El problema del Spyware




Articulo Bastante interesante: Spyware es software o hardware instalado en un ordenador, generalmente sin el conocimiento del usuario, que recoge información de dicho usuario para más tarde enviarla por Internet a un servidor. Por Marcos Rico (*) marcos@videosoft.net.uy Hay muchos tipos de spyware y sólo cada uno de nosotros puede juzgar si nos "interesa" seguir con el spyware en el ordenador o es preferible eliminarlo. Es muy curioso que las compañías antivirus no utilicen la misma política a veces para los spywares y para los troyanos. Se clasifica un programa como troyano cuando además de servir para recabar información remota de un ordenador (una función que no sólo los troyanos hacen) se ejecuta también silenciosamente en el ordenador de la víctima. Si Sub7 por ejemplo nos pidiera autorización antes de instalar su servidor y especificara muy diáfanamente sus funciones antes de usarlo, estoy seguro de que los antivirus no lo detectarían. Sería un programa de administración remota legítimo como cientos que hay en Internet. ¿Entonces por qué no seguir la misma política con el spyware cuando se instala en nuestros ordenadores de manera subrepticia en muchos casos?. Me siento particularmente molesto cuando observo que el cortafuegos está reteniendo conexiones a Internet de spywares como eZula, Save Now, Realplayer (sí, también nos espía), etc.. Es cierto que muchos de esos spywares son instalados en algunos programas con información adicional de su presencia; esa información en pequeño que nadie lee incluido yo) cuando instala un nuevo programa. Pero hay otras ocasiones en las que no se nos informa de nada y cuando nos damos cuenta lo tenemos instalado en nuestra máquina, consumiendo recursos de la CPU, memoria RAM, ancho de banda en Internet y enviando información de nuestras actividades y hábitos a través de Internet. También deseo comprender el interés de algunas empresas por introducir spyware en sus programas. Ellos dicen que si no usan el spyware sus productos no serían freeware. Habría que pagarlos, por consiguiente. Otras empresas que ofrecen productos como el celebérrimo Download Accelerator Plus nos dejan la opción de elegir entre la versión freeware con spywares y la versión de pago sin spywares. En algunos casos, y esto es aún más irritante, un programa no funciona si le eliminamos el spyware que silenciosamente nos ha instalado en nuestro ordenador. Tal es el caso de KaZaa en algunas de sus versiones si le borramos un pequeño spyware llamado Cydoor. Por ello antes de eliminar, bien manual o automáticamente, los spywares anexos a un programa, es conveniente hacer un backup o copia de seguridad de los spywares indeseados para reponerlos si fuera menester. Hay que matizar también que muchas veces calificamos de spyware programas anexos que en realidad no espían nuestros hábitos en Internet (qué páginas visitamos, cuándo nos conectamos, qué programas nos bajamos, etc.). Esos programas simplemente nos "bombardean" con publicidad. Es como ver una televisión en abierto: nadie nos cobra por verla pero sus propietarios necesitan financiarse mediante la publicidad. Esto parece en cierta manera coherente y no tengo nada que oponer a la publicidad que tengo que ver en mi pantalla a cambio de un programa gratuito. Algunos conocen estos programas como adware. Si Ud. no quiere la publicidad, pague por el programa. Tal vez sí podría objetar algo en torno al tipo de publicidad que algunos de estos programas genera, teniendo en cuenta que muchos usuarios de Internet son menores de edad. Por supuesto, me refiero a la pornografía. A veces vemos pequeñas ventanas de publicidad o pop-ups en donde una chica despampanante nos invita a compartir sus "fantasías" sexuales. Esto puede crear un conflicto de naturaleza ética ante los menores. En algunos casos incluso la fina frontera entre spyware y malware se disuelve y las compañías antivirus deciden decantarse por lo segundo. Tal es el caso de un programa que en un principio era legítimo y ahora los antivirus lo detectan como JS/Noclose. En realidad ese spyware (que era en esencia un archivo HTA) forzaba nuestro navegador hacia una página pornográfica e inundaba de pop-ups pornográficos nuestra pantalla. Acuérdense Uds. también del revuelo que levantó Symantec, empresa fabricante de Norton Antivirus, cuando anunció hace unos meses que LimeWire y Grokster introducían subrepticiamente un troyano llamado Clicktilluwin en los ordenadores donde se instalaban. En realidad ese troyano era un spyware; ¿ven Uds. la dificultad de separar ambos términos en algunos casos?. Hay día Norton reconoce a Clicktilluwin como W32.D1Der.Trojan. He querido realizar un pequeño dossier informativo sobre los spywares para que Uds. los puedan identificar y eliminar bien con programas como Ad-Aware o manualmente en algunos casos. El problema al que me he enfrentado es el volumen de estos programas en la actualidad. ¡He localizado más de 1000 spywares!. Esto hace imposible un estudio pormenorizado de cada uno de ellos. Así que me decido por un resumen de los más destacados y conocidos. Ante todo quiero advertirles que en este pequeño dossier he tomado la acepción más general (y también la menos justa posiblemente) de la palabra spyware que consiste en introducir también los adwares como spywares. Por ello a algunos les puede resultar extraño que programas como el polémico Aureate / Radiate, que al final demostró Kaspersky que no espiaba ningún hábito del usuario, estén en la lista. En cualquier caso, advierto a los lectores de esta circunstancia para que elaboren sus conclusiones con la mayor diafanidad posible. Si quieren echarle una ojeada a los diversos tipos de spywares, acudan a esta Web en inglés: http://www.tom- cat.com/spybase/spylist.html * WebHancer Este programa recaba información de los hábitos del usuario en Internet como URLs visitadas, tamaño de las Webs, tiempo conectado a Internet. Hay que proceder con cuidado en su desinstalación. 1. Localicen en el directorio de Windows los siguientes elementos: webhdll.dll, whagent.inf, whInstaller.exe, whInstaller.ini. Bórrenlos todos. 2. Busquen una carpeta llamada WebHancer y bórrenla. Si no pudieran eliminar un archivo llamado wbhshare.dll, deberán reiniciar el ordenador y luego intentarlo otra vez. 3. Borren el contenido de la carpeta Temp relacionado para más seguridad. * SongSpy Este programa para el intercambio de mp3 se está haciendo cada día más famoso tras la caída de AudioGalaxy. Realmente SongSpy es en sí un spyware, por lo que si no queremos ver amenazada nuestra privacidad, deberemos proceder a su desinstalación. Se ha demostrado que SongSpy conecta con un servidor mediante el puerto 5190 y pone a disposición de ese servidor TODO nuestro disco duro. Mi recomendación particular es que no debemos instalar nunca ese programa si tenemos información vital en nuestro disco duro. * Realplayer Se ha demostrado también que Realplayer está cargado de spywares. Al parecer la versión básica del programa podría verse libre de estas molestias. Si intentamos eliminar manualmente estos spywares, el programa dejará de funcionar. Así que la única solución pasa por cortarle el paso a Internet con un cortafuegos o por buscar en Internet una versión "limpia". * Mattel Broadcast Busquen un archivo llamado DSSAgent.exe y bórrenlo. Es el responsable de la publicidad no deseada de la firma de juguetes infantiles Mattel. * Lop (C2Media) Aún no está muy claro qué información extrae de nuestro ordenador este programa, aunque al menos nos queda el consuelo de que sus fabricantes han tenido el detalle de incluir en su Web un programa que lo desinstala. Pueden conseguirlo aquí (http://lop.com/toolbar_uninstall.exe). * HotBar HotBar recoge información acerca de las Webs que visitamos y la información que solicitamos en buscadores. HotBar recoge la IP y las URL que visitamos y las envía a su servidor para elaborar perfiles estadísticos de los hábitos de los internautas. Incluso ZDNet le concedió un premio 5 estrellas (5-Stars) a este spyware, lo cual no deja de ser sorprendente. * GoHip Una extensión del navegador que instala un programa llamado 'Windows Startup' en nuestro menú de inicio. Varía la página de inicio en el navegador, así como la página de búsqueda por defecto. Usa publicidad en Internet mientras navegamos. El ejecutable se llama winstartup.exe y suele localizarse en C:Windows. Eliminar el spyware es tan fácil como eliminar ese ejecutable y reiniciar el ordenador, aunque también GoHip nos ofrece una herramienta para eliminarlo (http://www.gohip.com/remove.exe). * Flashpoint/Flashtrack Este spyware reconoce nada menos que 50 idiomas y rastrea la actividad del usuario hasta en 27 buscadores. Más de tres millones de usuarios en el mundo, probablemente la mayor parte de ellos de forma involuntaria. Afortunadamente Flashtrack ha incluido un pequeño programa que elimina su spyware. Lo pueden conseguir aquí(http://www.flashtrack.net/FTunin.exe). * eZula & KaZaa Toptext KaZaa, el popular sistema de intercambio de mp3, se lleva el premio al mayor sistema de este tipo con spywares. No sólo instala los mencionados, sino que también en las últimas versiones hemos visto otros spywares como Cydoor, Webhancer y Newdotnet. Cualquier internauta ha podido comprobar como cuando pasaba por algunas Webs aparecían palabras clave señaladas en un color amarillo intenso. Es el primer signo de la presencia de Toptext. Ezula es la empresa que fabrica el programa y las palabras en amarillo corresponden a productos de empresas anunciantes que pagan a eZula por el servicio. Desde luego, eZula nos llena el registro de entradas que es necesario borrar: HKEY_CLASSES_ROOTEZulaBoot.InstallCtrl.1 HKEY_CLASSES_ROOTEZulaBoot.InstallCtrl.1 HKEY_CLASSES_ROOTEZulaBootExe.InstallCtrl HKEY_CLASSES_ROOTEZulaBootExe.InstallCtrl.1. HKEY_LOCAL_MACHINESoftwareCLASSESAppIDeZulaBootExe.EXE HKEY_LOCAL_MACHINESoftwareCLASSESAppID {C0335198-6755-11D4-8A73-0050DA2EE1BE} HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib {3D7247D1-5DB8-11D4-8A72-0050DA2EE1BE} HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib {C0335197-6755-11D4-8A73-0050DA2EE1BE} HKEY_LOCAL_MACHINESoftwareMicrosoftCode Store Database Distribution Units{3D7247DE-5DB8-11D4-8A72-0050DA2EE1BE} HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionModuleUsage C:/WINDOWS/Downloaded Program Files/eZulaBoot.dll HKEY_USERS.DEFAULTSoftwareMicrosoftWindows CurrentVersionExplorerDoc En el disco duro deja estos archivos: C:WINDOWSeZulains.exe C:WINDOWSAPPLOGezulains.lgc C:WINDOWSDownloaded Program FilesInstallCtrl.class Hay que proceder con cuidado a la hora de borrar todos estos archivos porque a veces podemos quedarnos incluso sin conexión a Internet. Lo mejor es hacer una copia de respaldo de todo lo que borremos, para reponerlo todo si tenemos problemas. Hay una posibilidad de escanear nuestro ordenador en busca de este spyware con el Internet Explorer instalado. Apliquen este pequeño script a su Web después de : if (!document.getElementById("imgEzulaNA")) document.write("Usted tiene eZula instalado"); Si tienen eZula en su ordenador, les saldrá este mensaje: "Usted tiene eZula instalado". * Cydoor Este programa se caracteriza por inundarnos con publicidad incluso cuando estamos offline. Los servidores de Cydoor identifican cada ordenador "infectado" con un número. Aquí están los archivos que deja en nuestros ordenadores: C:WindowsSystemcd_clint.dll C:WindowsSystemcd_gif.dll C:WindowsSystemcd_swf.dll C:WindowsSystemcd_load.exe Es recomendable borrar la carpeta C:WindowsSystemAdcache También advertimos de esta entrada en el registro: HKEY_LOCAL_MACHINESoftware HKEY_CURRENT_USERSoftware También busquen en: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShareddlls * Aureate / Radiate Polémico programa que por ejemplo José Luis López de VSAntivirus no reconoce como spyware tras los resultados de los laboratorios de Kaspersky. En realidad este programa estaría en la categoría de adware: programa para recoger y mostrar publicidad en la pantalla de los usuarios. Vuelvo a insistir en que el adware a priori no plantea ningún problema ético, salvo si se dan las condiciones expuestas arriba (mezcla de pornografía y niños). Vean Uds. el tipo de publicidad que les muestra Aureate / Radiate y juzguen su conveniencia o inconveniencia. Si quieren borrarlo de su ordenador, estos son los archivos que deja en nuestro disco duro: adimage.dll, advert.dll, amcis.dll, amcis2.dll, anadsc.ocx, anadscb.ocx, htmdeng.exe, ipcclient.dll, msipcsv.exe y tfde.dll. Finalmente para encontrar en Internet eficaces programas que borran los adwares y spywares, podemos acudir a: http://www.lavasoftusa.com/ (Ad-aware versión 5.83) http://www.bulletproofsoft.com/spyware-remover.html (BPS Spyware and Adware Remover, versión 2.3). Pueden utilizar estos programas para eliminar spywares y adwares, pero tengan en cuenta el aspecto más esencial de todo: si eliminamos todos los adwares, las empresas de Internet que se dedican a ofrecernos excelentes programas freeware, se verán obligadas a vendernos sus productos o a cesar en su actividad. Es una cuestión donde el egoísmo puede eclipsar una visión más general y realista del asunto de lo que es gratuito en Internet. Piensen por tanto en lo que hacen antes de declararle la guerra a estos programas.
