Título: ¿Spyware en Windows Live Messenger? Publicado por: aaronduran2 en 3 Diciembre 2010, 01:19 am Hola. Hice un dumpeo de memoria del proceso del WLM, y tras analizarlo me fijé en que aparecen cadenas de texto como las siguientes:
Código: Visited: Aar%C3%B3n@file:///C:/****/Data/Templates/ScanInfo/ScanInfo.html Así como referencias a rutas como las de VirtualBox y varios programas. ¿A qué se puede deber que aparezca eso? Uso WLM 2011. Un saludo. Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 3 Diciembre 2010, 02:05 am ¿Win 7 obviamente verdad?
¿Qué tools estas utilizando para realizar el volcado y leerlo? ¿Qué AV tienes? :P Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: aaronduran2 en 3 Diciembre 2010, 02:16 am Sí, es Windows 7 Ultimate x64. Utilizo Process Dumper 1.1, sacado de:
http://packetstormsecurity.org/files/view/88836/pd_v1.1_win.zip Y mi AV es AVG Free 2011. Gracias ;) Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 3 Diciembre 2010, 02:36 am Ya, con esa misma tool estaba haciendo las pruebas y pensaba que quizás era del antivirus por lo de scaninfo.html, ya que además a mi me aparecían muchas rutas al mio, pero no, son rutas a todos los archivos que he abierto :huh:
Ahora también me pregunto yo que hace eso en el espacio del WLM :huh: Ahora no puedo probar mucho porque estoy con otra cosa, pero intenta con User Mode Process Dumper (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=E089CA41-6A87-40C8-BF69-28AC08570B7E&displaylang=en) (aunque diga que es para 32 bits), a ver si quizás el problema es la tool que se esta metiendo en otro lado :P Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: aaronduran2 en 3 Diciembre 2010, 02:46 am Lo de ScanInfo es de otro programa, pero le puse los asteriscos porque no me interesaba que supiesen ciertas cosas XD
Hay referencias al antivirus, pero todos suelen aparecer con la ruta de AVG o en temporal. Haré lo que me comentas y te digo mañana ;) Un saludo Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 3 Diciembre 2010, 02:51 am Olvidalo, recorde algo y me di cuenta de que te estaba dando la recomendación más complicada :xD
En Windows Vista y 7 puedes hacer un volcado sin necesitar de otras herramientas, simplemente abre el administrador de tareas > botón derecho sobre el proceso > crear archivo de volcado :D Sobre lo que había dicho, siguen estando las direcciones :¬¬ Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 3 Diciembre 2010, 03:03 am Y te pongo lo último aparte, es que me he dado cuenta de donde salen ;D
El WLM carga las librerías de internet explorer para verificar los mails y mostrar esas publicidades que a todos nos gustan ... revisa el historial del IE :P Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: aaronduran2 en 3 Diciembre 2010, 08:41 am El IE no lo toqué desde que formateé hace una semana... Además, me aparecían direcciones URL de sitios que ni no envíe ni por conversaciones de MSN, ni entré por IE.
De todas formas, probaré a realizar otro volcado a ver si saca algo más ;) Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 3 Diciembre 2010, 10:53 am No no, en el historial de IE tienes no solo las urls que has visitado, sino las rutas de los archivos abiertos en el explorador.
Fijate que si revisas el historial hay además de direcciones webs unas carpetas llamadas MI PC o Equipo (o algo así xD) Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: aaronduran2 en 3 Diciembre 2010, 14:49 pm No, si lo de las rutas del explorador lo sé, pero me refiero a que hay direcciones Web en las que no entré ni por IE ni envié/recibí por WLM, solo las visité con Firefox :/
Hice un dumpeo con el propio Administrador de tareas y me aparecen también referencias a cookies de páginas que, como ya te dije, nunca visité con IE. Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 3 Diciembre 2010, 15:37 pm Raro :-\
Yo haría lo siguiente:
Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: aaronduran2 en 3 Diciembre 2010, 20:59 pm No encontré nada raro, solo esto:
Código: TCP Receive activate.adobe.com:2446 -> activate.adobe.com:2462 Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 3 Diciembre 2010, 21:05 pm No entendí, eso de donde sale? :xD ... eso no es del Process Monitor
Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: aaronduran2 en 3 Diciembre 2010, 22:46 pm Sí sí, es del Process Monitor, con el filtro para el proceso del WLM. Por eso me pareció extraño:
(http://img404.imageshack.us/img404/5328/msnj.png) Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 3 Diciembre 2010, 23:16 pm Aaaa, es verdad supongo que es del flashplayer :P
A ver si luego tengo algo de tiempo y vuelvo a mirar. [Edito] Me parecía conocida la manera en la que aparecían las url al visualizarlas, es igual que en el index.dat(cache) de IE. He limpiado por completo el IE y he vuelto a sacar dump del WLM, y efectivamente no ha vuelto a salir ninguna de esas direcciones que tenía antes, solo las referentes a las publicidades que ves al ingresar. Insisto en que no podría haber nada que no haya sido visualizado desde Internet Explorer en ese volcado de memoria :P Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: aaronduran2 en 4 Diciembre 2010, 02:07 am Lo hice, limpié todo el caché de navegación de IE, cookies, formularios, etc., incluso con el CCleaner, y me siguen apareciendo cosas que no debería:
Código: http://www.acunetix.com/general/images/banners/mini_banner.jpg Hay multitud de referencias a búsquedas en Google que hice desde Firefox, y lo de arriba tan solo lo visité en Firefox. Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: Novlucker en 4 Diciembre 2010, 02:34 am Y revisando las urls en el index.dat directamente? esta limpio este archivo?
Saludos Título: Re: ¿Spyware en Windows Live Messenger? Publicado por: winroot en 4 Diciembre 2010, 07:23 am Buenas!
Primero que nada, creo que tendrás que matar a explorer.exe, y luego usar algún programa de manejo de ficheros, por ejemplo winrar. Luego de esto, abre %userprofile%>configuración local> Elimina la carpeta historial, archivos temporales de internet,etc Por último, creo que lo más importante en todo caso es saber si esa información la envía a algún lado, por lo que snifear un rato no vendría mal ^^. Y de última, como dice novlucker, usar el procmon, aunque de solo pensarlo de da dolor de cabeza ^^. Abrazo Edito: Justo cuando escribía estaba instalando el msn y ... Ayuda a mejorar Windows Live Ayúdanos a mejorar los programas de Windows Live permitiendo que Microsoft recopile información sobre tu sistema y el uso que haces de nuestro software. Estos datos no se usarán para identificarte personalmente. Más información Continuar será eso? Saludos |