Copy Link
Add to Bookmark
Report

12 Spyware

eZine's profile picture
Published in 
FIH EziNe
 · 1 year ago

|-----------------------------------------------------------------------------------------------| 
| SPYWARE |
|-----------------------------------------------------------------------------------------------|
| 20-02-2003 | | mordor |
|-----------------------------------------------------------------------------------------------|
| _____ ___ _ _ _____ _ |
| | ___|_ _| | | | | ____|___(_)_ __ ___ |
| | |_ | || |_| | | _| |_ / | '_ \ / _ \ |
| | _| | || _ | | |___ / /| | | | | __/ |
| |_| |___|_| |_| |_____/___|_|_| |_|\___| |
| hesteban@alumnos.uva.es |
| |
|-----------------------------------------------------------------------------------------------|

SPYWARE. UNA REVISIÓN DE ESTE FENÓMENO

En vista de todo el revuelo que últimamente está levantado este tema en bastantes foros, me he decidido a crear un mini-tutorial en el que recojo todo lo que actualmente aparece en quijoteño referido al spyware... Aunque hay muchos más enlaces de los que voy a hacer mención en este post (y desde luego, muchas más info en inglés), sólo destacaré los que me parecen más relevantes. Vamos por partes:

-nota: también incluyo información sobre cómo eliminar este problema ;)-

1. El origen del spyware

Todo este revuelo empezó hace algún tiempo con aquellas aplicaciones que muchos de nosotros recordamos -banners, pop up- que bajo la denominación de "Publicidad Autoadministrada" nos tentaban con la posibilidad de ganar dinero "dejándonos" bombardear con publicidad (puffff. Aquello sí que era un auténtico "ataque" en toda regla).

Este método ha ido progresando, cambiando su formato y filosofía, de tal manera que actualmente al instalar muchos de los programas denominados "freeware" (gratuitos) que tan ansiosamente descargamos de la red, INSTALAMOS además de la citada aplicación algún tipo de software espía que "trackea" (en jerga tecnológica, espía) nuestros comportamientos y otras muchas diabluras más...

Quizá nos hayamos preguntado muchas veces de qué viven las personas que desarrollan estos programas gratuitos: puede que en algún momento pensásemos que lo hacían por filantropía, por aumentar sus conocimientos, por... La cruda realidad es que empresas como Cydoor y eZula (¿a qué me suenan estos nombres?) pagan 10 ó 20 centavos de dólar cada vez que un usuario hace un download de su programa... Y si miramos estadísticas de soft como KaZaA (auténtico bastión de estas "aplicaciones"), hasta el 18 de febrero de este años ha sido bajado de download.com unas 35 millones de veces. Multiplica y sigue...

2. Algunas aclaraciones

  • a) En realidad las aplicaciones de spyware reciben el nombre "adware", que viene de "Advertising Supported Software" (es decir, programas financiados con publicidad)
  • b) Increíblemente, los spywares son legales (aquí hay un agujero legal más grande que el de win2). Las empresas que los programan señalan que "los usuarios suelen ser advertidos en el contrato de licencia del programa" (ja, ja, ja... Para partirse. Mirad la lista de aplicaciones que utilizan adware y al próxima vez que lo reinstaléis, buscad dónde aparecen esos mensajes. Tardaréis un rato largo). Lo grave del asunto es que NUNCA QUEDA DEMASIADO CLARO QUÉ TIPO DE INFORMACIÓN ES RECOLECTADA: las compañías que lo instalan spyware se defienden diciendo que si bien recolectan información con fines de marketing y estadísticos, los usuarios "permanecen anónimos", ya que ningún dato de identidad es recopilado (de todas formas, mirad el apartado siete... quizá se modifique algo nuestra idea)
  • c) Todo el revuelo ha venido originado porque Symantec, conocida por sus antivirus, informó sobre la presencia de un troyano en las herramientas de intercambio LimeWire y Grokster (p2p). El intruso era un programa llamado "Clicktilluwin", clasificado como W32.D1Der.Trojan. No os asustéis los que los utilicéis: "sólo" transmiten información personal sin daros aviso, nada más...;) Por cierto, el creador de esta aplicación es Cydoor

3. Modus-operandi (qué hace el spyware)

No todos los spywares hacen lo mismo: algunos se limitan a transmitir información de sus incautos usurios (pueden recopilar una lista del soft de tu Pc, hábitos de navegación...), otros envían banners de publicidad, te redireccionan a páginas pornográficas o te inundan de pop-ups pornos la pantalla (spyware que son archivos HTA -ver nota 1 abajo-), quita el registro de oleaut32.dll de la memoria suministrada por M$ -sustituyéndolo por sus propias llamadas-,... pero los más dañinos actúan sobre el registro de win2 y si no se tiene cuidado en su desinstalación puedes llegar a tener que reconfigurar tu conexión a internet...

