Programas espias – spyware
Los espías (spyware) son programas que se suelen introducir a nuestra PC al hace click en un enlace (sobre todo de Web pornográficas y de warez), instalar un programa, buscar fondos de escritorio, visitar anuncios. Estos programas copian los datos que el internauta introduce en formularios y registros de la red. Son como caballos de troya y hay de diferentes tipos:
- Dataminer: espían la navegación
- Secuestradores (hijackers): cambian la página de inicio del navegador o lo dirigen a donde quieren.
- Ad-aware: muestran anuncios (pop-ups) incluso sin estar navegando en Internet. Algunas compañías proveen software gratuito a cambio de estos anuncios en el ordenador.
- Cookies maliciosas: roban datos introducidos en formularios, como la dirección de correo.
El espía envía en secreto información a su base, donde se procesa y vende sobre todo a empresas de correo basura. Esta información se obtiene sin el consentimiento del usuario y con engaño ralentizándose la conexión y el funcionamiento del ordenador. Muchos programas comerciales que se ofrecen de forma gratuita son sospechosos de tener espías ya que para muchas empresas es más provechoso la recogida de información que la venta de programas.
La forma de entrar de estos programas es mediante ventanas similares a la que se muestra, una ventana de diálogo tipo Windows, que al cerrarla engaña al usuario para instalar algún programa. Algunas veces, se pone una barra de herramientas en una ventana de Windows vacía que al cerrarse provoca la instalación del spyware. Otras veces, ya comentado anteriormente, programas gratuitos instalan los espías sin conocimiento del usuario.
Prevenir la instalación de estos programas.
Se deben tener en cuenta los siguientes consejos:
- Comprobar que el programa gratuito no contiene espías. Sino se está seguro, leer la licencia cuidadosamente, comprobar la Web del fabricante o buscar en los grupos de google poniendo el nombre del programa más las palabras ad-aware o spyware.
- Instalar los parches de seguridad que periódicamente se publiquen (especialmente en Internet Explorer, ya que muchos programas utilizan los fallos de seguridad de Windows o Internet Explorer para instalar programas llamados controles activex).
- Instalar un bloqueador de pop-ups (pop-up blocker) para prevenir las ventanas emergentes de spyware (como la barra de herramientas de google o la de MSN o si se tiene Windows xp, poner el SP2 que incorpora un programa de estos para el Internet Explorer).
- No instalar inconscientemente spyware o software. Sólo se deberían instalar programas de Internet que se hayan escogido.
Cómo eliminar una página secuestrada y una barra de herramientas.
El secuestro de páginas Web es el uso de herramientas de script para modificar los parámetros del navegador del usuario. Esto se puede hacer añadiendo nuevos links en favoritos o en la lista de links del usuario o cambiando la página de inicio persistentemente combinando scripting, cambios del registro y programas auto ejecutables. Las técnicas que suelen usar estos programas son:
- Eliminar las opciones de Internet de las herramientas del navegador y desde el panel de control por lo que el usuario no puede poner su página Web y configurar el navegador.
- Modificar el registro para que la próxima vez que se ejecute el navegador la página de inicio sea secuestrada. En este caso, es necesario modificar el registro para eliminar dicho problema.
- Instalar un programa que se ejecuta cada vez que se inicia el ordenador y cambia la página Web. Con esta técnica, aunque se modifique el registro persiste el problema.
A veces, estos programas instalan archivos *.hta los cuales se pueden mover a otras carpetas o renombrarlos. Si al hacer alguna de estas opciones se soluciona el problema, se pueden borrar. También es posible que se tenga algún fichero *.exe los cuales no se pueden descargar directamente desde navegadores seguros (con los últimos parches de seguridad instalados) por lo que son descargados con algún programa de la Web.
La forma como entran estos programas es diversa:
- Instalando programas (sobre todo comerciales) que cambian la configuración del navegador. Sobre todo con adware o freeware (que permiten al usuario usar software sin pagar con la condición de soportar la publicidad insertada en ellos)
- Visitando sitios que explotan un error (bug) del navegador que cambia la configuración del mismo sin permiso.
- Visitando un sitio que persuade al usuario de permitir cambiar la configuración del navegador ofreciendo normalmente servicios gratuitos. Cuando se acepta el ofrecimiento, se cambia la configuración del navegador o se instala software.
Se puede prevenir estos problemas (además de decir NO a mensajes de Windows que piden de instalar algún componente o permiso para hacer algo) haciendo lo siguiente:
- Poner los últimos parches al navegador.
- Leer los anuncios cuidadosamente.
- Usar programas antisecuestro.
Es posible intentar eliminar los efectos de estos programas editando el registro (haciendo previamente un backup del mismo).
