Advert.dll e Spyware, la caccia continua

Sull'argomento riceviamo moltissime segnalazioni. Ecco alcune novità nella ricerca dei componenti a rischio e una delle lettere più significative. Un pericolo sempre più attuale?

Advert.dll e Spyware, la caccia continuaWeb - Sebbene sia noto da tempo il problema dello spyware, denunciato in primis da Steve Gibson, guardando quello che succede in casa RealNetworks, pare che la consuetudine di far spiare i propri utenti dal proprio software sia cosa diffusa a tutti i livelli...

Sul ruolo di Aureate, la società che produce alcuni dei software sotto accusa, se ne sono dette molte. In passato la Aureate ha reagito alle accuse di spyware sostenendo che erano costruite ad arte ma non erano vere. A questo proposito è però significativo un intervento di F-Secure, una delle più dinamiche aziende di sicurezza informatica europee che, dopo aver analizzato il software Aureate, ha affermato che ci sono pacchetti di dati inviati ad Aureate ma che non è possibile stabilire con certezza cosa contengono...

Alla luce di questo, c'è da chiedersi quanto manchi all'apertura di procedimenti giudiziari nei confronti di Aureate e delle softwarehouse che realizzano e diffondono spyware. In Italia il Garante della privacy dovrebbe evidentemente iniziare ad indagare sulla questione. In questo senso sarebbe opportuno che le segnalazioni degli utenti venissero inviate anche al Garante stesso.
Ad ogni modo, tra i dati da tenere d'occhio in materia di spyware, dati che abbiamo raccolto con Antonio Stano di SecurityInfos, si evidenzia che oltre ad advert.dll, amcis.dll e amcis2.dll, gli spyware più diffusi installano anche le seguenti librerie: ADIMAGE.DLL, IPCCLIENT.DLL, ADVERT203.OCX, ADVERTX.OCX, ANADSC.OCX, ANADSCB.OCX, TADIMAGE.DLL, TFDE.DLL. Possono anche presentarsi sotto forma di directory: "C:\windows\amc\" oppure "C:\windows\amcdl". O ancora come file eseguibili: Htmdeng.exe, MSIPCSV.exe.

Questi sono i problemi che possono essere riscontrati dagli utenti e che segnalano la presenza di spyware:

1. Quando si usa Netscape a volte si ottiene un crash di sistema e vedendo i dettagli del crash si scopre che advert.dll è in uso. L'errore che si ottiene è il seguente: "general protection fault in mode advert.dll at 0137:039a89e3"

NETSCAPE caused a general protection fault
in module ADVERT.DLL at 0137:022089e3.
Registers:
EAX=006fb5cc CS=0137 EIP=022089e3 EFLGS=00010206
EBX=0548fb18 SS=013f ESP=05390050 EBP=05390090
ECX=00000000 DS=013f ESI=05390180 FS=2e47
EDX=815d0058 ES=013f EDI=0221e79c GS=0000
Bytes at CS:EIP:
83 39 00 74 5e e8 67 ef ff ff e8 64 87 fa ff 8b
Stack dump:
05390164 05390180 0548fb18 00000000 00000000 00000000 00000000 00000000
00000000 0548fb04 0548fb44 00000000 0001001f 05390180 0548fb18 05390164

2. Utilizzando Internet Explorer 5.01 si ottengono dei page faults casuali che inchiodano il browser. Il fenomeno è causato da ADVERT.dll v2.01 (build 2). In questo caso purtroppo rimane solo da spegnere la macchina in quanto non è possibile in nessun modo far fronte a questo problema.

Errore ottenuto:
IEXPLORE caused an invalid page fault in
module KERNEL32.DLL at 016f:bff85d61.

3. Il CUTEFTP presenta advert.dll e se la si cancella si ottiene installazione corrotta... Questo permane finché non si registra il prodotto. Dopo di che si può anche cancellare la dll "spia".

Vi sono poi software che cessano di funzionare in caso di cancellazione della dll incriminata. Per alcuni di questi software c'è però una semplice soluzione: aprire un editor di testo come notepad.exe e creare un file di testo con dentro scritto qualsiasi cosa ad esempio:
"Sono una falsa advert.dll"
salvarla sotto c:\windows\system
rendere il file di sola lettura in modo che la nuova installazione di programmi ne prevenga la sovrascrizione.

Tra i software che contengono advert.dll ci sono: CUTEFTP, GETRIGHT, GOZILLA, DIALLER2000, FLASHGET, REALPLAYER (installa "Comet Cursor", c:\windows\system\comet.dll), NETZIP e DOWNLOAD ACCELERATOR.

Il cleaner per Comet Cursor è disponibile qui. Ma si può eliminare anche andando nel programma sotto "options/preferences" e scegliere di non registrare gli "USER HABITS".

Avvertenze: parecchie volte OPTOUT segnala che il file è in uso da Windows. In quel caso occorre ripartire in modalità PROMPT e cancellarlo. Come si ricorderà, OPTOUT è un software che permette di individuare e rimuovere lo spyware, ed è gratuitamente scaricabile qui.

(continua in seconda pagina)
TAG: privacy
1 Commenti alla Notizia Advert.dll e Spyware, la caccia continua
Ordina