Otro problema añadido es que nos damos cuenta (si lo hacemos) de que tenemos instalado un spy en nuestra máquina cuando descubrimos que "algo" consume muchos recursos de la CPU, de la memoria RAM, de nuestro ancho de banda en Internet... y nos volvemos locos para saber qué es ese algo: Lo más seguro es que lo achaquemos a un troyano o a un virus... que, por supuesto, nunca encontramos (con el consiguiente cabreo y mandar a la m.... a nuestro pobre antivirus/firewall).

Pero lo que más irrita es que en algunos casos la aplicación p2p de marras (o cualquier otra de la larga lista que expongo algo más abajo) no funciona si le elimino el spyware que furtivamente nos ha instalado en nuestro ordenador: Caso del KaZaa -en algunas de sus versiones- si le borramos el spyware llamado Cydoor (recomendación: antes de eliminar, manual o automáticamente, los spywares anejos a un programa, haz un ¡¡backup o copia de seguridad de los spywares indeseados!! para reponerlos si fuera menester... claro, si te gusta ser masoca y decides seguir con ese soft).

Nota 1. Los archivos .hta son parecidos a los .htm pero "no se sabe porqué" los de Microsoft decidieron que en Win9x/Me los archivos con esta extensión permanezcan ocultos. Dentro de ese .hta está en código ASCII cualquier cosa (virus, troyano, spyware,...) junto con el código necesario para compilarlo, ejecutarlo, y las opciones con las que haya sido configurado. La víctima reinicia, y el .hta se ejecuta, compila el spy (o lo que sea) y crea un archivo .ini , que ejecuta ese lo que sea. Después este archivo .ini será el encargado de borrar el .hta y a si mismo para no dejar rastro. Ahora el PC ya está "infectado".

Nota 2. Curioso: las compañías antivirus no miden por el mismo rasero spywares y troyanos. Un troyano, además de servir para recabar información remota de un ordenador (una función que no sólo los troyanos hacen), se EJECUTA SILENCIOSAMENTE en el ordenador de la víctima. Si LittleWitch, por ejemplo, nos pidiera autorización antes de instalar su servidor y especificara sus funciones antes de usarlo, ¿sería detectado por los antivirus? ¿Pasaría por un programa de administración remota legítimo como tantos otros que descargamos en Internet?

4. Aplicaciones spyware

Resulta difícil enumerarlas todas. En www.tom-cat.com/spybase/spylist.html encontraréis una base de datos con más de 400 spywares distintos. Sí, sí. 400. Cuesta creerlo, ¿verdad?

Cydoor
(www.cydoor.com)
Incluido en KaZaA, Babylon, Cowon Jet Audio, Audio CD MP3 Studio 2000 y, hasta hace un tiempo, en Opera 5. Es uno de los más famosos. Nos inunda con publicidad incluso cuando estamos offline. Más aún: los servidores de Cydoor identifican cada ordenador "infectado" con un número.

Los archivos que deja en nuestros ordenadores:

  • C:WindowsSystemcd_clint.dll
  • C:WindowsSystemcd_gif.dll
  • C:WindowsSystemcd_swf.dll
  • C:WindowsSystemcd_load.exe

También es recomendable borrar la carpeta C:WindowsSystemAdcache y buscar las distintas entradas que deja en el registro

  • HKEY_LOCAL_MACHINESoftware
  • HKEY_CURRENT_USERSoftware
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  • HKLMSoftwareMicrosoftWindowsCurrentVersionShareddlls

eZula & KaZaa Toptext
¿Nunca nos ha ocurrido que cuando pasábamos por algunas Webs aparecían palabras señaladas en un color amarillo intenso? Es el primer signo de la presencia de Toptext. Ezula es la empresa que fabrica el programa y las palabras en amarillo corresponden a productos de empresas anunciantes que pagan a eZula por el servicio.

Otros "efectos": nos llena el registro de entradas que es necesario borrar:
HKEY_CLASSES_ROOTEZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOTEZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOTEZulaBootExe.InstallCtrl
HKEY_CLASSES_ROOTEZulaBootExe.InstallCtrl.1.
HKEY_LOCAL_MACHINESoftwareCLASSESAppIDeZulaBootExe.EXE
HKEY_LOCAL_MACHINESoftwareCLASSESAppID
{C0335198-6755-11D4-8A73-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib
{3D7247D1-5DB8-11D4-8A72-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib
{C0335197-6755-11D4-8A73-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareMicrosoftCode Store Database
Distribution Units{3D7247DE-5DB8-11D4-8A72-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionModuleUsage
C:/WINDOWS/Downloaded Program Files/eZulaBoot.dll
HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionExplorerDoc

Aparte, en el disco duro deja estos archivos:

  • C:WINDOWSeZulains.exe
  • C:WINDOWSAPPLOGezulains.lgc
  • C:WINDOWSDownloaded Program FilesInstallCtrl.class

¡MUCHO CUIDADO a la hora de borrar todos estos archivos!! Podemos quedarnos incluso sin conexión a Internet. Lo mejor es hacer una copia de respaldo de todo lo que borremos, para reponerlo todo si tenemos problemas.

SaveNow
(http://www.whenushop.com/about_savenow.html)
Viene con BearShare. Distribuido por la firma WhenUShop, que "niega" dedicarse a los spywares.

WebHancer
(www.webhancer.com)
Pareja inseparable del AudioGalaxy; fue denunciado por modificar el Registro de Windows, tanto en lo que respecta a la conexión a Internet como a los scripts de ASP en Windows 2000.

Radiate/Aureate
(www.aureate.com)
De las primeras compañías que ofrecieron software gratis con spyware. El programa distribuidor más conocido es el gestor de downloads GoZilla.

Estos son los archivos que deja en nuestro HD: adimage.dll, advert.dll, amcis.dll, amcis2.dll, anadsc.ocx, anadscb.ocx, htmdeng.exe, ipcclient.dll, msipcsv.exe y tfde.dll.

Por cierto, el archivo advert.dll guarda las direcciones de las páginas visitadas en el disco duro en una carpeta a la que el usuario no tiene acceso y envía esos datos utilizando nuestra conexión a la red a los servidores de Aureate usando el puerto 1749 del sistema. Además los protege encriptándolos. Toda una joya.

OnFlow
(www.onflow.com)
Incluido en BearShare, DialPad y programas menos conocidos (Aadcom Screensaver, MindTrivia).

FlySwat
(www.flyswat.com)
poco difundido, se entrega con el browser NeoPlanet, que alguna vez supo tener cierta publicidad.

Lop (C2Media)
Aún no está muy claro qué información extrae de nuestro ordenador. Al menos sus fabricantes han tenido el detalle de incluir en su Web un programa que lo desinstala. Link (lop.com/toolbar_uninstall.exe ).

HotBar
Recoge información acerca de las Webs que visitamos y la información que solicitamos en buscadores. Además envía nuestra IP y toda esa info a su servidor para elaborar perfiles estadísticos de los hábitos de los internautas (ZDNet le concedió un premio 5 estrellas (5-Stars) a este spyware)

GoHip
Extensión del navegador que instala un programa llamado 'Windows Startup' en nuestro menú de inicio: Varía la página de inicio en el navegador, la página de búsqueda por defecto y nos inunda de publicidad en Internet mientras navegamos. El ejecutable se llama winstartup.exe y suele localizarse en C:Windows. Eliminar el spyware es tan fácil como eliminar ese ejecutable y reiniciar el ordenador. GoHip nos ofrece una herramienta para eliminarlo (www.gohip.com/remove.exe).

Flashpoint/Flashtrack
Premio a este spyware: reconoce 50 idiomas y rastrea la actividad del usuario hasta en 27 buscadores. Flashtrack ha incluido un pequeño programa que elimina su spyware. Link (www.flashtrack.net/FTunin.exe).

Mattel Broadcast
El spyware es el archivo llamado DSSAgent.exe. Sólo hay que borrarlo para librarnos de la publicidad no deseada de la firma de juguetes infantiles Mattel ;)

5. Soft que incorpora spyware

SongSpy
Programa para el intercambio de mp3. SongSpy es en sí un spyware, por lo que si no queremos ver amenazada nuestra privacidad, deberemos proceder a su desinstalación. Se ha demostrado que SongSpy conecta con un servidor mediante el puerto 5190 y pone a disposición de ese servidor TODO nuestro disco duro.

Realplayer
Se ha demostrado también que Realplayer está cargado de spywares. Al parecer la versión básica del programa podría verse libre de estas molestias. Si intentamos eliminar manualmente estos spywares, el programa dejará de funcionar. Así que la única solución pasa por cortarle el paso a Internet con un cortafuegos o por buscar en Internet una versión "limpia".

Otros: Audiogalaxy, Babilón Tool, Copernic 2000, CrushPop, CuteMX, EZForms, Gator, FlashGet, Gif Animator, iMesh, JPEG Optimizer, MP3 Downloader, MP3 Fiend, NeoPlanet Browser, Net Scan 2000, Net Tools 2001, NetMonitor, Odigo Messenger, Opera Freeware, Oligo Browser, Spam Buster, TIFNY, TypeItIn, WebCopier, ZipZilla,


En general, sospecha de aquellos programas gratuitos que incorporan publicidad.

6. Increíble, pero cierto

KaZaA o Morpheus abren un puerto en el ordenador cliente, para mostrar información extraída de nuestro sistema, como el nombre de usuario (El que introduzcamos durante la instalación del programa, de lo que se desprende la evidente necesidad de no poner NUNCA nuestros datos ). El puerto que abren estos programas es el 1214.

Alguno preguntará: ¿Cuál es el problema?
Simplemente tipead esto:
telnet IP-victima 1214
GET / HTTP/1.0

===== ejemplo pantalla salida ============= 

HTTP/1.1 200 OK
Content-Length: 2467
Accept-Ranges: bytes
Date: Fri, 31 Aug 2001 14:14:36 GMT
Server: KazaaClient Jul 5 2001 17:18:29
Connection: close
Last-Modified: Fri, 31 Aug 2001 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html

===================================

Tu Pc al desnudo. Por cierto, una simple técnica de h4ck30: se pueden descargar los archivos que comparte el usuario por ese puerto sin necesidad de usar el morpheus o kazaa, colocando en el navegador http://IP-de-la-victima:1214

7. Un caso curioso

El de la compañía Doubleclick y sus famosas Cookies. Esta empresa consigue que se descarguen desde páginas que alojan algún banner publicitario de su compañía y las utiliza para rastrear las actividades de los navegantes. El asunto ha suscitado una gran polémica en Estados Unidos, ya que esta empresa decidió asociar la información obtenida de las cookies a una gran base de datos que contenía millones de domicilios americanos.

Las autoridades tomaron cartas en el asunto y la empresa dispuso una dirección donde darse de baja de esta utilización por parte de la empresa.
(más info en www.doubleclick.net)

8. Links y soft de interés. Sugerencias

LINKS

Las páginas que os señalo deberían estar remarcadas en los favoritos/marcadores de vuestros exploradores. Yo ya no sé vivir sin ellas (un vistazo rápido a la semana no viene mal para estar a la última):

webs. ono.com/usr026/Agika2/3internet/Spyware.htm
(Completa lista de programas que contienen soft espía y consejos para removerlos manualmente)

www. mssimplex.com/spyware.htm
(de imprescindible chequeo)

www.cexx.org/adware.htm
Una autoridad en la lucha contra el Spyware. Es muy recomendable la visita a esta página, contiene mucha información y enlaces de gran utilidad.
Interesante sus "Dummi Files", sustitutos inocuos de archivos espías para que los programas puedan seguir rulando www.cexx.org/dummies.htm


SOFT

Ad-aware actualizado
www.lavasoftusa.com

BPS Spyware & Adware Remover
www.bulletproofsoft.com

Spy Hunter
tooto.triasite.net/spyhunter

Spybot Search & Destroy
(encontré esta utilidad española en la Asociación de internautas... Por lo visto han eliminado el link. Buscadlo con el google. Es una aplicación muy interesantes)

Aureate/Radiate Remove Utility
www.digitalcandle.com

KaZaA Cydoor Spyware Remover
www.capturethepen.co.uk

Diet Kaza 1.03 Build
www.dietk.com


SUGERENCIAS

Elemento imprescindible en nuestro sistema: El cortafuegos. Mediante su empleo, cerraremos los puertos que estas aplicaciones utilizan, y detectaremos sus intentos de conexión, ya que el firewall nos avisará, pidiendo autorización para efectuar dicho acceso a Internet.

NOTA FINAL

No he querido tocar hasta el final el tema del msn 5.0 y del windows media player 8, ya que es muy extenso y polémico. Yo personalmente reniego de estas utilidades y cuando puedo utilizo otro tipo de soft que me resuelva el problema: respecto al msn, lo tengo en linux con gaim o amsn y me tira de maravilla. Y visores como el wmp se encuentran a patadas por la web.

Respecto al msn tenemos la polémica del "backdoor" (para mí es claramente una puerta trasera. De este tema trataré extensamente en el cursillo de h4ck que estoy preparando para el foro) que incorpora consigo: el llamado QMgr Loader. Lo encontraremos en el inicio del sistema como Loadqm.exe. Otros afirman que se trata de una parte más del sistema, encargada de localizar y ser localizado con el Messenger de Microsoft...

Sorprende que el Comprobador de Archivos del Sistema (SFC) de Windows no lo echa de menos si lo eliminamos... Además, el Messenger sigue operando sin él, sin prejuicio ni para el intercambio de mensajes, ni para la transferencia de archivos, ni para la comunicación de voz.

El Loadqm carga las librerías QMGR.DLL y QMGRPRXY.DLL en la carpeta "System" de Windows, las cuales, de acuerdo con Landlord Brothers en un foro en español sobre el tema de ezboard.com, "ejercen" como Proxy (servidor para recibir y enviar información) desde dentro de nuestro PC. Existe una tercera librería, la PROGDL.DLL, cuya referencia se halla en el archivo qmgr.inf, dentro de la carpeta del Microsoft Messenger... Para más info sobre sus funciones y desinstalación: www.ciudadfutura.com/mundopc/actual/cibererrante/2001/12/51201.htm

Y sobre el WMP, señalar lo que ya todos conocemos: Este software tiene una funcionalidad que le permite, cuando un CD es reproducido o una película es visualizada, conectarse a un sitio de internet y descargar los datos de estos: nombre, autor, nombre de las canciones, tiempo de reproducción, etc, una funcionalidad muy utilizada por los más conocidos reproductores de audio y vídeo, como el Winamp. Además, el Windows Media Player 8 mantiene un archivo con el registro de todas las canciones y películas que son reproducidas por la aplicación, incluyendo en éste los datos que son descargados desde internet para identificar estas reproducciones.

El problema está en que el reproductor multimedia de Microsoft, parece ser que hace algo más sospechoso: También descarga los datos de las películas DVD que son reproducidas por él... Dada la gran cantidad de controversias alrededor de este formato de reproducción y de cómo puede ser copiado a una PC en otro formato (conocido como DivX), lo cual es una práctica ilegal pero muy extendida, que el Windows Media Player almacene información sobre todas las películas que un usuario reproduce puede llegar a ser el paraíso para los abogados que defienden los derechos de autor o para las compañías que venden los DVD originales.

Pero la cosa no queda aquí. También realiza otra interesante acción, que puede servir para vincular estas listas de archivos reproducidos con el usuario: asigna a cada equipo un identificador (ID). Según Microsoft, la función de esto es que el usuario tenga una cuenta personal en el sitio para no tener que bajar dos veces la misma información. Yo ya no sugiero más. Creo que no hace falta nada más. Extraed vosotros mismos las conclusiones pertinentes.

Espero que os sirva de ayuda;)


---------------------------

Creado por:

Mordor/morgoth
hesteban@alumnos.uva.es

Se permite la distribución
a mansalva de este doc.
XDDDDDDDD

--------------------------

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT