PDA

Просмотр полной версии : www.effectivebrand.com- лжёт или нет ?



drongo
11.01.2005, 20:23
_www.effectivebrand.com - лжёт или нет ?
наткнулся на ихний тулбар . больше всего меня поразил их тракатат о том что они белые и пушистые (http://www.effectivebrand.com/OurPrivacy.aspx) ;D без шпионов .
проверил и оказалось что 2 длл заражены аdaware.toolbar.Ucmore .
действительно ли они посылают информацию о поиске или какую-либо другую на свой сайт или всё же "белые" и " пушистые" ?

Geser
11.01.2005, 20:28
А зачем он нужен? Если и ставить какой-то тулбар, то Гугла. Он чистый, и есть полезные функции.

drongo
11.01.2005, 20:32
А зачем он нужен? Если и ставить какой-то тулбар, то Гугла. Он чистый, и есть полезные функции.

например для рекламы и удобства пользователей virusinfo (http://www.effectivebrand.com/LandingPage.aspx/CT23311)

Geser
11.01.2005, 20:35
например для рекламы и удобства пользователей virusinfo (http://www.effectivebrand.com/LandingPage.aspx/CT23311)

Симпатично, но в бесплатный сыр не верю. Даже если сейчас он чистый, то не уверен что завтра не предложат скачать новую версию (или скачается автоматом) которая будет крутить рекламу.

Зайцев Олег
12.01.2005, 14:06
Симпатично, но в бесплатный сыр не верю. Даже если сейчас он чистый, то не уверен что завтра не предложат скачать новую версию (или скачается автоматом) которая будет крутить рекламу.

Эвристик AVZ сказал:
IUCMORE.DLL>>> Подозрение на Spy.UCMore ( 0060AE26 00000000 001F7B9A 00000000 28672)
Это уже повод задуматься ... я посмотрел в мои базы данных - первый раз я столкнулся с IUCMORE.DLL и ucmtsaie.dll 10.11.2003 ... Завтра я постараюсь потестировать этот тулбар ...
И главное (забыл, зачем лез в базы :) ) - у меня есть ссылки на его описание, правда они изменились из-за поглощения PeastPatrol конторой CA, но найти было не трудно:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=58660
http://www.spyany.com/program/article_spw_rm_UCmore.html

Зайцев Олег
12.01.2005, 17:15
Gesser был прав по поводу бесплатного сыра - это опасный SpyWare ! (Я бы даже сказал троян).
Вот данные исследования:
После установки в Инет скрытно передан блок данных:
POST http://users.effectivebrand.com/iis2ucms.asp
RequestString=%3CUCMXML%3
E%3CUSERPROF%3E%3CUSERID%3EUN20050112164749010%3C/USERID%3E%3CVE
RSION%3E4.5.23.0%3C/VERSION%3E%3CTIMESTAMP%3E01-12-2005%2016:47:49%3C/TIMESTAMP%3E%3CSPONSERID%3ECT23311%3C/SPONSERID%3E%3CLANG%
3E%3C/LANG%3E%3CPLATFORM%3EIE5%3C/PLATFORM%3E%3CUSERDATA%3E%3CCACHE%3E%3C/CACHE%3E%3CFILTERING%3E%3C/FILTERING%3E%3CPERSONALIZA
TION%3E%3C/PERSONALIZATION%3E%3C/USERDATA%3E%3C/USERPROF%3E%3CUCMMSGID%3ELOGIN_RQ%3C/UCMMSGID%3E%3CUCMMSG%3E%3CIE_VER%3E5.00.261
4.3500%3C/IE_VER%3E%3CUCM_USAGE%3E0%3C/UCM_USAGE%3E%3CEXTERNAL_U
SAGE%3E0%3C/EXTERNAL_USAGE%3E%3C
/UCMMSG%3E%3C/UCMXML%3E
Хорошо видно, что мне присвоен ID = 3EUN20050112164749010
Далее пробую открыть URL www.ya.ru. У тут-же скрытно за кадром вижу:
POST http://users.effectivebrand.com/iis2ucms.asp HTTP/1.0
..Content-Type: application/x-www-form-urlencode
d..User-Agent: UCmore..Host: users.EffectiveBrand.com..Content-L
ength: 680..Pragma: no-cache..Cookie: ASPSESSION
IDAQQSQSQR=JKIPP
ECBPOHBOBCAEOHBG
IPI; ASPSESSIONI
DACRAQSTS=NJPHDC
BBGAAOLENOBLPBFE
IE; ASPSESSIONID
QQQTRSTS=KBGJNKO
COKBPOMCMKMLHKEG
.......... порезано .....
UCMMSGID%3E%3CUCMMSG%3
E%3CCURRENTURL%3
Ehttp://www.ya.r
u%3C/CURRENTURL%
3E%3CCURRENTTITL
E%3EЯndex%3C/CUR
RENTTITLE%3E%3C/
UCMMSG%3E%3C/UCM
XML%3E..

