盆栽
2001-03-02, 11:35 AM
來源:杜紅超轉貼
最近因為經常常時間上網,所以為保証自己的機器不被網上的黑客攻擊,特意裝了個網絡放火牆軟件,可以實時監控所有網絡端口的操作。但是另人吃驚的是,到是沒有被黑客攻擊,卻發現了我自己機器上的“黑客”。在我利用NETANTS網絡小螞蟻和JETCAR下栽時,防火牆軟件不斷發出警告,有非授權進程在訪問網絡,而且都是同一個地址。該進程為WINDOWS系統目錄下SYSTEM目錄下的MSIPCSV.EXE文件。訪問的地址是ans4.adsoftware.com是一個國外的站點。以下是放火牆軟件的日志,顯示了該秘密進程訪問的情況。所用防火牆軟件為AtGurad。
Firewall Event Log
2000-07-20 21:36:33.035 This one time, the user has chosen to "block" communications.
Details:
Outbound TCP connection
Remote address,service is (ans4.adsoftware.com,http)
Process name is "C:WINDOWSSYSTEMMSIPCSV.EXE"
或
This one time, the user has chosen to "block" communications.
Details:
Outbound TCP connection
Remote address,service is (208.184.172.196,http)
Process name is "C:WINDOWSSYSTEMMSIPCSV.EXE"
由于該事情的發生總是在我下栽東西的時候,而且是一啟動以上兩個軟件的時候產生,不免使我懷疑是否與以上兩個軟件有關。通過多次實驗,果然確証了我的看法,只要小螞蟻或JETCAR一啟動,就有MSIPCSV這個進程非授權自動訪問國外的網站。看樣子是這兩個軟件控制了MSIPCSV這個進程訪問。發現這個情況,使我非常擔心系統的安全。懷疑NETANTS和JETCAR是否就是黑客程序,將我機器上的信息傳出去或控制我的電腦。
為徹底搞清楚事實,開始全面調查。
首先從這個神秘的進程開始,該進程MSIPCSV.exe文件日期很新,在我機器上是2000年5月,顯然不是WINDOWS系統的文件,是一個外來的程序。通過反復安裝NETANTS和JETCAR程序,發現是通過這兩個程序的安裝程序裝上去的。再次証明這一系列非授權訪問是受NETANTS和JETCAR控制。然后,調查該程序訪問的到底是什么站點,如果是黑客站點,那一切看樣子都完了。通過訪問ans4.adsoftware.com站點,訪問無效,改成www.ans4.adsoftware.com登錄成功,這是一個重定向網站,實際站點被轉到http://www.radiate.com/,一看這個站點的介紹,一切都真相大白。
這實際上是一個廣告站點組織,但比一般廣告站點做的巧妙有也讓人措手不及。該網站主要意思是說,目前許多用戶下栽軟件不付錢,免費使用軟件。為使軟件開發人員獲得報酬。可以在開發的軟件中藏入一個小程序,一但用戶上網,就自動向這個網站傳送用戶的信息,然后通過這個網站與其他廣告商的合約,按使用軟件的用戶訪問的次數向軟件開發人付錢。以下是這個網站上的原文介紹。
Why not put that money to work for you?
Radiate unites you, the software developer or publisher, with advertisers in a symbiotic, profitable relationship. You get to use our advertising technology for free. Just drag and drop it into your application, it's that easy. Then watch the dollars roll in. We find the advertisers, sell the space, bill them and write you a check.
In addition, you also get:
Detailed information about the people using your program and their feedback Updated statistics on your application's performance on the Radiate Network Free listing and product description on Radiate's Binary Bliss Free membership to Radiate's new Developer Community where you'll find tips, newsgroups and much more!
譯文如下:
君子愛財,取之有道
Radiate誠摯地邀請軟件開發商和發行人的加盟,它將把你和廣告客戶的關系變成雙贏的局面。你將免費使用我們的廣告技朮,只要將用鼠標將它們拖入你的你的機器里就可以了,非常簡單,然后你就可以看到財源滾滾而來。我們會發現廣告商是在出售空間,開出帳單,然后給你填寫好一張支票。
除此之外,你還能得到:
關于使用你的程序的用戶詳細信息,以及反饋回來的關于你的Radiate Network免費清單和產品業績表現的統計數據,Radiate的Binary Bliss 免費會員對它們進行了描述,通過它你又可以進入Radiate的新開發者組織,在這里,你會發現不少秘密、新聞組,還有更多的等你來拿!(清晨譯)
最使我擔心的是,其中提到可以將使用軟件的用戶的詳細信息提供給軟件開發人員。我機器上的信息被別人偷偷獲得,這實在是太可怕了。而且,在NETANTS的功能介紹中,有這么一條:自動獲取撥號網絡的口令配置撥號時,可以不填寫User和Password,網絡螞蟻將從系統撥號網絡中獲取上一次的用戶名稱和口令。不知道,我的用戶名和密碼是否也被它傳給了他人。
該網站提供給軟件開發者一些SDK開發工具,利用這些開發工具可以開發出含有以上這些功能的軟件。
Developer Package (Version 3)
It is preferred that applications use this package.
