Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

MarketScore compromete su seguridad y privacidad
 
VSantivirus No. 1694 Año 9, viernes 25 de febrero de 2005

 MarketScore compromete su seguridad y privacidad
http://www.vsantivirus.com/marketscore.htm

Nombre: MarketScore
Tipo: Parásito (spyware)
Alias: MarketScore, NetSetter, not-a-virus:RiskWare.Proxy.MarketScore.a, not-a-virus:RiskWare.Proxy.MarketScore.b, not-a-virus:RiskWare.Proxy.MarketScore.c, not-a-virus:RiskWare.Proxy.MarketScore.d, not-a-virus:RiskWare.Proxy.MarketScore.e, not-a-virus:RiskWare.Proxy.MarketScore.f, not-a-virus:RiskWare.Proxy.MarketScore.g, not-a-virus:RiskWare.Proxy.MarketScore.h, not-a-virus:RiskWare.Proxy.MarketScore.i, not-a-virus:RiskWare.Proxy.MarketScore.j, not-a-virus:RiskWare.Proxy.MarketScore.k, Spyware/MarketScore, Marketscore Internet Accelerator (OSSProxy), Spyware.Marketscore
Fecha: Varias
Plataforma: Windows 32-bit
Tamaño: variable

MarketScore es un spyware que actúa como intermediario entre el usuario e Internet, y monitorea todas las actividades en línea del usuario.

MarketScore colecciona y analiza toda la información transmitida desde la computadora en que se instala y la red, incluyendo información bancaria, PINs, contraseñas y virtualmente toda la información personal y confidencial intercambiada entre el usuario y cualquier sitio web, incluyendo aquella que se encuentra protegida por protocolos de encriptación seguros (SSL).

MarketScore desvía toda la comunicación entre la computadora del usuario y el sitio Web solicitado a través de servidores proxy propios, donde el tráfico es coleccionado, disecado, analizado y almacenado.

Actúa como un LSP (Layered Service Provider o Proveedor de Servicio por Niveles). LSP es un controlador del sistema que está íntimamente relacionado con los servicios de red de Windows. Tiene acceso a todos los datos que entran y salen del ordenador, así como la posibilidad de modificarlos. Si bien es normal su utilización para permitir que Windows se conecte a otros equipos, incluyendo Internet, existen parásitos (spywares y adwares como MarketScore), que también pueden instalarse como un LSP, obteniendo así acceso a toda la información que se transmite.

Para llegar a hacer esto, MarketScore se agrega silenciosamente como certificado raíz de una entidad emisora de certificados de confianza en el equipo de la víctima, dándose de forma ilícita a si mismo, el permiso para manejar y redireccionar todo el tráfico, inclusive las comunicaciones seguras tales como banca en línea, etc., a los propios servidores de MarketScore.

Si los datos son encriptados (tal como ocurre en la mayoría de las transacciones vía Internet), los mismos serán desencriptados para ser usados por MarketScore, antes de ser nuevamente encriptados y enviados al destino legítimo (Nota: un pequeño candado que aparece en su navegador, distingue las conexiones seguras de las normales).

De todos modos, la compañía "asegura" que en el caso de información sensible tal como números de tarjeta de crédito, etc., "sólo los primeros dígitos son coleccionados".


Distribución

Existen múltiples variantes de este spyware, algunas han sido distribuidas con el iMesh (1)

También es cargado como adware en algunos sitios y sus afiliados (3), siempre disfrazado como supuesto "acelerador de Internet", asegurando "aumentar la velocidad de sus conexiones".

MarketScore también clama proveer un servicio de correo electrónico libre de virus, examinado con productos de Symantec, pero Symantec niega toda asociación con MarketScore (4).

También se instala vía ActiveX al visitar algunos sitios asociados (3)


Sistemas afectados

Todas las versiones de Windows


Acciones y algunas características

Las computadoras comprometidas, envían las solicitudes HTTP a los servidores proxy de MarketScore a través de los puertos 80 y 8000, y las HTTPS al puerto 443 (6).

Se agrega MarketScore como certificado raíz sin notificarse al usuario (5).

Algunas variantes evitan ser visualizadas desde el administrador de tareas (1).

La imitación de la conexión SSL (certificado de autoridad raíz), permanece en el equipo aún cuando MarketScore haya sido desinstalado, permitiendo que los servidores de MarketScore puedan validar a cualquier dominio como legítimo (1).

Código arbitrario puede ser descargado desde el servidor de control e instalado a través de la característica de "auto-actualización" (1).

Puede producirse pérdida de conectividad a Internet. Si usted debe utilizar un servidor proxy diferente, no se podrá establecer ninguna conexión (ningún sitio será accesible). Cualquier manipulación (borrado, modificación, etc.) de los archivos utilizados por MarketScore (especialmente CSLOA.DLL), darán como resultado la imposibilidad de navegar por Internet (3).

Inserta avisos publicitarios en las páginas y el correo desplegado (7).

No parece afectar al resto del tráfico de Internet, no basado en los servicios Web (por ejemplo, clientes de correo POP3, FTP, etc.).

Utilizando algunos programas que muestren el tráfico detallado por determinados puertos, puede notarse que los ejecutables usados por el spyware para conectarse a los servidores de MarketScore son OSSPROXY.EXE o MKSC.EXE, dependiendo de la variante.

Una lista de los servidores proxy de MarketScore puede ser encontrada en el siguiente enlace:

http://www.utoronto.ca/security/UTORprotect/marketscore_tech.htm


Instrucciones para eliminar "MarketScore"

1. Seleccione "Agregar o quitar programas" desde el Panel de Control (Mi PC, Panel de Control). Si existe un software instalado con el nombre de Marketscore y/o Netsetter, seleccione el botón "Quitar" para desinstalarlo.

2. Si no aparece en la lista de programas Marketscore y/o NetSetter, debe acceder a una forma de desinstalación oculta que agrega este software. Para ello, siga estos pasos:

2.a. Abra una ventana de símbolo de sistema. Desde Inicio, ejecutar, teclee CMD (más Enter) en el caso de Windows XP y 2000, o COMMAND (más Enter) en Windows 9x y Me y siga las instrucciones siguientes, según la variante instalada.

2.b. Variante NS (NetSetter):

Si utiliza Windows XP o 2000, escriba el siguiente comando (más Enter):

nscheck /uninstall

Para las otras versiones de Windows, escriba los siguientes comandos (Enter al final de cada línea):

cd %WinDir%\System
nscheck /uninstall

2.c. Variante OSSproxy:

Si utiliza Windows XP o 2000, escriba el siguiente comando (más Enter):

ossproxy -bootremove -uninst:RelevantKnowledge

Para las otras versiones de Windows, escriba los siguientes comandos (Enter al final de cada línea):

cd %WinDir%\System
ossproxy -bootremove -uninst:RelevantKnowledge

2.d. Variante MKSC:

Si utiliza Windows XP o 2000, escriba el siguiente comando (más Enter):

mksc -bootremove -uninst:RelevantKnowledge

Para las otras versiones de Windows, escriba los siguientes comandos (Enter al final de cada línea):

cd %WinDir%\System
mksc -bootremove -uninst:RelevantKnowledge

3. Reinicie su computadora.

4. Borre todos los archivos creados por MarketScore.

Para ello, desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\csloa.dl_
c:\windows\system32\csloa.dll
c:\windows\system32\cusnns.bak
c:\windows\system32\nsconfig.dll
c:\windows\system32\nsconfig.dll
c:\windows\system32\nsconfig.inf
c:\windows\system32\nscheck.exe
c:\windows\system32\nscheck.lgc
c:\windows\system32\okshook.dll
c:\windows\system32\osconfig.dll
c:\windows\system32\osmim.dll
c:\windows\system32\ossproxy.exe

NOTA: Algunos de estos archivos pueden estar ocultos. Asegúrese de configurar Windows como se explica aquí:

Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm

Algunos de estos archivos pueden no estar presentes (dependiendo de la variante instalada).

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

5. Remover el certificado raíz de MarketScore del sistema.

5.a. En el Internet Explorer, seleccione Herramientas, Opciones de Internet, Contenido.

Haga clic en el botón de Certificados.

Bajo la lengüeta "Entidades emisoras raíz de confianza", busque en la lista a "MarketScore" y/o "Netsetter", y borre dichas entradas.

5.b. En Mozilla Firefox, seleccione Tools, Options, Advanced y buscque la sección "Certificates".

Haga clic en el botón "Manage Certificates" y borre todas las entradas relacionadas con Marketscore y Netsetter.

5.c. En Netscape seleccione Edit, Preferences, Privacy and Security, Certificates

Clic en el botón "Manage Certificates" y borre todas las entradas relacionadas con Marketscore y Netsetter.

6. Ejecutar Antispyware.

Descargue y ejecute la última versión de Search and Destroy para limpiar todas las entradas del registro realizadas por el MarketScore (puede ser otra utilidad, pero esta elimina perfectamente todas las versiones conocidas del MarketScore).

Descarga de Spybot-S&D
http://www.safer-networking.org/es/download/index.html

7. Cambio de contraseñas

Se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Referencias:

Computer Associates
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=43974

DoxDesk: MarketScore
http://www.doxdesk.com/parasite/MarketScore.html

Columbia University - Removing MarketScore Software
http://www.columbia.edu/acis/security/howto/remove/marketscore.html


Fuentes:

1 - http://www.doxdesk.com/parasite/MarketScore.html
2 - http://helpdesk.its.uiowa.edu/security/marketscore.htm
3 - http://www3.ca.com/securityadvisor/pest/pest.aspx?id=43974
4 - http://www.pcworld.com/news/article/0,aid,118757,00.asp
5 - http://www.utoronto.ca/security/UTORprotect/marketscore.htm
6 - http://www.utoronto.ca/security/UTORprotect/marketscore_tech.htm
7 - http://xforce.iss.net/xforce/xfdb/14411


Relacionados:

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=43974
http://kb.indiana.edu/data/apnh.html?cust=946089.48283.30
http://www.indiana.edu/~ets/marketscore.html
http://www.albany.edu/its/alerts/alarm_alert_110204-01.html
http://marketscore.ucr.edu/
http://its.psu.edu/news/marketscore.html
http://blink.ucsd.edu/Blink/External/Topics/Policy/0,1162,17312,00.html
http://www.columbia.edu/acis/security/howto/remove/marketscore.html
http://www1.umn.edu/oit/security/marketscore.html
http://www.infosec.csusb.edu/privacy/sslproxy.html
http://its.med.yale.edu/security/alerts/marketscore.html





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS