Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
La verdad sobre IncrediMail: NO es un espía
|
|
VSantivirus No. 938 - Año 7 - Viernes 31 de enero de 2003
La verdad sobre IncrediMail: NO es un espía
http://www.vsantivirus.com/31-01-03.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Luego de la publicación de la noticia sobre la detección por parte de la herramienta anti spyware "PestPatrol", de un espía en el software de IncrediMail (ver "IncrediMail es un spyware",
http://www.vsantivirus.com/22-01-03.htm), recibimos varios comentarios de lectores sobre el tema, incluso con algunas pruebas realizadas respecto a la eliminación del supuesto archivo "culpable" de esta acción, "imhook.dll".
En dicho artículo decíamos: "Un examen de dicho archivo revela que el mismo posee el código necesario para capturar todo lo tecleado por el usuario. No encontramos ninguna referencia oficial sobre cuál es la razón de dicho archivo, y su uso por parte de IncrediMail. De cualquier modo, resulta obvio que representa un riesgo para nuestra privacidad".
Hasta aquí la historia no pasaba de una simple información de un hecho, para PestPatrol IncrediMail tiene un espía, y nuestros lectores debían saberlo para que actúen en consecuencia.
Pero luego de la publicación de ese artículo, recibimos el comentario de uno de nuestros lectores (Juan Manuel de Argentina), quien nos mencionaba lo siguiente:
"Hace un tiempo estoy suscrito a la lista y leí el informe sobre el IncrediMail y el archivo imhook.dll. Yo también había leído sobre que era un spyware. El tema es que estos días estuve haciendo pruebas y me di cuenta que si uno borra ese DLL al programa no le andan ciertas funciones. El IncrediMail tiene una opción que se puede tildar o destildar y permite que presionando F6 por ej. se reciba el mail, F10 es nuevo mensaje y F12 es abrir IncrediMail. Me di cuenta que borrando el imhook.dll esas funciones dejan de funcionar (valga la redundancia) y el F6 hace lo mismo que haría la tecla TAB. También probé crear un archivo y nombrarlo imhook.dll pero así tampoco funciona, por eso me di cuenta que sin el DLL original no sirve. Quizás en realidad no sea un capturador de teclado y lo que haga sea atribuir funciones a las teclas".
Un comentario interesante, que llegaba en el momento justo para sumarse a otros hechos. Por ejemplo, nuestro colega Giordani Rodrigues, editor de InfoGuerra
(http://www.infoguerra.com.br/), nos comentaba que había recibido información sobre notorios falsos positivos producidos por PestPatrol anteriormente.
Eso nos llevó a examinar nosotros mismos el programa. Es cierto que podría pensarse que esas cosas se deben hacer antes, pero seamos sinceros, la noticia que publicamos es muy clara respecto al hecho de que un producto antispyware (PestPatrol) identifica en IncrediMail un espía, y que el archivo mencionado, tiene el código necesario para interceptar la pulsación de otras teclas. Esto de por si es más que suficiente para advertir que esa posibilidad existe. No lo mencionaba IncrediMail en la información que examinamos, como tampoco la razón ni el uso de ese archivo.
En el ínterin, también los responsables del propio IncrediMail nos enviaron información al respecto (cuando aún estábamos realizando nuestras pruebas). Al ser ellos parte interesada, tomamos estos comentarios con las lógicas reservas, al menos hasta publicar el presente informe.
Y hoy, finalizadas las pruebas sobre IncrediMail llegamos a las siguientes conclusiones (que coinciden tanto con lo que nos informaba el amable lector de Argentina, como lo que nos indicaba el propio Yaron Adler de IncrediMail).
1. IncrediMail no envía NADA de la información supuestamente capturada (ni ninguna otra) a la red. Para llegar a esta conclusión además de nuestras propias pruebas, recibimos la amable colaboración de dos lectores que aplicaron un exhaustivo análisis al tráfico generado, en ambientes muy diferentes, mientras IncrediMail está instalado en una computadora conectada a Internet.
2. La librería "imhook.dll" es utilizada por IncrediMail, para capturar el uso de las teclas de función F6, F10 y F12. Es un mecanismo para ejecutar con un simple golpe de tecla, cosas como la existencia de nuevo correo, aun cuando todas las ventanas de IncrediMail estén cerradas.
3. PestPatrol identifica sin embargo "imhook.dll" como "spyware".
Por otra parte, existe una larga historia de casos similares con este producto
(cosa que averiguamos después). Por ejemplo, PestPatrol identifica también como espía a la librería "zipdll.dll", que integra el paquete de otra conocida herramienta "antiespía", Spybot-Search&Destroy
(http://spybot.eon.net.au/index.php?lang=es). Por supuesto, Spybot aclara que ello no es así, pero PestPatrol no ha respondido a sus aclaraciones. Pero según hemos averiguado, eso mismo pasa en muchos otros casos, en donde a lo sumo, después de las notificaciones respectivas, solo se han cambiado falsas notificaciones de virus por la de "programas generadores de virus" (sic).
Las conclusiones por lo tanto son obvias. Primero que nada, IncrediMail no realiza ninguna acción de espionaje con sus usuarios.
Y segundo, no debemos confiar en una sola herramienta al hacer un análisis de este tipo. Del mismo modo que siempre insistimos en el uso de más de un antivirus al examinar código sospechoso (más de uno para ESCANEAR, pero JAMAS más de uno monitoreando al mismo tiempo), tal vez debamos aplicar la misma política al examinar la existencia de posible código espía en los programas que usamos.
Relacionados:
IncrediMail
http://www.incredimail.com
PestPatrol
http://www.pestpatrol.com
Spybot-Search&Destroy
http://spybot.eon.net.au/index.php?lang=es
IncrediMail es un spyware
http://www.vsantivirus.com/22-01-03.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|