Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

El problema del Spyware
 
VSantivirus No. 764 - Año 6 - Domingo 11 de agosto de 2002

El problema del Spyware
http://www.vsantivirus.com/mr-spyware.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy


Spyware es software o hardware instalado en un ordenador, generalmente sin el conocimiento del usuario, que recoge información de dicho usuario para más tarde enviarla por Internet a un servidor. 

Hay muchos tipos de spyware y sólo cada uno de nosotros puede juzgar si nos "interesa" seguir con el spyware en el ordenador o es preferible eliminarlo.

Es muy curioso que las compañías antivirus no utilicen la misma política a veces para los spywares y para los troyanos. Se clasifica un programa como troyano cuando además de servir para recabar información remota de un ordenador (una función que no sólo los troyanos hacen) se ejecuta también silenciosamente en el ordenador de la víctima. Si Sub7 por ejemplo nos pidiera autorización antes de instalar su servidor y especificara muy diáfanamente sus funciones antes de usarlo, estoy seguro de que los antivirus no lo detectarían.

Sería un programa de administración remota legítimo como cientos que hay en Internet.

¿Entonces por qué no seguir la misma política con el spyware cuando se instala en nuestros ordenadores de manera subrepticia en muchos casos?. Me siento particularmente molesto cuando observo que el cortafuegos está reteniendo conexiones a Internet de spywares como eZula, Save Now, Realplayer (sí, también nos espía), etc.. 

Es cierto que muchos de esos spywares son instalados en algunos programas con información adicional de su presencia; esa información en pequeño que nadie lee (incluido yo) cuando instala un nuevo programa. Pero hay otras ocasiones en las que no se nos informa de nada y cuando nos damos cuenta lo tenemos instalado en nuestra máquina, consumiendo recursos de la CPU, memoria RAM, ancho de banda en Internet y enviando información de nuestras actividades y hábitos a través de Internet.

También deseo comprender el interés de algunas empresas por introducir spyware en sus programas. Ellos dicen que si no usan el spyware sus productos no serían freeware. Habría que pagarlos, por consiguiente.

Otras empresas que ofrecen productos como el celebérrimo Download Accelerator Plus nos dejan la opción de elegir entre la versión freeware con spywares y la versión de pago sin spywares.

En algunos casos, y esto es aún más irritante, un programa no funciona si le eliminamos el spyware que silenciosamente nos ha instalado en nuestro ordenador. Tal es el caso de KaZaa en algunas de sus versiones si le borramos un pequeño spyware llamado Cydoor. Por ello antes de eliminar, bien manual o automáticamente, los spywares anexos a un programa, es conveniente hacer un backup o copia de seguridad de los spywares indeseados para reponerlos si fuera menester.

Hay que matizar también que muchas veces calificamos de spyware programas anexos que en realidad no espían nuestros hábitos en Internet (qué páginas visitamos, cuándo nos conectamos, qué programas nos bajamos, etc.). Esos programas simplemente nos "bombardean" con publicidad. Es como ver una televisión en abierto: nadie nos cobra por verla pero sus propietarios necesitan financiarse mediante la publicidad. Esto parece en cierta manera coherente y no tengo nada que oponer a la publicidad que tengo que ver en mi pantalla a cambio de un programa gratuito. Algunos conocen estos programas como adware. Si Ud. no quiere la publicidad, pague por el programa.

Tal vez sí podría objetar algo en torno al tipo de publicidad que algunos de estos programas genera, teniendo en cuenta que muchos usuarios de Internet son menores de edad. Por supuesto me refiero a la pornografía. A veces vemos pequeñas ventanas de publicidad o pop-ups en donde una chica despampanante nos invita a compartir sus "fantasías" sexuales. Esto puede crear un conflicto de naturaleza ética ante los menores.

En algunos casos incluso la fina frontera entre spyware y malware se disuelve y las compañías antivirus deciden decantarse por lo segundo. Tal es el caso de un programa que en un principio era legítimo y ahora los antivirus lo detectan como JS/Noclose. En realidad ese spyware (que era en esencia un archivo HTA) forzaba nuestro navegador hacia una página pornográfica e inundaba de pop-ups pornográficos nuestra pantalla. 

Acuérdense Uds. también del revuelo que levantó Symantec, empresa fabricante de Norton Antivirus, cuando anunció hace unos meses que LimeWire y Grokster introducían subrepticiamente un troyano llamado Clicktilluwin en los ordenadores donde se instalaban. En realidad ese troyano era un spyware; ¿ven Uds. la dificultad de separar ambos términos en algunos casos?. Hay día Norton reconoce a Clicktilluwin como W32.D1Der.Trojan.

He querido realizar un pequeño dossier informativo sobre los spywares para que Uds. los puedan identificar y eliminar bien con programas como Ad-Aware o manualmente en algunos casos. El problema al que me he enfrentado es el volumen de estos programas en la actualidad. ¡He localizado más de 1000 spywares!. Esto hace imposible un estudio pormenorizado de cada uno de ellos. Así que me decido por un resumen de los más destacados y conocidos.

Ante todo quiero advertirles que en este pequeño dossier he tomado la acepción más general (y también la menos justa posiblemente) de la palabra spyware que consiste en introducir también los adwares como spywares. Por ello a algunos les puede resultar extraño que programas como el polémico Aureate / Radiate, que al final demostró Kaspersky que no espiaba ningún hábito del usuario, estén en la lista. En cualquier caso, advierto a los lectores de esta circunstancia para que elaboren sus conclusiones con la mayor diafanidad posible. 

Si quieren echarle una ojeada a los diversos tipos de spywares, acudan a esta Web en inglés: http://www.tom-cat.com/spybase/spylist.html


WebHancer

Este programa recaba información de los hábitos del usuario en Internet como URLs visitadas, tamaño de las Webs, tiempo conectado a Internet. Hay que proceder con cuidado en su desinstalación.

1. Localicen en el directorio de Windows los siguientes elementos: webhdll.dll, whagent.inf, whInstaller.exe, whInstaller.ini. Bórrenlos todos.

2. Busquen una carpeta llamada WebHancer y bórrenla. Si no pudieran eliminar un archivo llamado wbhshare.dll, deberán reiniciar el ordenador y luego intentarlo otra vez.

3. Borren el contenido de la carpeta Temp relacionado para más seguridad.


SongSpy

Este programa para el intercambio de mp3 se está haciendo cada día más famoso tras la caída de AudioGalaxy. Realmente SongSpy es en sí un spyware, por lo que si no queremos ver amenazada nuestra privacidad, deberemos proceder a su desinstalación. Se ha demostrado que SongSpy conecta con un servidor mediante el puerto 5190 y pone a disposición de ese servidor TODO nuestro disco duro. 

Mi recomendación particular es que no debemos instalar nunca ese programa si tenemos información vital en nuestro disco duro.


Realplayer

Se ha demostrado también que Realplayer está cargado de spywares. Al parecer la versión básica del programa podría verse libre de estas molestias. Si intentamos eliminar manualmente estos spywares, el programa dejará de funcionar. Así que la única solución pasa por cortarle el paso a Internet con un cortafuegos o por buscar en Internet una versión "limpia".


Mattel Broadcast

Busquen un archivo llamado DSSAgent.exe y bórrenlo. Es el responsable de la publicidad no deseada de la firma de juguetes infantiles Mattel.


Lop (C2Media)

Aún no está muy claro qué información extrae de nuestro ordenador este programa, aunque al menos nos queda el consuelo de que sus fabricantes han tenido el detalle de incluir en su Web un programa que lo desinstala. Pueden conseguirlo aquí (http://lop.com/toolbar_uninstall.exe ).