Т.е. передан введенный мной URL и заголовок окна.
Усложняю - ввожу строку поиска в Yandex и жму OK - тут же за кадром вижу передачу:
........... порезано ....
UCMMSGID%3E%3CUCMMSG%3
E%3CCURRENTURL%3
Ehttp://www.yand
ex.ru/yandsearch
?rpt=rad%26text=
hacker%3C/CURREN
TURL%3E%3CCURREN
TTITLE%3EЯndex:%
20hacker%20(5799
40)%3C/CURRENTTI
TLE%3E%3C/UCMMSG
%3E%3C/UCMXML%3E

Вывод - это шпион, который резко повышает Инет трафик (т.к. на каждый запрос идет 3-4 пакета данных на сайт http://users.effectivebrand.com) И там получают детальный отчет о всех посещенных сайтах, введенных поисковых запросах, параметрах форм ... Более того, обмен с сайтом http://users.effectivebrand.com/iis2ucms.asp происходит каждый раз при открытии каждого нового окна IE (20-50 пакетов)

drongo
12.01.2005, 18:41
спасибо за анализ :)

врут и не краснеют >:(
но самое интерсное , что в тех ссылках на описание в пестпатруле - говориться что в четвёртой версии этого нет . думаете подкупили ?

Зайцев Олег
12.01.2005, 21:07
спасибо за анализ :)

врут и не краснеют >:(
но самое интерсное , что в тех ссылках на описание в пестпатруле - говориться что в четвёртой версии этого нет . думаете подкупили ?

Да, у них прописано Version 4.x does not do this, is not considered a pest, and is not detected by PestPatrol. и скорее всего они не врут. Дело в том, что у файлов версия - 4.5.23.0, но копирайты не UCMORE !!. Мое мнение (возможно ошибочное) - исходники IUCMORE.DLL и UCMTSAIE.DLL версии 3 были куплены конторой effectivebrand у UCMORE и доработаны (дело в том, что эвристик AVZ узнал один из файлов, сравнивая его именно с UCMORE версии 3 - различия мизирные (чуть-чуть поменялся размер, изменились ссылки внутри - а 30-50% машинного кода идентичны)).

Geser
12.01.2005, 23:27
VirusInfo.exe/UCMTSAIE.DLL - инфицирован not-a-virus:AdWare.ToolBar.Ucmore
VirusInfo.exe/IUCMORE.DLL - инфицирован not-a-virus:AdWare.Toolbar.Ucmore

Зайцев Олег
13.01.2005, 13:12
VirusInfo.exe/UCMTSAIE.DLL - инфицирован not-a-virus:AdWare.ToolBar.Ucmore
VirusInfo.exe/IUCMORE.DLL - инфицирован not-a-virus:AdWare.Toolbar.Ucmore

Именно так ... причем что интересно - это же явный SpyWare