie sich nach der Einwahl direkt zum
Hersteller
auf die "license-error"-Seite. Dabei wird dem User mitgeteilt,
daß seine
IP gelogged wurde und er zur vermeidung strafrechtlicher Verfolgung das
Prog gefälligst binnen 10 Tage registrieren soll.
Das Programm wird benutzt um beim Surfen im Büro, falls der Chef rein-
kommt, mit einem Tastendruck einen unauffälligen Bildschirm zu generieren.
Scheinbar hat der Hersteller einem Crack-Anwender gedroht, dessen Chef
auch von der Benutzung des Progs zu unterrichten. Das ganze schlägt
dann mit
ca 50 DM für´s Prog sowie 70DM "Bearbeitungsgebühr"
zu Buche.
Tolle Methode, um an Geld zu kommen......
BPM Studio professional V3.0.0.0
(23.7.00) überraschte den arglosen User eines Tages, daß jetzt
ein Programm-
Update zum Download bereit stünde. Telepathie oder Phonehome....?!
BPM-Studio Home-Version 2.0
(22.11.00)versucht lt. Atguard bei einer Online-Verbindung nach Hause zu
telefonieren. Das Blocken des outbounds führt zu Schädigungen
diverser Programm-Teile. Bleibt man offline läßt sich das Programm
problemlos betreiben.
Buddyphone 2
(23.7.00) verbindet sich via UDP auf Port 701 zu buddy.nikoma.de und zwar
bei jedem Anruf und völlig ungefragt.
Bulletproof FTP
Vebindet sich mit dem Hersteller zur Registrierungsvalidierung.
(25.5.00) Keygens funzen bis V1.13, ab 1.15 nicht mehr. Allerdings
soll es serials geben, die auch mit V1.21 problemlos funzen.
(21.6.00) Erneut wird von Phonehome-Aktivitäten der V1.21 berichtet.
Es wird empfohlen, nur Versionen bis 1.15 zu verwenden
(11.7.00) Bestätigend kann zur v1.21 gesagt werden, daß ein User,
der per keygen testzeitverlängerte, folgende Nachricht während
einer
online-session erhielt:
"Disconnected.Illegal key detected - you are running Bullet Proof FTP
illegally! An illegal keymaker was used to create the key that BPFTP
is registered with. Illegal use will not be tolerated.
If you register right away this incident will be overlooked. You will
now be taken to the registration page automatically."
C-4-U(9.9.00)
Die Freeware, die Webseiten auf Aktualisierungen überprüft, versucht
sich zu
http://www.2c4u.com/ via Port 15174 zu
verbinden.
(9.10.00)
Ich habe mir erlaubt den Hersteller anzuschreiben, und bekam zum Thema "Phonehome"
folgendes mitgeteilt:
"....Yes, this is a sort of a 'Phone-Home' action done by C4U for needs
of statistics, however it does not reveal the user, hence, all our users
are anonymous. ....."
Capture Express Copyright 1999 by
Insight Software Solutions
versucht ZoneAlarm sich mit dem Hersteller zu verbinden.(5.2.00)
CD-Box-Labeler Pro 1.4(16.4.01)
fügt den uns bekannten Phonehome-Task cd_load in die Registry ein,
und zwar unter
HKEY_LOCAL_MACHINE-Software\Microsoft\Windows\CurrentVersion\Run damit der
Müll bei jedem Windows-Start mitgestartet wird. Dort kann der Reg-Key
entfernt werden.
CDrLabel v4.1 (16.4.01)
telefonierte trotz mehrer laufender Firewalls nach Hause und sperrte die
Serial danach. Die Lücke ist unklar...
CFA-Test
versuchte laut (4.2.00) 3mal eine DFÜ-Verbindung zu etablieren,
unabhängig davon, ob als Share oder "Vollversion" ;-) genutzt.
CineMaster 2000(22.10.00)
ein DVD-Player, versucht laut ZoneAlarm auf 209.249.155.32 zuzugreifen,
und diese IP gehört dem Hersteller, http://www.cinemazing.com/.