This package is currently supported by Radiate.
This package does support offline advertising.
Email [email protected] for technical and support questions.
Entire package includes:
AdSoftware DLLs
Package Documentation
ActiveX Component
VB6 Component
VB5 Component
Delphi Component
Microsoft Visual C++ Example
Delphi Example Current component versions: adimage.dll
amcis2.dll
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll
radadvbs.ocx
radadvbf.ocx 1.0.1.2
利用這些開發工具,就可以在任何程序中加入秘密訪問的功能,上面發現的MSIPCSV.exe就在其中。該網站上也列出了許多加入該組織的軟件:Go!Zilla、CuteFTP 3.0、NetAnts、Net Vampire、Free Solitaire、JetCar、BuddyPhone 2、CuteFTP 3.0 beta、Netbus Pro 2.10等。具體可以看下面的地址:http://www.radiate.com/advertisers/products.html
可以看到,NETANTS和JETCAR也在其中,CUTEFTP,Go!Zilla等軟件也在其中。
總之,自己的機器不在我的授權下將我的信息傳給別人,或者訪問一些我不了解的網站實在是不能接收。占用的網絡資源點擊些廣告還可以接受,但誰能保証這個站點是否安全不會入侵我的系統,不會將軟件用戶的信息交給別人,這道后門難道不會被黑客利用,等等情況實在另人難以接受。號稱是免費下栽,但卻通過這種用戶不知情的情況下獲取利益和他人信息。另外,發現在軟件的安裝時有一個授權文件LICENSE.TXT,由于完全是英文的,所以沒有注意,而且原先以為和其它軟件一樣是禁止復制等版權信息或者是象自由軟件可以自由復制等信息。這次仔細一看,原來是www.radiate.com提供的一份版權文件,其中提到了他的行為。但對于不懂英文的朋友等于沒有,而且即使懂英文的人,又有多少人會仔細看過。
我不知道這種做法是否違法,這和黑客或特羅依木馬程序有和區別。但我認為這是不合理的,也請各位討論下,希望能有個結果。
看樣子大家還是小心點好
*****我想問,用廣告移除軟件,能解決ㄇ,這個檔案(WINDOWS系統目錄下SYSTEM目錄下的MSIPCSV.EXE文件)還會繼續運作ㄇ????********
贊助商連結
最近因為經常常時間上網,所以為保証自己的機器不被網上的黑客攻擊,特意裝了個網絡放火牆軟件,可以實時監控所有網絡端口的操作。但是另人吃驚的是,到是沒有被黑客攻擊,卻發現了我自己機器上的“黑客”。在我利用NETANTS網絡小螞蟻和JETCAR下栽時,防火牆軟件不斷發出警告,有非授權進程在訪問網絡,而且都是同一個地址。該進程為WINDOWS系統目錄下SYSTEM目錄下的MSIPCSV.EXE文件。訪問的地址是ans4.adsoftware.com是一個國外的站點。以下是放火牆軟件的日志,顯示了該秘密進程訪問的情況。所用防火牆軟件為AtGurad。
Firewall Event Log
2000-07-20 21:36:33.035 This one time, the user has chosen to "block" communications.
Details:
Outbound TCP connection
Remote address,service is (ans4.adsoftware.com,http)
Process name is "C:WINDOWSSYSTEMMSIPCSV.EXE"
或
This one time, the user has chosen to "block" communications.
Details:
Outbound TCP connection
Remote address,service is (208.184.172.196,http)
Process name is "C:WINDOWSSYSTEMMSIPCSV.EXE"
由于該事情的發生總是在我下栽東西的時候,而且是一啟動以上兩個軟件的時候產生,不免使我懷疑是否與以上兩個軟件有關。通過多次實驗,果然確証了我的看法,只要小螞蟻或JETCAR一啟動,就有MSIPCSV這個進程非授權自動訪問國外的網站。看樣子是這兩個軟件控制了MSIPCSV這個進程訪問。發現這個情況,使我非常擔心系統的安全。懷疑NETANTS和JETCAR是否就是黑客程序,將我機器上的信息傳出去或控制我的電腦。
為徹底搞清楚事實,開始全面調查。
首先從這個神秘的進程開始,該進程MSIPCSV.exe文件日期很新,在我機器上是2000年5月,顯然不是WINDOWS系統的文件,是一個外來的程序。通過反復安裝NETANTS和JETCAR程序,發現是通過這兩個程序的安裝程序裝上去的。再次証明這一系列非授權訪問是受NETANTS和JETCAR控制。然后,調查該程序訪問的到底是什么站點,如果是黑客站點,那一切看樣子都完了。通過訪問ans4.adsoftware.com站點,訪問無效,改成www.ans4.adsoftware.com登錄成功,這是一個重定向網站,實際站點被轉到http://www.radiate.com/,一看這個站點的介紹,一切都真相大白。
這實際上是一個廣告站點組織,但比一般廣告站點做的巧妙有也讓人措手不及。該網站主要意思是說,目前許多用戶下栽軟件不付錢,免費使用軟件。為使軟件開發人員獲得報酬。可以在開發的軟件中藏入一個小程序,一但用戶上網,就自動向這個網站傳送用戶的信息,然后通過這個網站與其他廣告商的合約,按使用軟件的用戶訪問的次數向軟件開發人付錢。以下是這個網站上的原文介紹。
Why not put that money to work for you?
Radiate unites you, the software developer or publisher, with advertisers in a symbiotic, profitable relationship. You get to use our advertising technology for free. Just drag and drop it into your application, it's that easy. Then watch the dollars roll in. We find the advertisers, sell the space, bill them and write you a check.
In addition, you also get:
Detailed information about the people using your program and their feedback Updated statistics on your application's performance on the Radiate Network Free listing and product description on Radiate's Binary Bliss Free membership to Radiate's new Developer Community where you'll find tips, newsgroups and much more!
譯文如下:
君子愛財,取之有道
Radiate誠摯地邀請軟件開發商和發行人的加盟,它將把你和廣告客戶的關系變成雙贏的局面。你將免費使用我們的廣告技朮,只要將用鼠標將它們拖入你的你的機器里就可以了,非常簡單,然后你就可以看到財源滾滾而來。我們會發現廣告商是在出售空間,開出帳單,然后給你填寫好一張支票。
除此之外,你還能得到:
關于使用你的程序的用戶詳細信息,以及反饋回來的關于你的Radiate Network免費清單和產品業績表現的統計數據,Radiate的Binary Bliss 免費會員對它們進行了描述,通過它你又可以進入Radiate的新開發者組織,在這里,你會發現不少秘密、新聞組,還有更多的等你來拿!(清晨譯)
最使我擔心的是,其中提到可以將使用軟件的用戶的詳細信息提供給軟件開發人員。我機器上的信息被別人偷偷獲得,這實在是太可怕了。而且,在NETANTS的功能介紹中,有這么一條:自動獲取撥號網絡的口令配置撥號時,可以不填寫User和Password,網絡螞蟻將從系統撥號網絡中獲取上一次的用戶名稱和口令。不知道,我的用戶名和密碼是否也被它傳給了他人。
該網站提供給軟件開發者一些SDK開發工具,利用這些開發工具可以開發出含有以上這些功能的軟件。
Developer Package (Version 3)
It is preferred that applications use this package.
This package is currently supported by Radiate.
This package does support offline advertising.
Email [email protected] for technical and support questions.
Entire package includes:
AdSoftware DLLs
Package Documentation
ActiveX Component
VB6 Component
VB5 Component
Delphi Component
Microsoft Visual C++ Example
Delphi Example Current component versions: adimage.dll
amcis2.dll
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll
radadvbs.ocx
radadvbf.ocx 1.0.1.2
利用這些開發工具,就可以在任何程序中加入秘密訪問的功能,上面發現的MSIPCSV.exe就在其中。該網站上也列出了許多加入該組織的軟件:Go!Zilla、CuteFTP 3.0、NetAnts、Net Vampire、Free Solitaire、JetCar、BuddyPhone 2、CuteFTP 3.0 beta、Netbus Pro 2.10等。具體可以看下面的地址:http://www.radiate.com/advertisers/products.html
可以看到,NETANTS和JETCAR也在其中,CUTEFTP,Go!Zilla等軟件也在其中。
總之,自己的機器不在我的授權下將我的信息傳給別人,或者訪問一些我不了解的網站實在是不能接收。占用的網絡資源點擊些廣告還可以接受,但誰能保証這個站點是否安全不會入侵我的系統,不會將軟件用戶的信息交給別人,這道后門難道不會被黑客利用,等等情況實在另人難以接受。號稱是免費下栽,但卻通過這種用戶不知情的情況下獲取利益和他人信息。另外,發現在軟件的安裝時有一個授權文件LICENSE.TXT,由于完全是英文的,所以沒有注意,而且原先以為和其它軟件一樣是禁止復制等版權信息或者是象自由軟件可以自由復制等信息。這次仔細一看,原來是www.radiate.com提供的一份版權文件,其中提到了他的行為。但對于不懂英文的朋友等于沒有,而且即使懂英文的人,又有多少人會仔細看過。
我不知道這種做法是否違法,這和黑客或特羅依木馬程序有和區別。但我認為這是不合理的,也請各位討論下,希望能有個結果。
看樣子大家還是小心點好
*****我想問,用廣告移除軟件,能解決ㄇ,這個檔案(WINDOWS系統目錄下SYSTEM目錄下的MSIPCSV.EXE文件)還會繼續運作ㄇ????********
贊助商連結