Autor
En vista de todo el revuelo que últimamente está levantado este tema en el foro, me he decidido
a colgar este mini-tutorial que elaboré para el ezine FIH... Como yo mismo permití su redistribución, pues aplico lo que en su momento dije XDDD.
Es posible que algunos enlaces que puse estén rotos. No me ha dado tiempo de verificarlo, por prisas en el curro.
También incluyo información sobre cómo eliminar este problema
1. El origen del spyware
=========================
Todo este revuelo empezó hace algún tiempo con aquellas aplicaciones que muchos de nosotros recordamos -banners,
pop up- que bajo la denominación de "Publicidad Autoadministrada" nos tentaban con la posibilidad de ganar
dinero "dejándonos" bombardear con publicidad (puffff. Aquello sí que era un auténtico "ataque" en toda regla).
Este método ha ido progresando, cambiando su formato y filosofía, de tal manera que actualmente al instalar
muchos de los programas denominados "freeware" (gratuitos) que tan ansiosamente descargamos de la red, INSTALAMOS
además de la citada aplicación algún tipo de software espía que "trackea" (en jerga tecnológica, espía) nuestros
comportamientos y otras muchas diabluras más...
Quizá nos hayamos preguntado muchas veces de qué viven las personas que desarrollan estos programas gratuitos:
puede que en algún momento pensásemos que lo hacían por filantropía, por aumentar sus conocimientos, por... La
cruda realidad es que empresas como Cydoor y eZula (¿a qué me suenan estos nombres?) pagan 10 ó 20 centavos de
dólar cada vez que un usuario hace un download de su programa... Y si miramos estadísticas de soft como KaZaA
(auténtico bastión de estas "aplicaciones"), hasta el 18 de febrero de este años ha sido bajado de download.com
unas 35 millones de veces. Multiplica y sigue...
2. Algunas aclaraciones
=======================
a. En realidad las aplicaciones de spyware reciben el nombre "adware", que viene de "Advertising Supported
Software" (es decir, programas financiados con publicidad)
b. Increíblemente, los spywares son legales (aquí hay un agujero legal más grande que el de win2). Las empresas
que los programan señalan que "los usuarios suelen ser advertidos en el contrato de licencia del programa"
(ja, ja, ja... Para partirse. Mirad la lista de aplicaciones que utilizan adware y al próxima vez que lo reinstaléis,
buscad dónde aparecen esos mensajes. Tardaréis un rato largo).
Lo grave del asunto es que NUNCA QUEDA DEMASIADO CLARO QUÉ TIPO DE INFORMACIÓN ES RECOLECTADA: las compañías que lo
instalan spyware se defienden diciendo que si bien recolectan información con fines de marketing y estadísticos,
los usuarios "permanecen anónimos", ya que ningún dato de identidad es recopilado (de todas formas, mirad el apartado
siete... quizá se modifique algo nuestra idea)
c. Todo el revuelo ha venido originado porque Symantec, conocida por sus antivirus, informó sobre la presencia de un
troyano en las herramientas de intercambio LimeWire y Grokster (p2p). El intruso era un programa llamado
"Clicktilluwin", clasificado como W32.D1Der.Trojan. No os asustéis los que los utilicéis: "sólo" transmiten
información personal sin daros aviso, nada más...
Por cierto, el creador de esta aplicación es Cydoor
3. Modus-operandi (qué hace el spyware)
=======================================
No todos los spywares hacen lo mismo: algunos se limitan a transmitir información de sus incautos usurios (pueden
recopilar una lista del soft de tu Pc, hábitos de navegación...), otros envían banners de publicidad, te redireccionan
a páginas pornográficas o te inundan de pop-ups pornos la pantalla (spyware que son archivos HTA -ver nota 1 abajo-),
quita el registro de oleaut32.dll de la memoria suministrada por M$ -sustituyéndolo por sus propias llamadas-,... pero
los más dañinos actúan sobre el registro de win2 y si no se tiene cuidado en su desinstalación puedes llegar a tener
que reconfigurar tu conexión a internet...
Otro problema añadido es que nos damos cuenta (si lo hacemos) de que tenemos instalado un spy en nuestra máquina cuando
descubrimos que "algo" consume muchos recursos de la CPU, de la memoria RAM, de nuestro ancho de banda en Internet...
y nos volvemos locos para saber qué es ese algo: Lo más seguro es que lo achaquemos a un troyano o a un virus... que,
por supuesto, nunca encontramos (con el consiguiente cabreo y mandar a la m.... a nuestro pobre antivirus/firewall).
Pero lo que más irrita es que en algunos casos la aplicación p2p de marras (o cualquier otra de la larga lista que
expongo algo más abajo) no funciona si le elimino el spyware que furtivamente nos ha instalado en nuestro ordenador:
Caso del KaZaa -en algunas de sus versiones- si le borramos el spyware llamado Cydoor (recomendación: antes de eliminar,
manual o automáticamente, los spywares anejos a un programa, haz un ¡¡backup o copia de seguridad de los spywares
indeseados!! para reponerlos si fuera menester... claro, si te gusta ser masoca y decides seguir con ese soft).
Nota 1. Los archivos .hta son parecidos a los .htm pero "no se sabe porqué" los de Microsoft decidieron que en
Win9x
* Mordor los archivos con esta extensión permanezcan ocultos. Dentro de ese .hta está en código ASCII cualquier
cosa (virus, troyano, spyware,...) junto con el código necesario para compilarlo, ejecutarlo, y las opciones con las que haya sido configurado. La víctima reinicia, y el .hta se ejecuta, compila el spy (o lo que sea) y crea un
archivo .ini , que ejecuta ese lo que sea. Después este archivo .ini será el encargado de borrar el .hta y a si mismo
para no dejar rastro. Ahora el PC ya está "infectado".
Nota 2. Curioso: las compañías antivirus no miden por el mismo rasero spywares y troyanos. Un troyano, además de servir
para recabar información remota de un ordenador (una función que no sólo los troyanos hacen), se EJECUTA SILENCIOSAMENTE
en el ordenador de la víctima. Si LittleWitch, por ejemplo, nos pidiera autorización antes de instalar su servidor y
especificara sus funciones antes de usarlo, ¿sería detectado por los antivirus? ¿Pasaría por un programa de administración
remota legítimo como tantos otros que descargamos en Internet?
4. Aplicaciones spyware
=======================
Resulta difícil enumerarlas todas. En www.tom-cat.com/spybase/spylist.html encontraréis una base de datos con más de
400 spywares distintos. Sí, sí. 400. Cuesta creerlo, ¿verdad?
Cydoor
(www.cydoor.com)
Incluido en KaZaA, Babylon, Cowon Jet Audio, Audio CD MP3 Studio 2000 y, hasta hace un tiempo, en Opera 5. Es uno de
los más famosos. Nos inunda con publicidad incluso cuando estamos offline. Más aún: los servidores de Cydoor
identifican cada ordenador "infectado" con un número.
Los archivos que deja en nuestros ordenadores:
C:WindowsSystemcd_clint.dll
C:WindowsSystemcd_gif.dll
C:WindowsSystemcd_swf.dll
C:WindowsSystemcd_load.exe
También es recomendable borrar la carpeta C:WindowsSystemAdcache
y buscar las distintas entradas que deja en el registro
HKEY_LOCAL_MACHINESoftware
HKEY_CURRENT_USERSoftware
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionShareddlls
eZula & KaZaa Toptext
¿Nunca nos ha ocurrido que cuando pasábamos por algunas Webs aparecían palabras señaladas en un color amarillo intenso?
Es el primer signo de la presencia de Toptext. Ezula es la empresa que fabrica el programa y las palabras en amarillo
corresponden a productos de empresas anunciantes que pagan a eZula por el servicio.
Otros "efectos": nos llena el registro de entradas que es necesario borrar:
HKEY_CLASSES_ROOTEZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOTEZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOTEZulaBootExe.InstallCtrl
HKEY_CLASSES_ROOTEZulaBootExe.InstallCtrl.1.
HKEY_LOCAL_MACHINESoftwareCLASSESAppIDeZulaBootExe.EXE
HKEY_LOCAL_MACHINESoftwareCLASSESAppID
{C0335198-6755-11D4-8A73-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib
{3D7247D1-5DB8-11D4-8A72-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib
{C0335197-6755-11D4-8A73-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareMicrosoftCode Store Database
Distribution Units{3D7247DE-5DB8-11D4-8A72-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionModuleUsage
C:/WINDOWS/Downloaded Program Files/eZulaBoot.dll
HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionExplorerDoc
Aparte, en el disco duro deja estos archivos:
C:WINDOWSeZulains.exe
C:WINDOWSAPPLOGezulains.lgc
C:WINDOWSDownloaded Program FilesInstallCtrl.class
¡MUCHO CUIDADO a la hora de borrar todos estos archivos!! Podemos quedarnos incluso sin conexión a Internet. Lo mejor
es hacer una copia de respaldo de todo lo que borremos, para reponerlo todo si tenemos problemas.
SaveNow
(http://www.whenushop.com/about_savenow.html)
Viene con BearShare. Distribuido por la firma WhenUShop, que "niega" dedicarse a los spywares.
WebHancer
(www.webhancer.com)
Pareja inseparable del AudioGalaxy; fue denunciado por modificar el Registro de Windows, tanto en lo que respecta a la
conexión a Internet como a los scripts de ASP en Windows 2000.
Radiate/Aureate
(www.aureate.com)
De las primeras compañías que ofrecieron software gratis con spyware. El programa distribuidor más conocido es el gestor
de downloads GoZilla.
Estos son los archivos que deja en nuestro HD: adimage.dll, advert.dll, amcis.dll, amcis2.dll, anadsc.ocx, anadscb.ocx,
htmdeng.exe, ipcclient.dll, msipcsv.exe y tfde.dll.
Por cierto, el archivo advert.dll guarda las direcciones de las páginas visitadas en el disco duro en una carpeta a la
que el usuario no tiene acceso y envía esos datos utilizando nuestra conexión a la red a los servidores de Aureate
usando el puerto 1749 del sistema. Además los protege encriptándolos. Toda una joya.
OnFlow
(www.onflow.com)
Incluido en BearShare, DialPad y programas menos conocidos (Aadcom Screensaver, MindTrivia).
FlySwat
(www.flyswat.com)
poco difundido, se entrega con el browser NeoPlanet, que alguna vez supo tener cierta publicidad.
Lop (C2Media)
Aún no está muy claro qué información extrae de nuestro ordenador. Al menos sus fabricantes han tenido el detalle de
incluir en su Web un programa que lo desinstala. Link
(lop.com/toolbar_uninstall.exe ).
HotBar
Recoge información acerca de las Webs que visitamos y la información que solicitamos en buscadores. Además envía nuestra
IP y toda esa info a su servidor para elaborar perfiles estadísticos de los hábitos de los internautas
(ZDNet le concedió un premio 5 estrellas (5-Stars) a este spyware)
GoHip
Extensión del navegador que instala un programa llamado 'Windows Startup' en nuestro menú de inicio: Varía la página de
inicio en el navegador, la página de búsqueda por defecto y nos inunda de publicidad en Internet mientras navegamos.
El ejecutable se llama winstartup.exe y suele localizarse en C:Windows. Eliminar el spyware es tan fácil como eliminar
ese ejecutable y reiniciar el ordenador. GoHip nos ofrece una herramienta para eliminarlo
(www.gohip.com/remove.exe).
Flashpoint/Flashtrack
Premio a este spyware: reconoce 50 idiomas y rastrea la actividad del usuario hasta en 27 buscadores.
Flashtrack ha incluido un pequeño programa que elimina su spyware. Link
(www.flashtrack.net/FTunin.exe).
Mattel Broadcast
El spyware es el archivo llamado DSSAgent.exe. Sólo hay que borrarlo para librarnos de la publicidad no deseada de la
firma de juguetes infantiles Mattel
5. Soft que incorpora spyware
=============================
SongSpy
Programa para el intercambio de mp3. SongSpy es en sí un spyware, por lo que si no queremos ver amenazada nuestra
privacidad, deberemos proceder a su desinstalación. Se ha demostrado que SongSpy conecta con un servidor mediante el
puerto 5190 y pone a disposición de ese servidor TODO nuestro disco duro.
Realplayer
Se ha demostrado también que Realplayer está cargado de spywares. Al parecer la versión básica del programa podría verse
libre de estas molestias. Si intentamos eliminar manualmente estos spywares, el programa dejará de funcionar. Así que la
única solución pasa por cortarle el paso a Internet con un cortafuegos o por buscar en Internet una versión "limpia".
Otros: Audiogalaxy, Babilón Tool, Copernic 2000, CrushPop, CuteMX, EZForms, Gator, FlashGet, Gif Animator, iMesh, JPEG
Optimizer, MP3 Downloader, MP3 Fiend, NeoPlanet Browser, Net Scan 2000, Net Tools 2001, NetMonitor, Odigo Messenger,
Opera Freeware, Oligo Browser, Spam Buster, TIFNY, TypeItIn, WebCopier, ZipZilla,
En general, sospecha de aquellos programas gratuitos que incorporan publicidad.
6. Increíble, pero cierto
=========================
KaZaA o Morpheus abren un puerto en el ordenador cliente, para mostrar información extraída de nuestro sistema, como
el nombre de usuario (El que introduzcamos durante la instalación del programa, de lo que se desprende la evidente
necesidad de no poner NUNCA nuestros datos ). El puerto que abren estos programas es el 1214.
Alguno preguntará: ¿Cuál es el problema?
Simplemente tipead esto:
telnet IP-victima 1214
GET / HTTP/1.0
===== ejemplo pantalla salida =============
HTTP/1.1 200 OK
Content-Length: 2467
Accept-Ranges: bytes
Date: Fri, 31 Aug 2001 14:14:36 GMT
Server: KazaaClient Jul 5 2001 17:18:29
Connection: close
Last-Modified: Fri, 31 Aug 2001 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html
===================================
Tu Pc al desnudo. Por cierto, una simple técnica de h4ck30: se pueden descargar los archivos que comparte el usuario
por ese puerto sin necesidad de usar el morpheus o kazaa, colocando en el navegador http://IP-de-la-victima:1214
7. Un caso curioso
==================
El de la compañía Doubleclick y sus famosas Cookies. Esta empresa consigue que se descarguen desde páginas que alojan
algún banner publicitario de su compañía y las utiliza para rastrear las actividades de los navegantes. El asunto ha
suscitado una gran polémica en Estados Unidos, ya que esta empresa decidió asociar la información obtenida de las cookies
a una gran base de datos que contenía millones de domicilios americanos.
Las autoridades tomaron cartas en el asunto y la empresa dispuso una dirección donde darse de baja de esta utilización
por parte de la empresa.
(más info en www.doubleclick.net)
8. Links y soft de interés. Sugerencias
=======================================
LINKS:
Las páginas que os señalo deberían estar remarcadas en los favoritos/marcadores de vuestros exploradores. Yo ya no sé
vivir sin ellas (un vistazo rápido a la semana no viene mal para estar a la última):
webs. ono.com/usr026/Agika2/3internet/Spyware.htm
(Completa lista de programas que contienen soft espía y consejos para removerlos manualmente)
www. mssimplex.com/spyware.htm
(de imprescindible chequeo)
www.cexx.org/adware.htm
Una autoridad en la lucha contra el Spyware. Es muy recomendable la visita a esta página, contiene mucha información y
enlaces de gran utilidad.
Interesante sus "Dummi Files", sustitutos inocuos de archivos espías para que los programas puedan seguir rulando
www.cexx.org/dummies.htm
SOFT:
Ad-aware actualizado
www.lavasoftusa.com
BPS Spyware & Adware Remover
www.bulletproofsoft.com
Spy Hunter
tooto.triasite.net/spyhunter
Spybot Search & Destroy
(encontré esta utilidad española en la Asociación de internautas... Por lo visto han eliminado el link. Buscadlo con
el google. Es una aplicación muy interesantes)
Aureate/Radiate Remove Utility
www.digitalcandle.com
KaZaA Cydoor Spyware Remover
www.capturethepen.co.uk
Diet Kaza 1.03 Build
www.dietk.com
SUGERENCIAS:
Elemento imprescindible en nuestro sistema: El cortafuegos. Mediante su empleo, cerraremos los puertos que estas
aplicaciones utilizan, y detectaremos sus intentos de conexión, ya que el firewall nos avisará, pidiendo autorización
para efectuar dicho acceso a Internet.
NOTA FINAL
=========
No he querido tocar hasta el final el tema del msn 5.0 y del windows media player 8, ya que es muy extenso y polémico.
Yo personalmente reniego de estas utilidades y cuando puedo utilizo otro tipo de soft que me resuelva el problema:
respecto al msn, lo tengo en linux con gaim o amsn y me tira de maravilla. Y visores como el wmp se encuentran a patadas por la web.
Respecto al msn tenemos la polémica del "backdoor" (para mí es claramente una puerta trasera. De este tema trataré
extensamente en el cursillo de h4ck que estoy preparando para el foro) que incorpora consigo: el llamado QMgr Loader.
Lo encontraremos en el inicio del sistema como Loadqm.exe. Otros afirman que se trata de una parte más del sistema,
encargada de localizar y ser localizado con el Messenger de Microsoft...
Sorprende que el Comprobador de Archivos del Sistema (SFC) de Windows no lo echa de menos si lo eliminamos... Además,
el Messenger sigue operando sin él, sin prejuicio ni para el intercambio de mensajes, ni para la transferencia de
archivos, ni para la comunicación de voz.
El Loadqm carga las librerías QMGR.DLL y QMGRPRXY.DLL en la carpeta "System" de Windows, las cuales, de acuerdo con
Landlord Brothers en un foro en español sobre el tema de ezboard.com, "ejercen" como Proxy (servidor para recibir y
enviar información) desde dentro de nuestro PC. Existe una tercera librería, la PROGDL.DLL, cuya referencia se haya
en el archivo qmgr.inf, dentro de la carpeta del Microsoft Messenger... Para más info sobre sus funciones y
desinstalación: www.ciudadfutura.com/mundopc/actual/cibererrante/2001/12/51201.htm
Y sobre el WMP, señalar lo que ya todos conocemos: Este software tiene una funcionalidad que le permite, cuando un CD es
reproducido o una película es visualizada, conectarse a un sitio de internet y descargar los datos de estos: nombre,
autor, nombre de las canciones, tiempo de reproducción, etc, una funcionalidad muy utilizada por los más conocidos
reproductores de audio y vídeo, como el Winamp. Además, el Windows Media Player 8 mantiene un archivo con el registro
de todas las canciones y películas que son reproducidas por la aplicación, incluyendo en éste los datos que son
descargados desde internet para identificar estas reproducciones.
El problema está en que el reproductor multimedia de Microsoft, parece ser que hace algo más sospechoso: También
descarga los datos de las películas DVD que son reproducidas por él... Dada la gran cantidad de controversias alrededor
de este formato de reproducción y de cómo puede ser copiado a una PC en otro formato (conocido como DivX), lo cual es
una práctica ilegal pero muy extendida, que el Windows Media Player almacene información sobre todas las películas que
un usuario reproduce puede llegar a ser el paraíso para los abogados que defienden los derechos de autor o para las
compañías que venden los DVD originales.
Pero la cosa no queda aquí. También realiza otra interesante acción, que puede servir para vincular estas listas de
archivos reproducidos con el usuario: asigna a cada equipo un identificador (ID). Según Microsoft, la función de esto
es que el usuario tenga una cuenta personal en el sitio para no tener que bajar dos veces la misma información. Yo ya
no sugiero más. Creo que no hace falta nada más. Extraed vosotros mismos las conclusiones pertinentes.
Espero que os sirva de ayuda;)
En línea