ClipMate V5.1.xx
Verbindet sich bei ungültiger/gesperrter Seriennr. mit dem Hersteller
Laut dem Amok-Board (6.2.00) wird erstens der wirklich zur Version
passende Keygen benötigt. Sonst bekommt man wöchentlich die Auffor-
derung zur Serialeingabe. Ein Post schlägt vor (unter NT und 98) unter
HKEY_CURRENT_USER\Software\Thornsoft\ClipMate5\Registration,
das unter der Registrationsnummer stehende Datum in ferne Zukunft zu
setzen.
CloneCD 2.2.1.1.
(4.6.00) Das beliebte 1:1-Brennerproggie, welches mittels *testzeit-
verlängernder* Serial betrieben wurde, sperrte sich, nachdem es während
einer
Online-Session im Hintergrund lief. Die Neu-Eingabe der Serial war daraufhin
auch erfolglos. Obwohl hier kein beweisendes Firewall-Log vorliegt, deutet
alles auf ein Phonehome-Problem hin.
(9.9.00)
In den aktuellen Versionen muß das Feature "Automatisch nach
Updates suchen" deaktiviert
werden, da ansonsten während der darauf entstehenden Verbindung zum
Hersteller die Serial
gecheckt und evtl. geblacklisted wird.
Cool3D V3 von Ulead
(12.11.00) versucht nach Programmstart eine Verbindung zu ulead.com.tw
aufzubauen, die sich aber mit Atguard blocken lässt.
The user has created a rule to "block" communications.
Details: Outbound TCP connection
Remote address,service is (www.ulead.com.tw,http)
Process name is "u3dedit3.exe"
Collectorz.com: Deren Produkte, Music/Movie/Mp3-Collector telefonieren
lt Atguard nach Hause.
Läßt sich aber blocken und die Progs funzen weiter.
Comet System Webcursors
(30.6.00) Die dl-bare Cursorsoft telefoniert nach Hause, mindestens zur
Über
mittlung der User-Daten. Der outboundversuch findet aber auch unter
dem lokalen Windows-Explorer statt. Die Ziel-IP gehört der Firma.
Und das sagt
die Firma dazu.
Copernic 2000Pro ab V4.1
(4.2.00)
Falls man ein Serial aus dem Internet benützt, wird ab dem ersten
Update Werbung eingeblendet. Und die ist nicht abschaltbar!
Es liegt nahe, daß das Prog die Serial beim Hersteller verifiziert.
Fraglich ist, ob´s mit nen Keygen klappt - Wer hat diesbzgl Erfahrungen?
Weiterhin ist fraglich, ob und welche Infos noch an den Hersteller
gingen?
(8.2.00)Deshalb mit @guard die Verbindung zu www.copernic.com
zu sperren. Desweiteren in der Registry(HKEY_CURRENT_USER\
Software\Copernic Techologies\Copernic4Plus\Preferences\) den ShowAD-
Schlüssel zu entfernen oder unter
(HKEY_CURRENT_USER\Software\Copernic Techologies\Copernic4Plus\
Preferences\ShowAd\) den Wert 0Xffffffff in 0X00000000 zu ändern, um
das Werbefenster zu eliminieren.
(25.5.00)Bei V4.1 von FOSI nicht mit der mitgelieferten Serial die Engine
updaten, sie ist blacklisted. Mit anderen Serials klappt das Update auf
4.5
problemlos
(18.7.00)Für V4.5 ein beweisendes Firewalllog:
Rule "Implicit block rule" blocked (128.11.22.30,http). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,1131)
Remote address,service is (128.11.22.30,http)
Process name is "C:\PROGRAMME\COPERNIC 2000 PRO\COPERNICSVR.EXE"
(6.8.00)Copernic 2000 pro V4.55
NIS 2K meldete folgenden outbound:
IP: 209.143.224.12 Port: 6010 Application: Copernicsvr.exe
Laut Conseal gehört die IP zu msn.homepages.talkcity.com
Copyshop 2000
sperrt sich laut einer Mail vom 4.2.00 auch im Zuge einer online-session.
Corel Draw 8 (18.3.01)
versucht während einer Online-session Kontakt zum Corelserver über
Port 80 zu etablieren.
Das Update auf Corel 10
drängt zwingend zur Verbindung ins Internet. Bricht man ab, läßt
sich Corel nicht mehr starten oder möchte in 7 Tagen erneut erinnern...
Cproxy
(6.8.00)Dieser Universalproxy verbindet sich nach Installation
sofort
via Smtp zu reg.computalynx.net. Dabei werden 48 Bytes gesendet
und 86 Bytes empfangen.
CPUidle
prüft laut Firewall, ob ein Internetverbindung besteht.
Leider konnte man mir diesbzgl. kein Log senden.
Hat jemand noch ein Log, wohin das Prog sich wendet, bzw Infos
über den Inhalt des Sendeversuchs?
CrystalFTP 2000.0.087 als free(22.2.01)
installiert den TimeSink Adbot. Dieser Trojaner-artige Bot sendet nicht
nur update-Anfragen, sondern bekannterweise auch Personen- bzw Rechnerbezogene
Daten ins Netz. Interessanterweise verwendet bei dem betroffenen User auch
GetRight das TimeSink-Verzeichnis und legt dort in CDB und IDX-Files
u.a. den Realnamen an.
CSE HTML-Validator
Laut E-Mail vom 4.2.00 verbindet sich das Prog mit zuhause, um die Serial
zu verifizieren. Ohne das läßt es sich nicht freischalten.
Scheinbar(7.2.00) funzt es aber mit dem Keygen von the Damn.
Links zum download (12.2.00):http://jtb.bj.csc.com.cn/
oder direktes downen unter
http://jtb.bj.csc.com.cn/zipfile/200002/dm_hv404.zip
Hier wird scheinbar die Registry so modifiziert, daß das Prog denkt,
die
Verifizierung sei positiv verlaufen.
CuteFTP 3.5
verbindet sich(20.2.00) über Port 1055 ungewollter Weise ins Netz.
Angesteuert wird hier www.aureate.com, siehe auch hier.
(25.6.00)Neues von der Version 3.5.6: Sie telefoniert nach dem Start zu
aureate (siehe auch entspr. topic),
die Ziel-IP ist 216.37.13.140.port 1975
Neu hinzugekommen ist das Feature, daß selbst nach nem reboot, wenn
NUR der Browser gestartet wird, diesselbe IP laut Conseal angesteuert wird,
bei best Internetverbindung. Also ohne daß Cuteftp aufgerufen wurde.
Dieser
Versuch läßt problemlos blocken. Interessant ist aber, daß
wenn der allein laufende
Browser wieder geschlossen wird, das Heimweh von Cuteftp auch aufhört.
Der betroffene Browser ist Netscape 4.72. Hier scheinen die Jungs von Aureate
wieder ne Lücke gefunden zu haben. Gibt es ähnliche Erfahrungen
mit dem IE?
(6.8.00)CuteFTP 4.0
versucht regelmäßig auf allen möglichen Ports Rechner anzusprechen,
deren
Namen auf conducent.com enden.
Rule "Winsock FTP Client" blocked (contents.conducent.com,http).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,2614)
Remote address,service is (contents.conducent.com,http)
Process name is "C:\PROGRAMME\CUTEFTP\CUTFTP32.EXE"
Rule "Winsock FTP Client" blocked (contents.conducent.com,http-proxy).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,2615)
Remote address,service is (contents.conducent.com,http-proxy)
Process name is "C:\PROGRAMME\CUTEFTP\CUTFTP32.EXE"
Weitere betroffene Ports sind 2616,2617, 17027, http-Ports,
http-proxy, telnet,
Weitere bekannte angesteuerte Adresse: bootstraps.conducent.com
CSE HTML-Validator
(24.3.00)Nachdem dieser Punkt von mir gecancelled wurde, da wahrscheinlich
falsch,
zeigen neue Informationen, daß die Soft sich doch zum Hersteller verbindet.
Zumindest
wird beim Update-Check die Serial validiert.
Abhilfe soll hierbei das Löschen dieses Reg-Keys schaffen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\CSE3310
Delphi 5 Enterprise
(6.8.00)telefoniert laut Zonealarm nach Hause.
Desktop Superserver
(7.2.00)Die aktuelle Version merkt, ob sie mit Crack oder
falscher Serial freigeschaltet wurde. Neben der Unart, Files aus dem system-
verzeichnis zu löschen, sendet es Userbezogene Daten, u.a. auch die
.pwl-Files, die bekanntlich Passwörter enthalten, an den Autor.
Damit gehen auch die real-name-mailaddy, der Internetaccount sowie evtl.
gesp. Passwort, etc raus. Übel,übel...:-(
Dialer 2000 V1.5(22.2.01)
versucht unverbesserlich nach Updates zu suchen, was dieses Log belegt:
DFÜ-Adapter [0000][No matching rule] Blocking outgoing TCP: src=x.x.x.x,
dst=64.182.83.89, sport=1043, dport=80.
Allen Anschein nach handelt es sich als auslösenden Prozess um den
besagten Dialer.
DFX 4.0
(9.10)der Stereo-booster für gängige MP3-Player verbindet sich
zu cgi.fxsound.com via port 80, sobald man eine Netz-Verbindung startet.
(6.1.01)DFX 4.1
Auch wieder ein traditionsbewußter Nachfolger ;) Wie Version 4.0 des
Stereo-Addons versucht auch diese Version wieder eine Verbindung zur Heimat
zu etablieren.
DFX V5.0(16.4.01)
verhält sich wie seine Vorgänger:
Internet-Verbindung zu cgi.fxsound.com via port 80
Diskeeper V5.0
(21.6.00)telefoniert nach Hause. Der Anwender erhält eine Mail vom
Hersteller,
und das ist kein Liebesbrief ;-). Scheinbar checkt die Soft die Testzeitverlängerung.
Weiter Info´s folgen.....
DownloadAccelerator plus V3.908
(8.3.00) sogar als Vollversion *ähem* getestet, versucht es über
TCP Kontakt zu ads.downloadaccelerator.com aufzunehmen.
Das läßt sich aber mit AtGuard 3.22 blocken und das Prog läuft
trotzdem
weiter.
Download Accelerator Plus (16.4.01)
funkt zu http://www.componentsoftware.com/.
So wie es aussieht bietet die dahinterbefindliche Firma Software zur Aktualisierung
von Programmkomponenten und Dokumenten....scheint auf ungefragte Updatesuche
rauszulaufen.
Der DownloadAccelerator 4.0plus
versucht laut NIS zu ads.downloadaccelerator.com und mirrorsearch.speedbit.com
Daten zu senden. Nur Werbung und Suche nach alternativen DL-Adressen?? Nun
ja, wenn man diese Adressen blockt, funzt das Prog trotzdem....
Dreamweaver 3 von Macromedia
(30.6.00) Es handelt sich um eine downgeloadete und per keygen testzeitverlängerte
deutsche Version. Nachdem der User die Teile seiner Homepage per
Dreamweaver
hochlud, erhielt er 2 Wochen später ein Schreiben des Macromedia- Anwalts
mit der
Forderung zur Nachlizensierung oder es droht die Anzeige.
Macromedia hatte dabei sämtliche Daten der Page sowie des Users als
Inhaber,
Uhrzeit und Datum sowie Volumen des Uploads. Auch Serial und Installationsdatum
waren bekannt. Das bedeutet, daß DW während des Uploads eine
unbemerkte
Verbindung zum Hersteller etablierte und besagte Daten sendete.
EditPlus Texteditor V2.01a
(11.4.00) Es besteht der Verdacht, daß sich das Prog online validiert,
vom
User unbemerkt geschweige denn gewünscht. Die mit Keygen freigeschaltete
Version wird dabei mit der Bemerkung, daß die Serial defekt sei, wieder
zur
Trial-Version.
Einstein
verbindet sich mit dem Author, falls ein falscher Key verwendet wurde.
etinfo v3.9 (18.3.01)
das kleine Netzwerktool versucht über Port 80 eine Verbindung zu www.netinfo.co.il
zu etablieren.
Eudora 4.3
sendet laut einer Mail vom 28.2.00 in unregelmäßigen
Abständen
an den Server jump.eudora.com über Port 80.
Der Inhalt dieser Verbindung ist unklar.
(01.06.00)Das Prog holt sich update-Informationen über obige Verbindungen.
Wer das nicht möchte, sperre zB unter AtGuard den Port 80 für
den Prozeß eudora.exe
(05.07.00)Das Mitsniffen im sponsored Mode ergab, daß es sich hierbei
um die
im Werbefenster angezeigten Gif´s handelt. Ob das im Paid oder Simple
Mode
genauso ist, ist jedoch nicht bekannt.
(23.7.00)Die verantwortliche Datei heißt CD_LOAD und befindet sich
gepackt
im Eudora-Ordner. Nach einer unbekannten Anzahl von Starts wird sie entpackt
ins
%Win%\system, worauf Atguard beginnt, outbound-Versuche zu melden.
Löschen kann man die 5 entpackten Files nur im DOS-Mode.
(6.1.01)Eudora 5.0.2
Auch diese Version verspürt analog zu den Vorgängern akutes Heimweh,
was dieses Log belegt:
Outbound TCP connection
Remote address,service is (jump.eudora.com,http)
Process name is "Eudora.exe"
Geblockt funzt Eudora aber weiter.
EUPromote
(11.4.00) siehe auch hier unter SubmitWolf.
Extractor Pro
verbindet sich scheinbar immer mit dem Hersteller.
FDDP(18.3.01)
Das Freedrive-Saugtool wird von Atguard gemeldet:
Outbound TCP connection
Remote address,service is (fddp.6x.to,http)
Process name is "E:\PROGS\FDDP_BETA_110\FDDP.EXE"
Feurio V1.31
"Brennend" heiße Info hierzu - Klick
hier
Feurio 1.51(18.3.01)
Auch dieser Version wird Phonehome nachgesagt. Log ist leider nicht vorhanden.
Aber es wird von Sperrung nach online-session berichtet.
FileBack PC V3.2beta
versucht (20.2.00) bei jeder Interneteinwahl eine ungewünschte Verbindung
zu www.maxoutput.com über Port 1064 zu etablieren
File Navigator 2.10(18.3.01)
von der C´t
Mp3 Shareware-Seite installierte wohl den seltsamen "uninstall
onflow.exe", der auch lt Atguard prompt nach Hause funken will:
Outbound TCP connection
Remote address,service is (147.208.175.70,http)
Process name is "uninstall onflo"
Die IP gehört der Intel Corporation....
Filezip 2000(16.4.01)
ein ZIP-Manager, kontaktiert in längeren Abständen den Heimatserver
auf der Suche nach Updates, zumindest wird einem das aber auf der Homepage
mitgeteilt. Hier zu finden...
Filzip(18.3.01)
Dieser Freewarepacker telefoniert nach Hause, was von Atguard gemeldet wurde.
Die IP 212.227.118.66 läßt sich www. filzip.com zuordnen und
der Verkehr geht über Port 80. Diese Programm wurde von C´t empfohlen.
Wer einen alternativen Packer sucht, der sollte sich nach easyzip 2000 oder
dem Powerarchiver bei tucows umsehen.
Flash-FXP
Es(7.2.00) wird bei der Live-update-Funktion, die das prog von Zeit
zu Zeit anbietet, die gefakede Reg. gellogged und der Name für die
nächste
Version des Progs ge-blacklisted, wenn man den Yes-Button klickt.
tE sagt, daß es bereits über 2100 sind ...... Also Vorsicht.
FlashGet V0.88
(23.10.00) installiert laut Ad-Aware 17(!) Spy-Files, und zwar von mehreren
Spy-Firmen, u.a Aureate und Cydoor. Nach Bereinigung durch Ad-Aware läuft
FlashGet aber trotzdem.
Fluid Promotion
(24.3.00) verbindet sich beim Benutzen einer fake serial mit dem Hersteller.
Fur Fighters(6.1.01)
Dieses Spiel aus der Acclaim-Schmiede versucht lt ZA auch eine Verbindung
ins Netz zu etablieren. Leider kein Log mit Zieladdy vorhanden....
