Gouden Gids wel degelijk spyware
De Gouden Gids ligt onder vuur vanwege de Virtuele Katja, oftewel de grootste spywarecampagne uit de geschiedenis. De afgelopen week beweerde deze overbodige gids dat er geen sprake was van Spyware-activiteiten. Wij noemden Katja.exe in ieder geval een Browser kapert: Ze scheppen er in persberichten zelfs over op dat ze concurrenten dwars zitten. We hebben Katja.exe eens op de pijnbank gelegd, de code gedecompileerd en het dataverkeer bekeken en wat blijkt: het programmaatje is wel degelijk ordinaire spyware. Katja.exe geeft namelijk door hoe laat u op staat, hoe laat u weer naar bed gaat en zelfs hoe vaak u telefoongids.nl, of een andere concurrent van de Gouden Gids intikt. Elke keer dat u een trefwoord als 'altavista' of 'telefoongids' intikt, verstuurt Katja vanaf uw pc een signaal naar de Gouden Gids-server. Dit signaal is voorzien van een unieke identificatiecode. Deze verzonden informatie wordt opgeslagen in een database. Verder wordt uiteraard ook uw ip-adres meegezonden en opgeslagen in de serverlogs. De kans dat de marketingrukkerts van de gids uw ip NIET voor marketingdoeleindengebruiken is heel, heel erg klein. Kortom, Virtuele Katja is ouderwetse spyware, Adware en een browserkapert, in de aloude spywaretraditie van al die tering-desktop buddies.
Unieke identificatie Geen spywareprogramma is compleet zonder een unieke gebruikerscode, dus ook Virtuele Katja doet vrolijk met deze registratielust mee. Het verkrijgen van marketing- en gebruiksinformatie is namelijk waardeloos zonder een 'ID' ook wel GUID genoemd. (plaatje: de code in de windows-registry)
Katja.exe maakt gebruik van een 'supercookie': een unieke code die in het windows systeemregister wordt opgeslagen op de plek:
HKEY_CURRENT_USER\Software\Gouden Gids\Virtuele Katja\IDDe key is een 31-bit code die voor elke gebruiker uniek is.
Elke keer als u Katja opstart, verzend ze direct de user-id. Vervolgens zendt Katja bij bijna elke 'actie' zoals het intikken van telefoongids.nl, deze GUID plus de verrichte actie naar de goudengids servert. Zo kunnen ze bij de Gouden Gids precies zien hoe vaak u het programma gebruikt, en wat u er mee doet. Zoals bekend, verschijnt er een zoekscherm als u een concurrent van de urinekleurige gids intikt. Marketeers kunnen meten hoe vaak u toch kiest voor de concurrent en hoe vaak u een zoekopdracht via de spyware meegeeft, om maar wat te noemen. (plaatje: link die verzonden wordt bij het openen van een zoekscherm)
Een typische link ziet er zo uit:
GET /vk/reg.php?i=3BCE86AEAE10 492CBEBC7F6F3B17AFF8& w=1&a=1 HTTP/1.1
Naast de unieke gebruikerscode wordt uiteraard ook het ip-nummer gelogd. Hoewel Katja een ingebouwde keylogger heeft die alle toetsaanslagen zoals wachtwoorden registreert, worden deze toetsaanslagen zelf niet verzonden. Als u als wachtwoord een 'triggerwoord' heeft zal de troela echter wel in beeld verschijnen en haar ding doen.
decompileren Uiteraard hebben we de code van Katja eens goed laten bekijken. Leuk voor nerds: de code toont aan dat de ontwikkelaars flink bezig zijn geweest om de spywarecode te vervolmaken, er is een stukje 'geheime' testcode achtergebleven, het deel dat de registry keys moet uitlezen:
getURL("FSCommand:fas.reg.set","HKEY_CURRENT_USER\Software \testje,Secret,654321")Het deel van de send2friend:
http://goudengids.site4u.nl/mailFriend.php? email={jouw email} &name={jouw naam}&friendEmail={rcpt}&friendName={rcpt_name}
links om op te klikken De automatische updatefunctie staat op /downloadKatja.swf De link om mee te doen met spontane winwinwin-acties staat in winMetKAtja.txt Slordig cookie-management is via deze link aan te tonen.
cookies Over cookies gesproken: de altijd wakkere Tweakers ontdekten al een tracking cookie, die linkt naar dmfacts.nl: "Dmfacts meet en analyseert dit bezoekgedrag zo actueel dat we het 'real time' noemen. Dit houdt in dat u iedere bezoeker elke seconde van de dag kunt volgen." DMfacts546734%7C1113640755%7C1 server1.dmfacts.nl/cgi-bin/katjaschuurman/ 1024557300608300719273372046496 29704799*
Concluderend De Virtuele Katja mag wat ons betreft doodvallen en de gouden gids al helemaal. De Telefoongids is toch veel beter en we zijn de telefonische verkopers van ze al jaren zat. De miljoenenverslindende marketingcampagne om dalende gebruik van dit advertentiemedium te keren is in ieder geval slecht van start gegaan.
Katja zit van boven tot onder zit het vol met klantentellers, registratiemodules, cookies en andere rotzooi. Met recht kunnen we stellen dat het ordinaire spyware is. Ondertussen hebben hebben we Katja aangegeven bij vier verschilldende anti-spywarebedrijven. Die zullen hun eigen onderzoek verrichten en de Katja-rommel ongetwijfeld opnemen in de spyware-removal list. We zeggen lekker niet welke, want dat mag GoudenGids zelf uitvinden.
Verder hebben we een Braat-o-Database achter de hand, die we samen met u gaan inzetten als de Gouden Gids door gaat met deze kansloze actie. De Braat-o-Database schrijft random ID-nummers en random acties weg naar de katja-database. Dit maakt niet uit, want volgens de marketingdirecteur wordt er toch niets opgeslagen, sterker nog, die database bestaat niet eens *kuch*...