Autor Tema: Reconocer Spywares (Leído 1023 veces)

Soultaker · « **en:** Miércoles 3 de Agosto de 2005, 00:47 »

Hola a todos, quisiera saber si hay alguna forma de saber que spywares on malignos y cuales no, les comento, estuve revisando mi disco duro con el Spyware Doctor, este me enncontro varios archivos infectados por spywares, pero uno de ellos era el FLASHGET, el programa de acelerar descarga, luego al momento de elimiar los spywares que estaban en mi PC, lo elimino pero despues quise usar el FLASHGET y este ya no se podia usar, ademas me voy a la carpeta donde tenia guardado el instalador de FLASHGET, y ya no estaba, supongo que el Spyware Doctor lo elimino (el instalador, y el que tenia instalado).

En este caso no me ocasiona problemas, pero a lo mejor este AntiSpyware me detecta algun archivo que se necesite para utilizar algun programa y por corregir los spywares lo salgo eliminando, ahora mi pregunta es si hay alguna forma de saber que Spywares de verdad son los maliciosos y cuales no.

Espero sus respuestas. Gracias a todos.

RadicalEd

Esta es una lista de spywares.

WebHancer

Este programa recaba información de los hábitos del usuario en Internet como URLs visitadas, tamaño de las Webs, tiempo conectado a Internet. Hay que proceder con cuidado en su desinstalación.

1. Localicen en el directorio de Windows los siguientes elementos: webhdll.dll, whagent.inf, whInstaller.exe, whInstaller.ini. Bórrenlos todos.

2. Busquen una carpeta llamada WebHancer y bórrenla. Si no pudieran eliminar un archivo llamado wbhshare.dll, deberán reiniciar el ordenador y luego intentarlo otra vez.

3. Borren el contenido de la carpeta Temp relacionado para más seguridad.

SongSpy

Este programa para el intercambio de mp3 se está haciendo cada día más famoso tras la caída de AudioGalaxy. Realmente SongSpy es en sí un spyware, por lo que si no queremos ver amenazada nuestra privacidad, deberemos proceder a su desinstalación. Se ha demostrado que SongSpy conecta con un servidor mediante el puerto 5190 y pone a disposición de ese servidor TODO nuestro disco duro.

Mi recomendación particular es que no debemos instalar nunca ese programa si tenemos información vital en nuestro disco duro.

Realplayer

Se ha demostrado también que Realplayer está cargado de spywares. Al parecer la versión básica del programa podría verse libre de estas molestias. Si intentamos eliminar manualmente estos spywares, el programa dejará de funcionar. Así que la única solución pasa por cortarle el paso a Internet con un cortafuegos o por buscar en Internet una versión "limpia".

Mattel Broadcast

Busquen un archivo llamado DSSAgent.exe y bórrenlo. Es el responsable de la publicidad no deseada de la firma de juguetes infantiles Mattel.

Lop (C2Media)

Aún no está muy claro qué información extrae de nuestro ordenador este programa, aunque al menos nos queda el consuelo de que sus fabricantes han tenido el detalle de incluir en su Web un programa que lo desinstala. Pueden conseguirlo aquí (http://lop.com/toolbar_uninstall.exe ).

HotBar

HotBar recoge información acerca de las Webs que visitamos y la información que solicitamos en buscadores. HotBar recoge la IP y las URL que visitamos y las envía a su servidor para elaborar perfiles estadísticos de los hábitos de los internautas. Incluso ZDNet le concedió un premio 5 estrellas (5-Stars) a este spyware, lo cual no deja de ser sorprendente.

GoHip

Una extensión del navegador que instala un programa llamado 'Windows Startup' en nuestro menú de inicio. Varía la página de inicio en el navegador, así como la página de búsqueda por defecto. Usa publicidad en Internet mientras navegamos.

El ejecutable se llama winstartup.exe y suele localizarse en C:\Windows. Eliminar el spyware es tan fácil como eliminar ese ejecutable y reiniciar el ordenador, aunque también GoHip nos ofrece una herramienta para eliminarlo (http://www.gohip.com/remove.exe).

Flashpoint/Flashtrack

Este spyware reconoce nada menos que 50 idiomas y rastrea la actividad del usuario hasta en 27 buscadores. Más de tres millones de usuarios en el mundo, probablemente la mayor parte de ellos de forma involuntaria.

Afortunadamente Flashtrack ha incluido un pequeño programa que elimina su spyware. Lo pueden conseguir aquí (http://www.flashtrack.net/FTunin.exe).

eZula & KaZaa Toptext

KaZaa, el popular sistema de intercambio de mp3, se lleva el premio al mayor sistema de este tipo con spywares. No sólo instala los mencionados, sino que también en las últimas versiones hemos visto otros spywares como Cydoor, Webhancer y Newdotnet.

Cualquier internauta ha podido comprobar como cuando pasaba por algunas Webs aparecían palabras clave señaladas en un color amarillo intenso. Es el primer signo de la presencia de Toptext. Ezula es la empresa que fabrica el programa y las palabras en amarillo corresponden a productos de empresas anunciantes que pagan a eZula por el servicio.

Desde luego, eZula nos llena el registro de entradas que es necesario borrar:

HKEY_CLASSES_ROOT\EZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOT\EZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOT\EZulaBootExe.InstallCtrl
HKEY_CLASSES_ROOT\EZulaBootExe.InstallCtrl.1.
HKEY_LOCAL_MACHINE\Software\CLASSES\AppID\eZulaBootExe.EXE

HKEY_LOCAL_MACHINE\Software\CLASSES\AppID
\{C0335198-6755-11D4-8A73-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
\{3D7247D1-5DB8-11D4-8A72-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
\{C0335197-6755-11D4-8A73-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database
\Distribution Units\{3D7247DE-5DB8-11D4-8A72-0050DA2EE1BE}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\ModuleUsage
\C:/WINDOWS/Downloaded Program Files/eZulaBoot.dll

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Explorer\Doc

En el disco duro deja estos archivos:

C:\WINDOWS\eZulains.exe
C:\WINDOWS\APPLOG\ezulains.lgc
C:\WINDOWS\Downloaded Program Files\InstallCtrl.class

Hay que proceder con cuidado a la hora de borrar todos estos archivos porque a veces podemos quedarnos incluso sin conexión a Internet. Lo mejor es hacer una copia de respaldo de todo lo que borremos, para reponerlo todo si tenemos problemas.

Hay una posibilidad de escanear nuestro ordenador en busca de este spyware con el Internet Explorer instalado. Apliquen este pequeño script a su Web después de <body>:

<object
CLASSID="clsid:3D7247E8-5DB8-11D4-8A72-0050DA2EE1BE" width="1" height="1">
<img id="imgEzulaNA" src="" width="1" height="1" />
</object>

<script type="text/javascript">
if (!document.getElementById("imgEzulaNA"))
document.write("Usted tiene eZula instalado");
</script>

Si tienen eZula en su ordenador, les saldrá este mensaje: "Usted tiene eZula instalado".

Cydoor

Este programa se caracteriza por inundarnos con publicidad incluso cuando estamos offline. Los servidores de Cydoor identifican cada ordenador "infectado" con un número.

Aquí están los archivos que deja en nuestros ordenadores:

C:\Windows\System\cd_clint.dll
C:\Windows\System\cd_gif.dll
C:\Windows\System\cd_swf.dll
C:\Windows\System\cd_load.exe

Es recomendable borrar la carpeta C:\Windows\System\Adcache

También advertimos de esta entrada en el registro:

HKEY_LOCAL_MACHINE\Software
HKEY_CURRENT_USER\Software

También busquen en:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Shareddlls

Aureate / Radiate

Polémico programa que por ejemplo José Luis López de VSAntivirus no reconoce como spyware tras los resultados de los laboratorios de Kaspersky.

En realidad este programa estaría en la categoría de adware: programa para recoger y mostrar publicidad en la pantalla de los usuarios. Vuelvo a insistir en que el adware a priori no plantea ningún problema ético, salvo si se dan las condiciones expuestas arriba (mezcla de pornografía y niños).

Vean Uds. el tipo de publicidad que les muestra Aureate / Radiate y juzguen su conveniencia o inconveniencia.

Si quieren borrarlo de su ordenador, estos son los archivos que deja en nuestro disco duro: adimage.dll, advert.dll, amcis.dll, amcis2.dll, anadsc.ocx, anadscb.ocx, htmdeng.exe, ipcclient.dll, msipcsv.exe y tfde.dll.

. Adware: Es el software que muestra publicidad en el equipo.
. Spyware: Es el software que recoge y envía la información de usuario a terceros.
Atendiendo a su comportamiento una vez instalados, se diferencian distintos tipos:
. Hijackers (literalmente, secuestradores): Modifican información del usuario, como
por ejemplo la página de inicio y de búsqueda del navegador, alteran los resultados
de las búsquedas realizadas, etc.
. Trackware: Programas que realizan inventarios de las aplicaciones instaladas,
rastreo de itinerarios del usuario, etc. Para ello, guardan todas las búsquedas
realizadas en el buscador que colocan como página de inicio, o introducen
capturadores de teclado (keylogger), que registran todas las pulsaciones de teclas
realizadas.
Según su forma de activarse, podemos diferenciar:
. BHO (Browser Helper Object): Son plugins de los navegadores. Suelen ser cargados
al pulsar un enlace de una página maliciosa visitada, y se ejecutarán cada vez que se
abra el navegador. Pueden aparecer visibles como barras de herramientas del
navegador, o permanecer ocultos mientras realizan una serie de operaciones sin
conocimiento del usuario.
. Otras formas de activación que coinciden son las utilizadas por los virus y troyanos.

SoloCodigo

Autor Tema: Reconocer Spywares (Leído 1023 veces)

Soultaker

Reconocer Spywares

RadicalEd

Re: Reconocer Spywares