HotBar

HotBar recoge información acerca de las Webs que visitamos y la información que solicitamos en buscadores. HotBar recoge la IP y las URL que visitamos y las envía a su servidor para elaborar perfiles estadísticos de los hábitos de los internautas. Incluso ZDNet le concedió un premio 5 estrellas (5-Stars) a este spyware, lo cual no deja de ser sorprendente.


GoHip

Una extensión del navegador que instala un programa llamado 'Windows Startup' en nuestro menú de inicio. Varía la página de inicio en el navegador, así como la página de búsqueda por defecto. Usa publicidad en Internet mientras navegamos. 

El ejecutable se llama winstartup.exe y suele localizarse en C:\Windows. Eliminar el spyware es tan fácil como eliminar ese ejecutable y reiniciar el ordenador, aunque también GoHip nos ofrece una herramienta para eliminarlo (http://www.gohip.com/remove.exe). 


Flashpoint/Flashtrack

Este spyware reconoce nada menos que 50 idiomas y rastrea la actividad del usuario hasta en 27 buscadores. Más de tres millones de usuarios en el mundo, probablemente la mayor parte de ellos de forma involuntaria.

Afortunadamente Flashtrack ha incluido un pequeño programa que elimina su spyware. Lo pueden conseguir aquí (http://www.flashtrack.net/FTunin.exe).


eZula & KaZaa Toptext

KaZaa, el popular sistema de intercambio de mp3, se lleva el premio al mayor sistema de este tipo con spywares. No sólo instala los mencionados, sino que también en las últimas versiones hemos visto otros spywares como Cydoor, Webhancer y Newdotnet.

Cualquier internauta ha podido comprobar como cuando pasaba por algunas Webs aparecían palabras clave señaladas en un color amarillo intenso. Es el primer signo de la presencia de Toptext. Ezula es la empresa que fabrica el programa y las palabras en amarillo corresponden a productos de empresas anunciantes que pagan a eZula por el servicio.

Desde luego, eZula nos llena el registro de entradas que es necesario borrar:

HKEY_CLASSES_ROOT\EZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOT\EZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOT\EZulaBootExe.InstallCtrl
HKEY_CLASSES_ROOT\EZulaBootExe.InstallCtrl.1.
HKEY_LOCAL_MACHINE\Software\CLASSES\AppID\eZulaBootExe.EXE

HKEY_LOCAL_MACHINE\Software\CLASSES\AppID
\{C0335198-6755-11D4-8A73-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
\{3D7247D1-5DB8-11D4-8A72-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
\{C0335197-6755-11D4-8A73-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database
\Distribution Units\{3D7247DE-5DB8-11D4-8A72-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\ModuleUsage
\C:/WINDOWS/Downloaded Program Files/eZulaBoot.dll

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Explorer\Doc

En el disco duro deja estos archivos:

C:\WINDOWS\eZulains.exe
C:\WINDOWS\APPLOG\ezulains.lgc
C:\WINDOWS\Downloaded Program Files\InstallCtrl.class

Hay que proceder con cuidado a la hora de borrar todos estos archivos porque a veces podemos quedarnos incluso sin conexión a Internet. Lo mejor es hacer una copia de respaldo de todo lo que borremos, para reponerlo todo si tenemos problemas.

Hay una posibilidad de escanear nuestro ordenador en busca de este spyware con el Internet Explorer instalado. Apliquen este pequeño script a su Web después de <body>:

<object
CLASSID="clsid:3D7247E8-5DB8-11D4-8A72-0050DA2EE1BE" width="1" height="1">
<img id="imgEzulaNA" src="" width="1" height="1" />
</object>

<script type="text/javascript">
if (!document.getElementById("imgEzulaNA"))
document.write("Usted tiene eZula instalado");
</script>

Si tienen eZula en su ordenador, les saldrá este mensaje: "Usted tiene eZula instalado".