¿Cómo saber si se tienen espías en el ordenador?.
Según el equipo de seguridad CERT de USA, los síntomas son:
1. Durante la navegación se abren continuamente ventanas emergentes (pop-ups).
2. El navegador va a otras páginas de las que se le indican.
3. Aparecen nuevas e inesperadas barras de herramientas en el navegador.
4. Aparecen nuevos e inesperados iconos en la barra de tareas de la parte inferior de la pantalla del ordenador.
5. La página de inicio del navegador cambia repentinamente.
6. Cuando se pincha en el botón búsqueda del navegador aparece un motor de búsqueda diferente del habitual.
7. Algunas teclas del ordenador no funcionan.
8. Aparecen mensajes de error de Windows (debido a la mala programación de los mismos, muchas veces al cargar Windows se muestran mensajes de no se encuentra un archivo) e incluso se puede llegar a colgar el ordenador.
9. De repente, el ordenador empieza a funcionar mucho más despacio cuando se abren programas o se le indican acciones, como guardar un archivo.
2. El navegador va a otras páginas de las que se le indican.
3. Aparecen nuevas e inesperadas barras de herramientas en el navegador.
4. Aparecen nuevos e inesperados iconos en la barra de tareas de la parte inferior de la pantalla del ordenador.
5. La página de inicio del navegador cambia repentinamente.
6. Cuando se pincha en el botón búsqueda del navegador aparece un motor de búsqueda diferente del habitual.
7. Algunas teclas del ordenador no funcionan.
8. Aparecen mensajes de error de Windows (debido a la mala programación de los mismos, muchas veces al cargar Windows se muestran mensajes de no se encuentra un archivo) e incluso se puede llegar a colgar el ordenador.
9. De repente, el ordenador empieza a funcionar mucho más despacio cuando se abren programas o se le indican acciones, como guardar un archivo.
Solución al problema.
Para evitar este problema, es conveniente usar diferentes navegadores del Internet Explorer y si se usa éste, configurar su nivel de seguridad a medio o alto. Además, es conveniente no pinchar enlaces de anuncios, responder no a los cuadros de diálogo extraños, no descargar programas de sitios no confiables, no pinchar en enlaces de correo basura y configurar el navegador para que limite pop-ups y cookies. Además de estos consejos, es necesario usar más de un programa antiespía además de antivirus[1] (tanto los antiespía como los antivirus son más eficaces ejecutarlos en modo seguro o de errores) y firewalls. Es recomendable ejecutar estos programas antiespía al menos una vez por semana. Dichos programas se encuentran en una fase muy embrionaria y hacen poco más que hallar firmas específicas en ficheros, cookies o el registro de Windows (buscan señales indirectas).
De estos programas, se tienen los siguientes:
- Ad-aware SE Personal: detecta y elimina espías, publicidad intrusiva y otras aplicaciones. Fácil uso.
- Spybot Search & Destroy: detecta y elimina espías, publicidad intrusiva, conexiones telefónicas (dialers). Además, limpia las trazas de uso y navegación Web y repara daños causados por espías.
- Webroot Spy Sweeper: elimina espías, troyanos, publicidad intrusiva, monitorizadores de teclado y de sistema. Usa mucha memoria.
- Spyware Doctor: detecta y elimina contraseñas, cookies, espías, publicidad intrusiva. Tiene una interfaz sencilla y hace un escaneo rápido y exhaustivo.
- Bazooka Adware and Spyware Scanner: detecta muchos espías pero no los elimina automáticamente dando información detallada de como hacerlo. Se instala fácilmente, tiene una interfaz sencilla y hace un escaneo rápido.
- Hijackthis: detecta y elimina programas secuestradores, monitorizando áreas claves del registro y el disco duro y ficheros y programas que se inician en el arranque del sistema. Requiere buenos conocimientos técnicos antes de usarlo ya que sí no se pueden borrar entradas del registro necesarias para el buen funcionamiento del ordenador.
- Spywareblaster: no elimina programas instalados sino que monitoriza el Internet Explorer en tiempo real para evitar que se instalen. Además bloquea cookies maliciosas.
- Pestpatrol: detecta espías, publicidad intrusiva, troyanos y herramientas de hacking como monitorizadores de teclado. La versión gratuita no elimina los programas maliciosos.
- CoolWebSearch: elimina todas las variantes de programas espía de tipo CoolWebSearch que se pueden instalar en el PC de forma fácil y sencilla. Requiere que el navegador esté cerrado durante su uso.
- SpywareGuard: permite el escaneo en tiempo real evitando que el software espía se ejecute y tiene protección antiespías durante las descargas de Internet además de evitar el secuestro del Internet Explorer si se activa la opción Browser Hijack Protection.
- Spyremover: detecta más de 17000 tipos de programas intrusivos.
- Spykiller: detecta y elimina más de 10000 parásitos, espías y publicidad intrusiva, escanea el ordenador cuando se inicia y bloquea pop-ups.
- Antisecuestro: programa que evita el secuestro de la página de inicio del Internet Explorer.
- StartPage Guard: la misma función que el anterior.
- Toolbarcop: no previene el secuestro del navegador pero si evita que se instalen barras de herramientas o BHO no deseados.
Esta lista no pretende ser completa ni infalible; pero nos guía para ver las alternativas que tenemos.
Engañar a los programas espías
Utilizando los siguientes trucos podemos engañar a estos programas intrusos para evitar su acción. Por ejemplo, se puede bloquear dominios publicitarios: usando el comando netstat en Windows ya que frecuentemente estos programas proporcionan ellos mismos los servidores a los que se conectan. Se puede direccionar la salida de netstat > stats.log, de forma que en este archivo se tenga toda la información. Si hay algún spyware normalmente operará por el puerto 1975. En este archivo también aparecerá el nombre del dominio. También se debe buscar un archivo llamado hosts en el directorio Windows (equivalente al /etc/hosts de UNIX). Si el archivo no existe se puede crear y contiene los dominios incriminados que se han encontrado con netstat, precedidos por un URL ficticio que hace volver a nuestro ordenador, de la forma:
127.0.0.1 spam.com
127.0.0.1 server.syware.com
127.0.0.1 server.syware.com
Los nombres se corresponderán a los dominios reales encontrados. Sin embargo, si en nuestro equipo hay una función de servidor Web, un adware agresivo que insiste en llamar al 127.0.0.1 puede ralentizar mucho el equipo. Este truco no sirve para bloquear espías que se saltan el archivo hosts y usan un nameserver propio.
Explorer y software de bloqueo: muchos programas muestran anuncios utilizando el IE. En este caso basta configurar el Internet Explorer como proxy de la conexión un URL que bloquee los mensajes publicitarios no deseados. El mismo truco vale con programas de bloqueo y filtro como cortafuegos que pueden prohibir el acceso a Internet programa por programa.
Spoofer y dll falsa: otro truco es hacer creer a los programas publicitarios que todo funciona. En realidad hablan con otro programa residente en nuestro equipo que finge ser su servidor de referencia (puede ser ni siquiera un programa sino componentes falsos, que cuando son interrogados por el spyware responden valores creíbles pero inocuos). Un programa de estos es spyblocker y enhttp://www.cexx.org/dummies.htm hay una lista de archivos falsos, que se llaman como ciertos componentes de spyware y contienen lo necesario para pasar la prueba pero no abren ninguna conexión a Internet.
También se puede intentar borrar los archivos del programa adware, lo cual sólo funciona cuando el programa presupone que los usuarios no saben ni aislar archivos con nombres reveladores como advert.dll,ad.dll, adserver.dll y otros. Se puede probar y es posible que el programa que transporta el spyware siga funcionando y sino funciona se puede recuperar el archivo borrado, pero si funciona ya se ha eliminado el espía.
Bibliografía.
Información de Microsoft sobre el tema.
http://www.microsoft.com/windowsxp/using/security/expert/honeycutt_spyware.mspx
http://www.microsoft.com/windowsxp/using/security/expert/honeycutt_spyware.mspx
Método para recuperar páginas secuestradas.
http://www.vsantivirus.com/lista-nospyware.htm
http://www.vsantivirus.com/lista-nospyware.htm
National Cyber Alert System
http://www.us-cert.gov/cas/tips/ST04-016.html
http://www.us-cert.gov/cas/tips/ST04-016.html
Revista hacker journal nº 7 (julio-agosto 2004)
http://www.free-web-browsers.com/remove-about-blank.shtml
http://www.free-web-browsers.com/remove-about-blank.shtml
Mucha información de utilidades para eliminar spyware y como usarlas. Links a dichos programas.
http://cwshredder.net/cwshredder/cwschronicles.html
http://cwshredder.net/cwshredder/cwschronicles.html
Información sobre programas CWS.
[1] Para la barra de herramientas llamada searchweb2, sino es posible quitarla con programas antiespías, hay una utilidad del mismo fabricante que la desinstala en http://lop.com/new_uninstall.exe
[2] Se puede encontrar en www.mvps.org/sramesh2k/deskbands.exe
[2] Se puede encontrar en www.mvps.org/sramesh2k/deskbands.exe
Esta información es una adaptación de la noticia en:
http://tecnics2.madpage.com/modules.php?name=News&file=article&sid=2
Comentarios
Publicar un comentario