(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.
Fuente:Boletin VSAntivirus


Otras artículos de interés:

Instalar Windows XP en UBUNTU usando VirtualBox
VirtualBox es un excelente software de virtualización que nos permite ejecutar otros sistemas operativos como cualquier distribución de GNU/Linux o versión de Windows en Ubuntu. V...
Protecciones extras y optimizaciones para nuestro Linux
Unas de las cosas geniales de cualquier distribución linux es que podemos mejorar optimizar su configuración por defecto. Para ello en esta oportunidad editaremos: el archivo: /etc/sysctl.conf Abrimos la consola: ...
Como Instalar un Servidor DNS en Ubuntu
Recomendamos primero la lectura de : http://www.xombra.com/go_articulo.php?articulo=94 Ahora, vamos al grano 1.- Instalamos BIND y sus herramie...
Tuneando nuestro Ubuntu
Ubuntu Tweak es un aplicación que nos permite realizar ajustes y modificaciones a nuestro ubuntu. hay dos formas de instalación: 1.- Descargarlo desde http://ubuntu-tweak.com/do...
Introducción al TCP/IP / Escaneo de puertos avanzado / DoS
Los protocolos basados en TCP, son protocolos orientados a conexión. Esto quiere decir, que hay todo un proceso para armar la conexión, recien ahi se empiezan a mandar los paquetes necesarios (la información que se...
DenyHosts: Cómo prevenir ataques de diccionario o fuerza bruta en Ubuntu
Si estamos preocupados por la seguridad de nuestros servidores y mas del servicio/protocolo Secure Shell cuando esta relacionado con ataques de fuerza bruta ya sea por medio de diccionarios, entonces debemos de utilizar ...
Servidor Jabber con OpenFire en Ubuntu
Que es Jabber?: Jabber es un protocolo abierto basado en el estándar XML para el intercambio en tiempo real de mensajes y presencia entre dos puntos en Internet. La principal aplicación de la tecnología Jabber es una exten...
VPN o Redes Privadas Virtuales (Parte I)
Hace unos años no era tan importante conectarse a Internet por motivos laborables, pero a medida que ha pasado el tiempo las corporaciones han requerido que las redes de área local (Local Area Network, LAN) trasciendan más allá del ámbito local ...
Instalar XFCE en Ubuntu/ LinuxMint y derivados
Probando otras alternativas de Unity (no me gusta) he probado Gnome3 me parece un proyecto genial, pero en busca de otras opciones elegí usar XFCE. Xfce es un entorno de escritorio ligero para sistemas tipo Unix como GNU/Linux, BSD,...
NTP (Network Time Protocol) en Ubuntu / LinuxMint
NTP («Network Time Protocol»), se usa para mantener los relojes de los computadores en la hora correcta sincronizándolos mediante internet o una red local, o mediante un receptor que interprete GPS, DCF-77, NIST o se&nt...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • problema
  • sabayon
  • seguridad
  • spyware
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra