Mária
-6 °C
-2 °C

Áruló a gépben

2002.03.12. 10:02
A BearShare fájlcserélő program titokban adatokat gyűjt a felhasználó böngészési szokásairól. A reklámok megjelenítésére hivatott n-Case alkalmazás nemcsak a meglátogatott oldalak címét rögzíti, de a megadott felhasználónevet és jelszót is. Eltávolítása sem egyszerű: hiába töröljük le a fájlcserélő programot, az n-Case ragaszkodik gépünkhöz.
Az n-Case egy úgynevezett AdDelivery, vagyis reklámközvetítő alkalmazás; a dolga az, hogy időnként egy-egy böngészőablakot nyisson meg valamilyen reklámmal. Az n-CASE azonban jócskán túlteljesíti hivatását, amikor feljegyzi, hogy a felhasználó a böngészőjén keresztül mikor milyen honlapot látogat meg. A program által készített feljegyzések nem csak a teljes URL-eket tartalmazzák, de egy olyan azonosítót is, melyek nyilvánvalóan a felhasználó egyedi azonosítására szolgálnak. És mindezt valószínűleg nem azért rögzíti, hogy a felhasználó tudta nélkül alkalomadtán, mondhatni sutyiban, ne küldje el valakinek valahová.

Jelszótolvaj

Az n-CASE veszélyességét csak növeli, hogy nem kíméli a titkos adatokat sem. Ha a program működése közben felhasználónévvel és jelszóval együtt írunk be egy URL-t, vagy olyan linkre kattintunk, ahol ezek az adatok is szerepelnek (pl. http://bela:jelszo@dotkom.com), akkor ezek is bekerülnek az n-CASE naplójába, és minden bizonnyal annak a távoli szervernek az adatbázisába is, ahová az n-CASE csatlakozik.

További aljassága még a megoldásnak, hogy a BearShare eltávolításával az n-Case nem törlődik, hanem minden gond nélkül tovább dolgozik és gyűjti-küldi tovább mozgásunk útvonalát.

Az n-CASE eltávolítása

Az n-CASE eltávolításához szükség van egy kis Registry-szerkesztésre, amihez a Start menü Run... (Futtatás) parancsát kell kiválasztani, a felugró ablakban pedig beírni regedt32 parancsot.

A Registry Editorban a bal oldali faszerkezetű böngészőben lehet a Windows Registry-t böngészni, a Ctrl-F billentyűvel pedig keresni.

A bal oldali fában való navigálással nyissuk ki a HKEY_USERS ágat. Az így megnyíló újabb ágakon belül egyenként végre kell hajtani az alábbi műveletet.


1. Nyissuk meg a HKEY_USERS soron következő ágát
2. Ezen belül keressük és nyissuk meg a Software ágat
3. Ezen belül keressük és nyissuk meg a Microsoft ágat
4. Ezen belül keressük és nyissuk meg a Windows ágat
5. Ezen belül keressük és nyissuk meg a CurrentVersion ágat
6. Ezen belül keressük és nyissuk meg a Run ágat
7. A Run ágat jelképező mappa-ikont kiválasztva jobb oldalon megjelenik a

Run kulcshoz tartozó bejegyzések listája. Ezek közül az msbb bejegyzést kell kiválasztani és törölni.

8. Újra az 1. lépés jön, a HKEY_USERS következő ágával.

Ha a fentiek sikerültek, akkor keressük meg és töröljük a következő ágakat is:
4 HKEY_CURRENT_USER\Software\180solutions
4 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\App Management\ARPCache\msbb
4 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Uninstall\msbb
4 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Uninstall\nCASE

Tekiknek
Az n-Case Windows Registry-ben több bejegyzést is létrehoz. Beírja magát a Windowsba való bejelentkezéskor lefuttatandó programok közé, valamint eltárolja egyedi azonosítónkat és még néhány egyéb adatot, amint alább látható (a duid az egyedi azonosító).

[HKEY_CURRENT_USER\Software\180solutions\msbb]
"did"="153"
"duid"="hxfgojgadaqwjqvwpzvudljwttkov"
"cbc"=dword:00000001
"collected"=dword:00000001
"int_high"="29476952"
"int_low"="762268208"
"key_int_high"="29476633"
"key_int_low"="3678555632"

Részlet az n-Case által készített naplóból:
1/10/2002 18:13:51,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://www.extremeflash.com/flas/",False
1/10/2002 18:14:1,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://flashplanet.com/body_fla.html",False
1/10/2002 18:14:20,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://flashplanet.com/body_buttons.html",False
1/10/2002 18:15:13,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://www.flashplanet.com/f5/",False
1/10/2002 18:15:58,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://linuxcentral.com/flash/",False
1/10/2002 18:16:13,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://www.flashplanet.com/f5/flas-f5.html",False
1/10/2002 18:17:33,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://www.flashplanet.com/f5/flas/GlowButton-akash.html",False
1/10/2002 18:19:31,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://www.flashplanet.com/f5/flas/aprilwine-bhogg.html",False
1/10/2002 18:19:32,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://www.flashplanet.com/f5/flas/aprilwine-bhogg.html",False
1/10/2002 18:20:6,"hxfgojgadaqwjqvwpzvudljwttkov",153,- 1,"http://www.flashplanet.com/f5/flas-f5.html",False