Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: aaronduran2 en 3 Diciembre 2010, 01:19 am


Título: ¿Spyware en Windows Live Messenger?
Publicado por: aaronduran2 en 3 Diciembre 2010, 01:19 am
Hola. Hice un dumpeo de memoria del proceso del WLM, y tras analizarlo me fijé en que aparecen cadenas de texto como las siguientes:

Código:
Visited: Aar%C3%B3n@file:///C:/****/Data/Templates/ScanInfo/ScanInfo.html
Visited: Aar%C3%B3n@http://*****/secretaria/documentos_p/****/_private

Así como referencias a rutas como las de VirtualBox y varios programas.

¿A qué se puede deber que aparezca eso? Uso WLM 2011.

Un saludo.

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 3 Diciembre 2010, 02:05 am
¿Win 7 obviamente verdad?

¿Qué tools estas utilizando para realizar el volcado y leerlo? ¿Qué AV tienes? :P

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: aaronduran2 en 3 Diciembre 2010, 02:16 am
Sí, es Windows 7 Ultimate x64. Utilizo Process Dumper 1.1, sacado de:

http://packetstormsecurity.org/files/view/88836/pd_v1.1_win.zip

Y mi AV es AVG Free 2011.

Gracias ;)

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 3 Diciembre 2010, 02:36 am
Ya, con esa misma tool estaba haciendo las pruebas y pensaba que quizás era del antivirus por lo de scaninfo.html, ya que además a mi me aparecían muchas rutas al mio, pero no, son rutas a todos los archivos que he abierto :huh:
Ahora también me pregunto yo que hace eso en el espacio del WLM :huh:
Ahora no puedo probar mucho porque estoy con otra cosa, pero intenta con User Mode Process Dumper (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=E089CA41-6A87-40C8-BF69-28AC08570B7E&displaylang=en) (aunque diga que es para 32 bits), a ver si quizás el problema es la tool que se esta metiendo en otro lado :P

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: aaronduran2 en 3 Diciembre 2010, 02:46 am
Lo de ScanInfo es de otro programa, pero le puse los asteriscos porque no me interesaba que supiesen ciertas cosas XD

Hay referencias al antivirus, pero todos suelen aparecer con la ruta de AVG o en temporal.

Haré lo que me comentas y te digo mañana ;)

Un saludo

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 3 Diciembre 2010, 02:51 am
Olvidalo, recorde algo y me di cuenta de que te estaba dando la recomendación más complicada :xD

En Windows Vista y 7 puedes hacer un volcado sin necesitar de otras herramientas, simplemente abre el administrador de tareas > botón derecho sobre el proceso > crear archivo de volcado :D
Sobre lo que había dicho, siguen estando las direcciones :¬¬

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 3 Diciembre 2010, 03:03 am
Y te pongo lo último aparte, es que me he dado cuenta de donde salen ;D
El WLM carga las librerías de internet explorer para verificar los mails y mostrar esas publicidades que a todos nos gustan ... revisa el historial del IE :P

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: aaronduran2 en 3 Diciembre 2010, 08:41 am
El IE no lo toqué desde que formateé hace una semana... Además, me aparecían direcciones URL de sitios que ni no envíe ni por conversaciones de MSN, ni entré por IE.

De todas formas, probaré a realizar otro volcado a ver si saca algo más ;)

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 3 Diciembre 2010, 10:53 am
No no, en el historial de IE tienes no solo las urls que has visitado, sino las rutas de los archivos abiertos en el explorador.

Fijate que si revisas el historial hay además de direcciones webs unas carpetas llamadas MI PC o Equipo (o algo así xD)

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: aaronduran2 en 3 Diciembre 2010, 14:49 pm
No, si lo de las rutas del explorador lo sé, pero me refiero a que hay direcciones Web en las que no entré ni por IE ni envié/recibí por WLM, solo las visité con Firefox :/

Hice un dumpeo con el propio Administrador de tareas y me aparecen también referencias a cookies de páginas que, como ya te dije, nunca visité con IE.

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 3 Diciembre 2010, 15:37 pm
Raro :-\
Yo haría lo siguiente:

  • Limpiar historial y volver a realizar un volcado, aunque esto es algo irrelevante si estas seguro de que el IE no tiene nada que ver
  • "Golpearme" con el Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx) viendo a donde accede el msnmsgr.exe (tener en cuenta que primero se ejecuta el log) :P. En el peor de los casos comparar los accesos contra los que realiza firefox.exe

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: aaronduran2 en 3 Diciembre 2010, 20:59 pm
No encontré nada raro, solo esto:

Código:
TCP Receive     activate.adobe.com:2446 -> activate.adobe.com:2462
TCP Disconnect  activate.adobe.com:2446 -> activate.adobe.com:2462
TCP Disconnect  activate.adobe.com:2462 -> activate.adobe.com:2446

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 3 Diciembre 2010, 21:05 pm
No entendí, eso de donde sale? :xD ... eso no es del Process Monitor

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: aaronduran2 en 3 Diciembre 2010, 22:46 pm
Sí sí, es del Process Monitor, con el filtro para el proceso del WLM. Por eso me pareció extraño:

(http://img404.imageshack.us/img404/5328/msnj.png)

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 3 Diciembre 2010, 23:16 pm
Aaaa, es verdad supongo que es del flashplayer :P

A ver si luego tengo algo de tiempo y vuelvo a mirar.
[Edito]
Me parecía conocida la manera en la que aparecían las url al visualizarlas, es igual que en el index.dat(cache) de IE. He limpiado por completo el IE y he vuelto a sacar dump del WLM, y efectivamente no ha vuelto a salir ninguna de esas direcciones que tenía antes, solo las referentes a las publicidades que ves al ingresar.

Insisto en que no podría haber nada que no haya sido visualizado desde Internet Explorer en ese volcado de memoria :P

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: aaronduran2 en 4 Diciembre 2010, 02:07 am
Lo hice, limpié todo el caché de navegación de IE, cookies, formularios, etc., incluso con el CCleaner, y me siguen apareciendo cosas que no debería:

Código:
http://www.acunetix.com/general/images/banners/mini_banner.jpg
Cookie:aarón@acunetix.com/
http://clients1.google.es/complete/search?hl=es&client=hp&expIds=27606,27659&q=smc&cp=3

Hay multitud de referencias a búsquedas en Google que hice desde Firefox, y lo de arriba tan solo lo visité en Firefox.

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: Novlucker en 4 Diciembre 2010, 02:34 am
Y revisando las urls en el index.dat directamente? esta limpio este archivo?

Saludos

Título: Re: ¿Spyware en Windows Live Messenger?
Publicado por: winroot en 4 Diciembre 2010, 07:23 am
Buenas!
Primero que nada, creo que tendrás que matar a explorer.exe, y luego usar algún programa de manejo de ficheros, por ejemplo winrar.
Luego de esto, abre %userprofile%>configuración local>
Elimina la carpeta historial, archivos temporales de internet,etc
Por último, creo que lo más importante en todo caso es saber si esa información la envía a algún lado, por lo que snifear un rato no vendría mal ^^.
Y de última, como dice novlucker, usar el procmon, aunque de solo pensarlo de da dolor de cabeza ^^.
Abrazo

Edito:
Justo cuando escribía estaba instalando el msn y ...
Ayuda a mejorar Windows Live
Ayúdanos a mejorar los programas de Windows Live permitiendo que Microsoft
recopile información sobre tu sistema y el uso que haces de nuestro software. Estos
datos no se usarán para identificarte personalmente. Más información
Continuar
será eso?
Saludos


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines