| |
Zurück zu
rossaepfel-theorie.de
"Auch wie schön, dass
niemand weiß, dass ich Rumpelstilzchen heiß!"
(Gebrüder
Grimm: Rumpelstilzchen)
"Ha! glad am I that no one knew ... that Rumpelstiltskin is my name!"
(Wikipedia:
Rumpelstiltskin)
Translations of this text
can be made e.g. by inserting www.rossaepfel-theorie.de/Aurora.htm to the
Google-Translator
http://www.google.com/language_tools?hl=en.
Internet-Parasiten begleiten Recherche zur Umverteilung nach oben –
Kleiner Exkurs zur hartnäckigen PC-Verseuchung durch Rumpelstilzchen
(Persistent PC-Infection)
(Zur aktuellen Trojaner-Kriminalität sh. auch
"Gefälschte Rechnungen schleusen Trojaner ein", t-online.de,
27.10.2008.)
Die Adware Aurora, alias aurareco.exe, nail.exe, doxwnvessz.exe,
thnall1a.exe, thnal1ac.exe, thnall1z.exe, vyrxeus.exe, nxfgcwa.exe,
nhlxlx.exe, qhvssmw.exe, auraupg1.exe, ohngnbw.exe usw., offenbar auch
Fremdstart von rasautou.exe, und der Weg zum Deinstallationsprogramm auf der Seite
http://www.bestoffersnetworks.com/uninstall/.
Dieser Eindringling ist an Hartnäckigkeit kaum zu überbieten und
verursacht bei einer hergestellten Internet-Verbindung intervallweise
ständig die Firewall-Meldung, dass er aufs Internet zugreifen will
(unter den verschiedenen Namen). Er ist auch bekannt unter der
Sammelbezeichnung "aBetterInternet". Solche Schönfärberei erinnert an
die hier beschriebene Sprach- und Faktenverdrehung bei dem globalen
Hauptthema, um das
es auf dieser Website eigentlich geht, nämlich um den intranationalen und
internationalen Parasitismus durch neoliberale Meinungsmacher (opinion leaders)
und andere asozialen Profiteuren mit irreführenden Anpreisungen und
Appellen zur steuerlichen und sonstigen Umverteilung des Volkseinkommens nach oben in
ihre eigenen Taschen. Es geht dabei also auch um irreleitende
Selbstbenennungen ("christlich", "liberal", "frei", "sozial",
"demokratisch"), die Feststellung der "wahren" Namen ("neoliberal",
"neokonservativ" - sh. dazu auch
rossaepfel-exkurse.de)
und um die "Arbeitsplatzvernichtung
durch Umverteilung nach oben" (sh.
rossaepfel-theorie.de)
dank der "Unpolitischen", die sich mit der alltäglichen
Desinformations-Berieselung in Kernfragen zu ihren Lasten begnügen.
Ganz nebenbei zeigt die Geschichte von Rumpelstilzchen in
Gestalt des raffgierigen Königs die großen Profiteure, in Gestalt der
Gold spinnenden armen, ausgebeuteten Müllerstochter ihre Opfer und Produzenten ihres
Reichtums und in Gestalt des dienstbaren Müllers ihre Handlanger. Dass
der König das arme Mädchen als Goldeselin schließlich auch noch
heiratet, zeigt den Kern des Standesbewusstseins.
Jedenfalls liegt
die EDV-technisch laienhafte kleine Recherche nach einem eher
unpolitischen Parasiten nicht ganz weitab vom Thema, und die
Veröffentlichung dient auch hier sowohl der Solidarität mit den Opfern
als auch zur Anprangerung der Täter.
Die "Adware" (ebenfalls euphemistisch von advertising software = Werbe-Software) ist
hier "nur" ein nervenaufreibender Befall zum Ausspionieren von
Verbraucher-Gewohnheiten (Besucherprofil bezüglich kommerzieller
Webseiten usw. zwecks anschließender Werbung). Dennoch kann man vor dem
gleichzeitigen Ausspionieren von Kontodaten, Passwörtern usw. trotz
aller Beteuerungen von Adware-Schleusern nie sicher
sein, gerade bei so dreisten Schönfärbern (sh. unten). Auch wenn
es sich bei anderen Eindringlingen "nur" um die Einschleusung von
äußerst lästigen Popup-Funktionen handelt, ist der geläufige Oberbegriff
"Malware" (von französisch "mal" = übel, schlecht, böse) für
solche "Adware" gerechtfertigt. Mit dem poetischen Namen "Aurora" nach der römischen Göttin
der Morgenröte ist man den neoliberalen Etikettenschwindlern sogar schon
einen Schritt voraus. Der Name Rumpelstilzchen wäre passender (sh.
unten). "Aurora" sollte der Entlarvung des Parasitismus und dem neuen
Tage vorbehalten bleiben.
Solange vom PC keine Internet-Verbindung bestand, versuchte außerdem noch
das später irgendwie fremdaktivierte Programm rasautou.exe, den Browser zu starten
und den Internetzugang herzustellen. Das geschah ständig aufs neue,
nachdem man die Störung jeweils wieder weggeklickt hatte. Dabei meldete es stets
einen Passwortfehler, weil es das Passwort nicht kannte. Nach der
Aurora-Deinstallation (sh. unten) gab es zwar in Windows XP noch den
Remote Access Service Auto Dialler (Utility?)
rasautou.exe des Microsoft-Betriebssystems unter
c:\windows\system32\rasautou.exe vom 18.8.01 mit 12 KB, aber es
waren keine Aktivierungen mehr zu bemerken. (Sh. zu rasautou.exe die
Funktionsbeschreibung usw. unter
http://www.auditmysoftware.com/process/rasautou sowie weitere
Einzelheiten unter
http://www.dateiname.info/f/rasautou.exe.html - beides gefunden mit
[rasautou.exe] bzw. [rasautou.exe "remote access service"] über
http://search.msn.de, wo man bei
Fragen zu Microsoft-Programmen offenbar eine gute Auswahl hat).
Bei der Internetrecherche sollte man also - allein schon zur Entdeckung
solcher Aktivitäten -auf eine Firewall zur Abwehr
von Viren, Trojanern, Würmern und sonstigen Eindringlingen (engl.
Intruders) aus dem World Wide Web nicht verzichten. Das PC-System kommt
damit jedoch nicht dauerhaft zur Ruhe, besonders wenn die Firewall
ständig neue Aktivitäten der Eindringlinge entdeckt. Auch der
Satelliten-TV-Empfang über PC und dessen Aufzeichnungen werden dadurch erheblich
beeinträchtigt, auch wenn man die Internetverbindung beendet und dann die
störende Firewall deaktiviert sowie den "Indexdienst"
von Microsoft (Suchbeschleuniger für den Windows-Explorer) vorübergehend
oder auf Dauer abschaltet (z.B. durch "Start" > "Ausführen" von
Ciadv.msc). Aber selbst mit
einer Firewall kann man sich leicht Parasiten einfangen, die sich weder
mit den bekannten Antivirenprogrammen noch mit den zahlreichen
Programmen gegen "Browser Helper Objects (BHO)", Trojaner, Würmer,
Adware usw. dauerhaft beseitigen lassen.
Die obigen Alias-Dateien sind aufgelistet nach Eintragungen in der Protokolldatei
"Warnungen" aus Norton Internet Security, zu erreichen nach Installation
des Programms über "Norton AntiVirus" > BERICHTE > PROTOKOLLDATEIEN
ANZEIGEN > NORTON INTERNET SECURITY > WARNUNGEN. Im Zusammenhang mit der
ständigen Neuentstehung dieser Alias-Dateien aus einem unbekannten
Eindringlings-Programm erscheinen im Windows-Task-Manager unter "Prozesse" immer neuen Buchstabenkombinationen für die exe-Dateien,
deren Zugriffsversuche aufs Internet von der Firewall gemeldet werden.
Wenn man sie unter "Prozesse" löscht, erscheinen sie dort sofort wieder
neu mit einer neuen Buchstabenkombination und ungefähr gleicher "Speicherauslastung".
Man sucht vielleicht wochen- und monatelang in hunderten von
internationalen Foren und Zeitschriftenbeiträgen und findet dort meist
mehr Fragen als richtige Antworten. Oft werden auch Programme empfohlen,
die den Eindringling nur bis zum nächsten PC-Neustart entfernen oder ihn
kostenfrei entdecken, dann aber den Programmkauf für einen
Deinstallationsversuch voraussetzen. Manchmal werden auch ellenlange,
kaum nachvollziehbare Einzelschritte zur Beseitigung beschrieben, oder
es wird einfach zur Neuformatierung der Festplatte aufgefordert, was
dann aber bei jedem Neubefall erforderlich wäre.
Nach vielen vergeblichen Recherchen findet man vielleicht
unter
http://forums.spybot.info/archive/index.php/t-145.html folgenden
Hinweis auf die Website maddoktor2.coms:
In order for the
infection to be removed entirely you will need to go to a forum that
removes malware using a program called HijackThis. (HJT)
A good place to start:
http://asap.maddoktor2.com/
Damit kommt man
weiter unter
http://forums.maddoktor2.com/index.php?showtopic=5104 und folgendem Beitrag einer Annette, deren
Sohn den Eindringling mit einem Deinstallationsprogramm seines
Einschleusers löschen konnte. Leider konnte sich Annette nicht mehr an
die Webseite dieses Verursachers erinnern:
My
son recently had the Aurora problem and I spent alot of time trying to
find an easy solution. There is one! I don't remember where off hand,
but a Google search would find it for you. There is a website that
originates the Aurora pop-ups. Go there and you'll find an option to
download an uninstaller program which removes itself after uninstalling
Aurora.
It worked for us!
Wenn man durch Recherchen oder durch die
Scanprotokolle der Firewall den Namen "abetterinternet" kennt, findet
man damit schnell die Website des Übeltäters und ist vielleicht sehr
überrascht, dass der selbst dort das Programm zum Entfernen seines
Eindringlings bereitstellt. Zunächst wird man von dem schönen
Website-Namen "abetterinternet.com" weitergeleitet zu der
Superlativ-Bezeichnung "bestoffersnetworks.com".
Aber wie bei den neoliberalen politischen Sprücheklopfern, so findet man
auch hier kaum eine brauchbare Information, wenn man sie nicht mit
gezielten Suchwörtern quasi erzwingt. Auf etlichen Umwegen gelangt man
mit etwas Glück schließlich zum Deinstallations-Programm auf der Seite
http://www.bestoffersnetworks.com/uninstall/. Dort ist aber nur von
"Best Offers Software", nicht jedoch von "Aurora" oder den obigen Namen
der EXE-Dateien die Rede. Sonst,
könnte man die Seite bei der Google-Suche nach dem Schädlingen mit dem
Suchwort "aurora" wohl leichter finden, als es den Verursachern lieb
ist, und sie könnten nicht länger herumhüpfen nach dem obigen Vers: "Ach wie gut dass niemand weiß, dass ich
Rumpelstilzchen heiß!"
Dass die Deinstallations-Software überhaupt zur Verfügung gestellt wird,
mag an den erheblichen Schadenersatzforderungen liegen, die man
vielleicht gegen die Daten-Piraten richten könnte, wenn man sie trotz
aller Tarnung ausfindig macht, denn der Zeitaufwand zur Lösung des
Parasitenproblems ist oft mit enormen Kosten oder Ertragsausfällen
verbunden.
Obwohl es sich bei abetterinternet.com bzw. bestoffersnetworks.com
anscheinend nicht um Klein-Unternehmen handelt und man sich dort mit
"Millionen Internet-Nutzern" für seine "beste freie Software im Netz"
brüstet, war nicht einmal der Firmensitz auf der Website zu finden.
Möglicherweise sind es tatsächlich Millionen, die sich gezwungenermaßen
und verzweifelt mit dieser Spionage-Software herumschlagen für das "behavioral and contextual marketing", mit dem man die zahlenden
Firmenkunden auf der Seite lockt. Solange die Spionageergebnisse von den
Zwangsnutzern fließen, werden die Daten-Piraten schon einiges von ihren
geklauten Privatdaten über das Verbraucher-Verhalten ("behave")
weitermelden können. Aber in den Selbstdarstellungen auf den
Internetseiten erweckt man natürlich den Eindruck, dass man über jeden
Zweifel erhaben sei.
Zur Feststellung des Firmensitzes von abetterinternet.com bzw.
bestoffersnetworks.com muss man erst weiter suchen nach dem eigentlichen
Unternehmensbetreiber "Direct Revenue" (http://www.direct-revenue.com/contacts.php)
aufgrund der Angabe:
"Best Offers is a division of Direct Revenue, a New York based leader in
online media." Demnach hat das Rumpelstilzchen-Unternehmen seinen Sitz in New York
und nutzt offenbar den eigenen Namenswechsel in ähnlicher Weise zur
Spionage-Tarnung wie den Namenswechsel seiner Eindringlinge. Bei den
"Millionen-Internet-Nutzern" wird also ein riesiger Aufwand zur
Verbreitung der PC-Pest getrieben, aber das Auffinden der Gegenmittel
wird mit vielen Winkelzügen erschwert. Man
fragt sich deshalb, warum die Bush-Administration nicht eingreift. Dies
erklären die "Best-Offers"-Piraten mit dem Hinweis darauf, dass keine
persönlich identifizierbaren Informationen (PII) gesammelt würden und
dass man sich voll an die US-Spionagevorschriften ("Federal Spy Act")
zum Schutz privater Daten halte. Man unterstütze auch die umfangreichen
Verbraucherschutzvorschriften, die gerade dem Kongress zur Entscheidung
vorlägen:
Best Offers
never collects Personally Identifiable Information (PII). In fact, we
favor industry regulations designed to protect privacy, and we support
HR 29, the most comprehensive of the consumer protection measures now
pending before Congress.
Sh.
http://www.bestoffersnetworks.com/consumers.php.
Diese Gesetzesinitiative wird von Verbraucherschützern jedoch eher
skeptisch betrachtet, gerade weil sie von den Spyware-Produzenten
begrüßt wird und weil die Adware-Produktion schon unter den letzte
gesetzlichen Adware-Beschränkungen (Can-Spam Act) regelrecht aufgeblüht
ist:
When adware companies are in favor of anti-spyware legislation, that's
not a good sign for consumers. Indeed, spammers have thrived under the
Can-Spam act because it made many of them just barely legitimate.