Cydoor

Este programa se caracteriza por inundarnos con publicidad incluso cuando estamos offline. Los servidores de Cydoor identifican cada ordenador "infectado" con un número.

Aquí están los archivos que deja en nuestros ordenadores:

C:\Windows\System\cd_clint.dll
C:\Windows\System\cd_gif.dll
C:\Windows\System\cd_swf.dll
C:\Windows\System\cd_load.exe

Es recomendable borrar la carpeta C:\Windows\System\Adcache

También advertimos de esta entrada en el registro:

HKEY_LOCAL_MACHINE\Software
HKEY_CURRENT_USER\Software

También busquen en:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Shareddlls


Aureate / Radiate

Polémico programa que por ejemplo José Luis López de VSAntivirus no reconoce como spyware tras los resultados de los laboratorios de Kaspersky.

En realidad este programa estaría en la categoría de adware: programa para recoger y mostrar publicidad en la pantalla de los usuarios. Vuelvo a insistir en que el adware a priori no plantea ningún problema ético, salvo si se dan las condiciones expuestas arriba (mezcla de pornografía y niños).

Vean Uds. el tipo de publicidad que les muestra Aureate / Radiate y juzguen su conveniencia o inconveniencia.

Si quieren borrarlo de su ordenador, estos son los archivos que deja en nuestro disco duro: adimage.dll, advert.dll, amcis.dll, amcis2.dll, anadsc.ocx, anadscb.ocx, htmdeng.exe, ipcclient.dll, msipcsv.exe y tfde.dll.


Finalmente para encontrar en Internet eficaces programas que borran los adwares y spywares, podemos acudir a:

http://www.lavasoftusa.com/ (Ad-aware versión 5.83)
http://www.bulletproofsoft.com/spyware-remover.html (BPS Spyware and Adware Remover, versión 2.3).

Pueden utilizar estos programas para eliminar spywares y adwares, pero tengan en cuenta el aspecto más esencial de todo: si eliminamos todos los adwares, las empresas de Internet que se dedican a ofrecernos excelentes programas freeware, se verán obligadas a vendernos sus productos o a cesar en su actividad.

Es una cuestión donde el egoísmo puede eclipsar una visión más general y realista del asunto de lo que es gratuito en Internet. Piensen por tanto en lo que hacen antes de declararle la guerra a estos programas.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.


Relacionados:

Aureate no es un espía (por Jose Luis López)
http://www.diariored.com/analisis/2000_03_26_21_12_01.html

¿Que esconde Kazaa?. O como eliminar al espía oculto...
http://www.vsantivirus.com/quitar-bde-kazaa.htm

SPYWARE (software espía) y ADWARE (publicidad no deseada)
http://www.vsantivirus.com/jm-spyware.htm

NEWSUPD.EXE ¿Un Spyware de Creative en nuestro PC?
http://www.vsantivirus.com/newsupd.htm

Media Player es un spyware
http://www.vsantivirus.com/21-02-02b.htm

D.I.R.T. El Spyware desenmascarado en la red
http://www.vsantivirus.com/dirt.htm

Morpheus y el misterioso RDXR020305.DAT en el escritorio
http://www.vsantivirus.com/rdxr020305.htm

DlDer, un espía en casa
http://www.vsantivirus.com/06-01-02b.htm

Troj/PSW.Johar. Troyano liberado por el D.I.R.T.
http://www.vsantivirus.com/johar.htm

Troj/WbeCheck. Un espía en el Internet Explorer
http://www.vsantivirus.com/wbecheck.htm

Troj/DlDer. Puede instalarlo el Grokster, roba información
http://www.vsantivirus.com/trojan-dlder.htm

Varios programas de uso gratuito, instalan troyano DlDer
http://www.vsantivirus.com/01-01-02.htm

DSSAgent. Un adware que puede provocar fallas en Windows
http://www.vsantivirus.com/dssagent.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS