Digitale Welt | Freitag, 7. Mai 2010

Adobe-Akamai-„Trojaner“ rsmac_3652

Wenn es etwas gibt, was ich hasse, dann sind das heimliche Installationen auf meinem Rechner. Im Zuge der Installation der Photoshop-Trial-Version CS5 ist ungefragt auch etwas von Akamai installiert worden, was unentwegt nach Hause telefoniert.

Als ich heute zu Testzwecken meinen lokalen Proxy Privoxy abgeschaltet hatte, meldete die ausgehende Firewall Little Snitch, dass sich ein Programm namens rsmac_3652 zu einem Akamai-Server verbinden möchte (Privoxy und Little Snitch sind so konfiguriert, dass nur Programme aus einer Whitelist durchgelassen werden, deshalb bemerkte ich diese nach Hause telefonieren-Versuche erst nach dem abschalten von Privoxy). Aber was, bitteschön, ist rsmac_3652? Gescroogelt und herausgefunden, dass das irgendein Daemon von Akamai ist. Den ich allerdings nie selbst installiert habe.

Also die Aktivitätsanzeige geöffnet und den Prozess beenden wollen – ging nicht. Stattdessen wollte sich das Ding bei jedem Versuch, es zu beenden, zu zwei verschiedenen Akamai-Servern verbinden. Okay, also Terminal gestartet, die PID von dem Ding ermittelt und ein sudo kill versucht. Als Antwort kam dies:

Screenshot

Der Prozess wurde zwar beendet, aber sofort wieder neu gestartet. Also musste es irgendeinen übergeordneten Prozess geben, der kontrolliert, ob rsmac_3652 läuft und es gegebenenfalls neu startet. Mit Lingon nachgeschaut und fündig geworden:

Screenshot

Nach dem Löschen von loader.pl ließ sich dann auch rsmac_3652 beenden.

Wenn man sich die Bestandteile der Akamai-Installation mal anschaut, kriegt man das kalte Datenschutzgrauen: In diversen Text- und Logfiles wird unter anderem dokumentiert, dass eine GUID erzeugt und auf meinem Rechner gespeichert wurde, die dann anschließend mit weiteren Daten ungefragt nach http://log3.redswoosh.akadns.net/logs/ hochgeladen wurde.

Und seither versucht dieses trojanergleiche Ding ununterbrochen, sich mit meiner GUID zu Akamai zu verbinden und irgendwas dorthin zu senden. Hier ein Auszug aus der Logdatei (persönliche Daten unkenntlich gemacht):

V3652:100507_083809: Starting Up. Akamai NetSession Interface
V3652:100507_083809: [info] escapehatch.cpp:main(1): Proxy for initial EHCheckEscapeHatch call is ''
V3652:100507_083832: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 88.221.141.29:443, closing. [[64] Host is down]
V3652:100507_083832: [warn] EscapeHatch.cpp:EscapeHatch_RequestHTTP(1063): Received '' for 'https://client.akamai.com/conf/client_ini.html?guid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX&stage=startup&rand=XXXXX&iniKey=XXXXXXXXXXXXXXX' proxy ''.
V3652:100507_083833: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 88.221.141.29:443, closing. [[64] Host is down]
V3652:100507_083835: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 77.67.10.140:443, closing. [[64] Host is down]
V3652:100507_083836: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 77.67.10.148:443, closing. [[64] Host is down]
V3652:100507_083838: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 77.67.10.140:443, closing. [[64] Host is down]
V3652:100507_083842: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 77.67.10.140:443, closing. [[64] Host is down]
V3652:100507_083849: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 77.67.10.140:443, closing. [[64] Host is down]
V3652:100507_083900: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 77.67.10.140:443, closing. [[64] Host is down]
V3652:100507_083915: [warn] RSNet.cpp:RSNetTcpSocketOpen(1241): Could not connect to 77.67.10.141:443, closing. [[64] Host is down]

Und so geht das dann im 15-Minutentakt weiter.

Ich habe Akamai bisher immer für eine ganz seriöse Firma gehalten. Dass heimlich etwas auf meinem Rechner installiert wird, was mit einer GUID ununterbrochen nach Hause funkt (die lokalen Logfiles sind nach zwei Tagen bereits knapp 50 MB groß), lässt mich meine Ansicht allerdings deutlich revidieren.

Kurzkritik Photoshop CS5

Und eine weitere Erkenntnis: Das Update auf Photoshop CS5 kann ich getrost auslassen. Die wesentlichsten Neuerungen wie z. B. Content Aware Fill, Puppet Warp, Lens Correction und HDR Pro brauche ich nicht. Das erste funktioniert nicht mal halb so gut wie in den diversen vorab veröffentlichten Filmchen, das zweite ist für mich persönlich völlig nutzlos, für Lens Correction habe ich PTLens und für HDR Photomatix Pro.

Also dann, Adobe, bis (vielleicht) CS6.

Kommentare:

Bei den Kommentaren handelt es sich um fremde Inhalte, die sich „esse est percipi“ nicht zueigen macht. Verantwortlich für den Inhalt eines Kommentars ist der jeweilige Verfasser.

der Stilpirat Freitag, 7. Mai 2010, 16:38 Uhr

… bin mal gespannt, wie Du die Trial wieder sauber von der Platte bekommst. Adobe packt Dir ja so viele Dateichen in unterschiedliche Ordner, und behauptet nach der De-Installation steif und fest, Du hättest alles noch auf der Platte…

Andreas Levers Freitag, 7. Mai 2010, 16:44 Uhr

Danke für den Hinweis. Ohne den hätte ich den Prozess vermutlich nicht bemerkt.

In den Adobe-Foren gibt es von einem der Nutzer eine Anleitung, wie man dieses völlig überflüssige Programm wieder los wird:

1.) Terminal öffnen
2.) mit cd /Applications/Akamai in das Verzeichnis wechseln
3.) ./AdminTool uninstall -force

Ich bin bei Photoshop CS5 sehr zwiegespalten. Einige der neuen Funktionen, z.B. die deutlich verbesserte Rauschreduzierung in ACR oder die automatische 8-Bit-Konvertierung beim Speichern von JPEGs, sind sehr nützlich aber besonders die nicht dem Mac entsprechenden UI-Konventionen sind unterirdisch.

Michael Preidel Freitag, 7. Mai 2010, 17:47 Uhr

@Stilpirat: Stimmt leider. Nur ein Beispiel: Wenn man das Flash Beta-Plugin mal installiert hatte und zur regulären Version zurückkehren will, muss man es mit einem offiziellen Adobe-Flash-Deinstaller entfernen. Hat man das gemacht, behauptet der Installer der regulären Version trotzdem, es gäbe noch eine neuere Installation, die man entfernen müsse. Lässt man den Deinstaller dann noch zwei, drei mal laufen, hat man irgendwann Erfolg. Adobe hat die mit Abstand grottoidesten Installer der Welt.

@Andreas: Das hatte ich auch gefunden, bei mir gab es aber gar kein AdminTool im Akamai-Ordner, deshalb musste ich das ganze etwas eingehender untersuchen. Die ACR-Rauschreduzierung ist in der Tat deutlich verbessert, aber das ist leider auch das einzige, was mir bisher positiv aufgefallen ist. An die manuelle Konvertierung in 8-Bit vor dem Speichern habe ich mich mittlerweile auch so gewöhnt, dass ich beschlossen habe, einen Versionssprung auszusetzen.

Martin Böhm Freitag, 7. Mai 2010, 18:04 Uhr

Das mit dem Akamai-Trojaner ist ja echt spannend.

Wahrscheinlich verdienen sich die Trojaner-Autoren dieser Welt part-time als Angestellte großer Firmen ein Zubrot (oder anders herum…). Naja, wenn man ein mal ein funktionierendes Framework hat, warum soll man es verkommen lassen. Kann man genauso gut auch an Akamai verkaufen.

Das machen andere Firmen sicher genauso; ist ja der feuchte Traum eines jeden Marketingfuzzis in so einem Laden – ganz genau herauszufinden, wie die Kundenbasis aussieht. Und wenn man schon mal dabei ist, ein paar Daten zu sammeln, kann man ruhig auch noch ein paar mehr sammeln. War ja schließlich kostenlos, das Trial. Wenn nur der Kunde was davon hat, wo kämen wir da hin? ;-)

David Belson Freitag, 7. Mai 2010, 19:58 Uhr

1. The installation of the Akamai Download Manager was not secret. The Adobe Trial download process very clearly states that a user needs to install the Akamai Download Manager in order to download the CS5 trial. The additional step of running the installer is also required.

2. No personally identifiable information is being collected.

3. For more information about the Akamai NetSession Interface, the technology behind the Akamai Download Manager, please see http://www.akamai.com/client

Michael Preidel Freitag, 7. Mai 2010, 20:34 Uhr

Lieber David,

doch, das war secret. Top secret!.Wenn ich – nach dem Einloggen mit meiner Adobe-ID – die Trial Version von Photoshop CS5 herunterladen wollte, kam dieses Fenster:

Ich wählte:

To download the the files directly, click here.
File 1 of 1

Das ist etwas völlig anderes als

The Adobe Trial download process very clearly states that a user needs to install the Akamai Download Manager in order to download the CS5 trial.

Zu diesem Zeitpunkt war aber nur durch den CS5-Download-Klick bei Adobe die Akamai-Software längst auf meinem Rechner. Obwohl ich die niemals haben wollte. Sondern nur Photoshop CS5

Ich habe die Trial Version also ausdrücklich „directly“ heruntergeladen. Ohne irgendwelche unerwünschte Akamai-Software.

Warum ich hier trotzdem einen sehr aktiven Daemon auf dem Rechner hatte, sollten Sie mir noch erklären.

Unter uns: Es ist überhaupt erstaunlich, dass Sie schon 3 1/2 Stunden nach meinem Blogeintrag einen beschwichtigenden Kommentar schreiben – sieht mir sehr nach Schadensbegrenzung aus.

Und – die Frage sei gestattet – warum muss sich dieses Akamai-Zeug selbst nach einem vervollständigten Download noch immer im System einnisten und nach Hause telefonieren? Das ist doch komplett überflüssig und lässt nur den Schluss zu, dass da datenschutzrechtlich was ganz und gar nicht mit rechten Dingen zugeht.

Oder sehen Sie das anders?

Steffan Dienstag, 11. Mai 2010, 15:34 Uhr

Auch gut, muss ich dieses Mal nicht upgraden … und die verbesserte Rauschreduzierung nützt mir in Lightroom 3 eh mehr.

Falls noch nicht bemerkt, Scroogeln funktioniert mit dem neuen Google-Interface nicht mehr:
_Now that interface is gone. It is not possible to continue Scroogle unless we have a simple interface that is stable. Google's main consumer-oriented interface that they want everyone to use is too complex, and changes too frequently, to make our scraping operation possible._

Michael Preidel Donnerstag, 13. Mai 2010, 23:34 Uhr

@Steffan: Hatte ich auch kurz gesehen, offensichtlich hat Google das alte Interface für Scroogle doch wieder geöffnet – bei mir geht’s jedenfalls.

Elias Samstag, 15. Mai 2010, 14:24 Uhr

Mit dem Terminal bekommt man das noch einfacher weg:

1. Terminal anschmeißen

2. cd /Applications/Akamai

3. ./AdminTool uninstall -force

und weg isses.

grüße

Nils Michael Becker Sonntag, 16. Mai 2010, 14:38 Uhr

Diese Adobe-Frechheiten sind unglaublich. Ich habe diese Woche bei Indesign CS2 festgestellt (erst diese, obwohl wir es schon seit Jahren nutzen), dass wir fälschlich schon so lange glauben, eine gespiegelte Backup-Platte sei als Backup etwas wert. Dabei verlangt Adobe eine neue Aktivierung, wenn man nach Plattencrash die gespiegelte Platte aus dem Schrank holt und in den Rechner einsetzt. Und wehe, die Aktivierung klappt dann nicht.

Johannes Ginsberg Sonntag, 6. Juni 2010, 13:41 Uhr

Hallo,

ich habe auch dieses seltsame Akamai auf meinem Rechner und hätte es gerne wieder weg :-)…
ich kenne mich leider garnicht wirklich mit Terminal aus.
Könnte mir nochmal jemand etwas genauer erklären was ich da eingeben muss um es zu deinstallieren?
Denn wenn ich die oben genannten Befehle eingebe macht er bei mir garnichts…

Vielen Dank und viele Grüße,
Johannes

Jörn Sonntag, 6. Juni 2010, 21:53 Uhr

Du findest die Linsenkorrektur nicht interessant? Interessant … ;-)

Ernsthaft: PTlens ist besser, als das, was Adobe derzeit in Photoshop CS5 bietet? Wäre für mich eh' besser, weil es PTlens auch für Aperture gibt …

Grüße aus Hamburg

Jörn

Michael Preidel Dienstag, 8. Juni 2010, 08:12 Uhr

@Johannes: Die sicherste Möglichkeit ist folgende: Lingon herunterladen, starten, com.akamai.client.plist deaktivieren, die Datei loader.pl im Ordner /Programme/Akamai löschen, den Prozess rsmac_3652 mit Hilfe des Programms Aktivitätsanzeige beenden, den Ordner Akamai löschen.

@Jörn: Doch, die Linsenkorrektur ist sehr interessant, besonders, da sie seit kurzem auch direkt in Camera Raw angewendet werden kann. Ich benötige sie allerdings nicht so dringend, da ich eben PTLens verwende.

ben Montag, 6. September 2010, 09:55 Uhr

Verwenet doch einfach gute Linsen….dann braucht ihr keine Korrektur. ;-)

Yanka Montag, 15. November 2010, 12:20 Uhr

Hallo,

Ich hab das Problem, dass ich zwar Akamai nach dem download von der Trial zwar sofort gelöscht hatte (manuel, also einfach den Ordner Applications/Akamai in den Papierkorb gepackt & geleert), mein System.log widget zeigt mir aber an, dass irgendwas konstant auf diese nicht (mehr) existante Verzeichnis zuzugreifen versucht – und das durchgehend.
Screenshot
Hat vllt jemand eine Idee dazu? Oder soll ich das getrost übersehen? Behagt mir nämlich nicht sonderlich.. :-/

Yanka Dienstag, 16. November 2010, 17:41 Uhr

Nachtrag: wer Probleme hat den Akamai Download Manager wieder vollständig loszuwerden sei auf folgende Seite verwiesen:
Link

Peter Enis Donnerstag, 28. April 2011, 13:24 Uhr

Adobe suckt eh hardcore.
Sobald's ne Alternative zu denen gibt, bin ich der erste der dort kauft ^^

Plotz Mittwoch, 16. November 2011, 09:46 Uhr

mit Privoxy gelittlete Snitch rsmac_3652 gescroogelter Daemon von Akamai mit PID macht nen GUID sudo overkill der in zwei Tagen 50 MB loggt.
Mann bin ich blöd.
Ist das chinesisch?