(Sh. Suzi
Turner: "Federal spyware legislation, yay or nay?",
blogs.zdnet.com,
10.10.05.) Tatsächlich gibt es auch unter den jetzigen
Verbraucherschutz-Gesetzen schon Klagen gegen DirectRevenue und andere
(sh. dazu ebenfalls Suzi Turner: "Lawsuit against 180solutions, Direct
Revenue and eXact Advertising",
blogs.zdnet.com, 20.12.05). Andererseits nutzen
Adware-Produzenten die pseudo-liberale Gesetzgebung der neoliberalen
Politiker in den USA zur üblichen Globalisierung ihres
Big-Brother-Segens und um selbst Abmahnschreiben an die
Verbraucherschützer zu schicken (sh. "Our response to Abetterinternet",
sunbeltblog.blogspot.com, 30.6.05). Es handelt sich also um den
typischen "Liberalismus" auf Kosten anderer. Im übrigen versuchen
Spyware-Produzenten, alle Kritik auf ihre Vertriebspartner abzuwälzen
nach dem Motto: "Die Übeltäter sind nicht wir, sondern schwarze Schafe
unter unseren Vertriebspartnern". Sie sagen aber nicht, dass sie selbst
ihre "schwarzen Schafe" dafür bezahlen:
"It's not us, it's a rogue distributor". Really? So who pays
the "rogue distributor"?
(Sh. "Direct
Revenue blames Bittorrent adware on an 'Intermediary'" unter
sunbeltblog.blogspot.com, 22.6.05.)
Auf der
Website
http://www.bestoffersnetworks.com/eula.php findet man noch einmal
die Bestätigung der Daten-Spione, dass eine Entfernung des Eindringlings
nur über ihr eigenes Deinstallationsprogramm möglich ist. Aber darauf
kann und soll wohl auch das Piraterie-Opfer kaum jemals mit einem der
vielen Alias-Namen kommen:
You may
uninstall the Software at any time by visiting
http://www.bestoffersnetworks.com/uninstall/. Other attempts to uninstall the Software, such as via anti-spyware
software, may not effectively uninstall the Software. Visiting a
http://www.bestoffersnetworks.com/uninstall/
is the primary method to properly remove the Software.
Der Hinweis von Annette ist besonders auch deshalb interessanter als
rein technische Anleitungen, weil man so den Ursachen dieses
Parasitismus und seinen Urhebern auf die Spur kommt. Die Urheber werden
identifiziert, da die Deinstallation aller obigen Eindringlinge offenbar
tatsächlich über die "Direct Revenue"-Software funktioniert. Den
Zweck dieses Unternehmens versteht man trotz aller Schönfärberei sehr
viel leichter als den Zweck und die tatsächlichen Zusammenhänge hinter
einzelnen neoliberalen Halbwahrheiten in Talkshows und anderen
Medienbeiträgen. Aber die Ähnlichkeit bei der Irreführung und
Schönrederei in diesen völlig unterschiedlichen Bereichen ist
verblüffend.
Am 27.9.2005 teilte "bestoffers NETWORK" nach einer bedrohlichen
Gruppenklage mit, dass Direct Revenue seine Software in Zukunft nicht
mehr über Vertriebspartner, sondern ausschließlich allein vertreiben
würde (sh. dazu die Schönredereien bei
bestoffersnetworks.com sowie die Kommentare von Suzi
Turner unter
http://blogs.zdnet.com/Spyware/?m=200509). Die Auseinandersetzung
sollte sich also nicht darauf beschränken, dass
jeder für sich persönlich irgendeine Lösung sucht (in diesem banalen
Fall z.B. durch Neuformatierung der Festplatte). Gegen bisherigen und
künftigen Parasitismus, vor allem auf politischer Ebene, hilft auch gelegentlich der Weg über die die
Gerichte, aber vor allem eine starke demokratische Aktion gegen die
verantwortlichen Politiker und Meinungsmacher.
Weitere
Einzelheiten zum Thema Spyware sh. bei Saumil Shah & Dave Cole:
Spyware/Adware – The Quest for Consumer Desktops & How it Went Wrong",
Black Hat, Japan 2005
http://www.blackhat.com/presentations/bh-jp-05/bh-jp-05-shah-cole.pdf.
Dort findet man auch einen Hinweis auf das oben genannte Unternehmen
"Direct Revenue (using many names)" (Stand 20.12.2005).
Weitere Informationen zu diesem Thema findet man z.B. durch Eingabe von
[abetterinternet site:heise.de] bei Google oder anderen Suchmaschinen.
Zurück zu
rossaepfel-theorie.de
|