Foros del Web » Programas, Hardware y Redes » Seguridad y redes en dispositivos y software »

O J O - El Messenger nos espia!

Estas en el tema de O J O - El Messenger nos espia! en el foro de Seguridad y redes en dispositivos y software en Foros del Web. EL MESSENGER NOS ESPÍA Que tal? Autor Cyberfox El amigable programa de mensajería de Microsoft, conocido por sus siglas MSN y altamente difundido en la ...
  #1 (permalink)  
Antiguo 15/04/2003, 09:24
Avatar de Isaac Mañe  
Fecha de Ingreso: enero-2002
Ubicación: Caracas
Mensajes: 396
Antigüedad: 12 años, 9 meses
Puntos: 0
Exclamación O J O - El Messenger nos espia!

EL MESSENGER NOS ESPÍA

Que tal?

Autor Cyberfox

El amigable programa de mensajería de Microsoft, conocido por sus
siglas MSN y altamente difundido en la actualidad por sus prestaciones de mensajes instantáneos, es uno más de los tantos programas que instalan troyanos (1) en nuestra PC. Esto lo descubrí días atrás cuando luego de repetidos cortes en una conexión directa por módem con un amigo, me decidí a averiguar que era lo que pasaba. Entonces me fijé en todos los programas cargados en memoria a través de ctr - alt - del, pero estaba todo normal (únicamente los programas básicos). Arranqué el Programa TCActive de The Cleaner Software, que rastrea
todos los programas en ejecución. Y figuraba allí para mi sorpresa un loadqm.exe. Que no está entre los controladores ni librerías básicos que carga Windows. Busco el path del archivo y para mayor sorpresa consistía en un directorio oculto dentro de Archivos de Programas, obviamente un troyano. Con ayuda del TCActive, rastreé las bibliotecas dll vinculadas a ese programa y encontré: progdl.dll, qmgr.dll, qmgrprxy.dll. Al visualizar en modo texto el primero de los archivos, encontré que este era un archivo log (2) y contenía lo siguiente:

InitThrottle: found modem connection InitThrottle: Couldnt find active
interface GetIpForwardTable GetIpAddrTable GetBestInterface GetIfTable
iphlpapi.dll InitThrottle: Connection lost GetIpFwdTable failed with
error d, exiting InitThrottle: Failed to load func addr for inet_addr or inet_ntoa InitThrottle: GetIfTable failed, GetLastError= d Throttling on interface with IP address - s GetBestInterface failed with error d, might be Win95 207.46.177.15 inet_ntoainet_addr InitThrottle: Failed to load wsock32 dll wsock32.dll InitThrottle: Failed to load ws2_32 dll, might be Win95 ws2_32.dll ***I think bandwidth= d***, but am working on it InitThrottle: Found lan connection InitThrottle: Failed to get func pointers in rasapi32 (GetLastError= d), assuming 28.8k InitThrottle: Non-RAS connection, assuming 28.8k InitThrottle: Couldnt find RAS window, assuming 28.8k
InitThrottle: RAS connection - s Connected to RasEnumConnectionsA DialEngineRequest InitThrottle: Failed to load rasapi32 (GetLastError= d), assuming 28.8k rasapi32 InitThrottle HTTP/1.1 check: Connection lost before HttpSendRequest. Con esto se resolvía el misterio de porque mi conexión se cortaba. Cada vez que me conectaba con la otra PC, el loadqm.exe cargado en memoria desde el inicio, detectaba la conexión y ejecutaba la rutina. Luego pensé porque esto no cortaba mis conexiones a Internet y si mi conexión directa. Y la respuesta estaba que, según lo muestra este log, cada vez que el troyano encontraba un error de transferencia bajaba las pretensiones de velocidad de conexión, pero descendía tan solo hasta 28.8k. Como yo generalmente a Internet me conecto entre 33 y 56 k, parecería que allí no tenía problemas, pero en la conexión directa la velocidad era de 14.4 k, porque a pesar de que los dos módems eran V.90, el juego que originaba la conexión tenía como velocidad máxima 14.4k, algo que al parecer para este troyano era insuficiente y abortaba la conexión. Después de esto intenté limpiar el troyano de mi PC, con el programa de The Cleaner, pero no lo detectó, me conecté a Internet y actualicé el programa pero tampoco logré nada. Entonces no me quedaba otra que tratar de eliminarlo manualmente o formatear el rígido e instalar todo de nuevo, lo cual no tenía muy muchas ganas de hacer. Para eliminarlo empecé chequeando la fecha de creación del directorio oculto c:\Archivos de Programa\qmgr, la cual era 05/01/2002. Después busqué todos los directorios que con esa fecha de creación (los directorios, no archivos, porque la fecha de creación de estos no refleja como la de los directorios el momento en que fueron alojados en el rígido sino el momento en el que fueron creados originalmente). Y apareció como único resultado de la búsqueda el directorio del messenger, luego de ver que la coincidencia se daba incluso en la hora, concluí que el troyano había sido instalado junto con ese programa, para estar más seguro abrí el pac de instalación del messenger (messenger.exe) con el winzip, y entre los archivos comprimidos figuraban: qmgr.inf, qmgr.cab, dentro de este último estaban el progdl.dll, qmgr.dll, qmgrprxy.dll y loadqm.exe. Luego de haber encontrado el inf del troyano me fue fácil eliminarlo, tan solo borré los archivos en cuestión y las claves del registro respectivas (las mismas estaban mencionadas en el qmgr.inf):

ARCHIVOS:

- loadqm.exe
- progdl.dll
- qmgr.dll
- qmgrprxy.dll

CLAVES DEL REGISTRO:

HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\loadqm.exe(Para que el sistema no intente cargar el troyano que ya no existe y nos ponga por la tanto la típica pantalla azul de errores de windows). El qm según su archivo log, envía toda la información relevante del sistema y del usuario (tipo de PC, passwordws, configuración, programas instalados, preferencias de navegación, etc.) a la página http://windowsupdate.microsoft.com/R922. Y es al igual que la supuesta clave NSA o puerta trasera de Windows un verdadero avasallamiento a la privacidad y seguridad de los usuarios de Internet.

Notas:
1. Nuevo tipo de virus informático, que aparentando ser un programa convencional realiza rutinas perniciosas al sistema. Este tipo de virus está de última moda en Internet, ya que son usados para hacer "sniff" (espiar a otras personas).
2. 2. Archivo que guarda rutinas realizadas por un programa.
  #2 (permalink)  
Antiguo 15/04/2003, 09:27
Avatar de Cain  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 6.460
Antigüedad: 12 años, 9 meses
Puntos: 17
Por eso prefiero clientes de chat más tradicionales como mIRC.
__________________
M a l d i t o F r i k i
  #3 (permalink)  
Antiguo 15/04/2003, 09:36
Avatar de Mickel  
Fecha de Ingreso: mayo-2002
Ubicación: Lima, Peru
Mensajes: 4.620
Antigüedad: 12 años, 5 meses
Puntos: 7
Interesante... Vamos a chequearlo...
__________________
No tengo firma ahora... :(
  #4 (permalink)  
Antiguo 15/04/2003, 09:40
Avatar de MsTech.DotNet  
Fecha de Ingreso: marzo-2003
Ubicación: Maracay - Edo. Aragua
Mensajes: 605
Antigüedad: 11 años, 7 meses
Puntos: 0
Epale Cain... yo uso el mirc pero muy poco... en que servidor de irc te conectas tu???? en español....

Saludos...
  #5 (permalink)  
Antiguo 15/04/2003, 09:41
Avatar de Cain  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 6.460
Antigüedad: 12 años, 9 meses
Puntos: 17
irc-hispano.org

Cada vez está peor, pero es lo que hay
__________________
M a l d i t o F r i k i
  #6 (permalink)  
Antiguo 15/04/2003, 10:04
Avatar de MsTech.DotNet  
Fecha de Ingreso: marzo-2003
Ubicación: Maracay - Edo. Aragua
Mensajes: 605
Antigüedad: 11 años, 7 meses
Puntos: 0
Y en que canal o canales frecuentas tu???

Saludos...
  #7 (permalink)  
Antiguo 15/04/2003, 10:07
Avatar de Cain  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 6.460
Antigüedad: 12 años, 9 meses
Puntos: 17
Pues cada vez menos. Ahora casi que sólo aparezco asiduamente por #traduccion.

Antes solia entrar en canales locales de mi ciudad, o de música, fantasía y cosas así.
__________________
M a l d i t o F r i k i
  #8 (permalink)  
Antiguo 15/04/2003, 10:27
Avatar de MsTech.DotNet  
Fecha de Ingreso: marzo-2003
Ubicación: Maracay - Edo. Aragua
Mensajes: 605
Antigüedad: 11 años, 7 meses
Puntos: 0
ahhh ok.... bueno amigo gracias entonces.... ya revise la mayoria de los canales y ya he anotado algunos que me interesaron.... cualquier cosa estamos en contacto..

Saludos...
  #9 (permalink)  
Antiguo 15/04/2003, 11:27
Avatar de Energy  
Fecha de Ingreso: abril-2002
Ubicación: Juangriego, Margarita
Mensajes: 468
Antigüedad: 12 años, 6 meses
Puntos: 0
No es raro que Moco$oft espie las personas ya que todo su software hace lo mismo , empezando por el Pseudo OS "Windows XP" ,no me extraña oir esto ya que hasta el IE es un espia , yo uso el seguro,confiable y gratuito Trillian en windows que no me ha dado ningun problema hasta ahora



Saludos
__________________
Gabriel Ferragut
Energy Systems
Linux Registered User Nº #292911
  #10 (permalink)  
Antiguo 15/04/2003, 13:49
Avatar de sagitaria  
Fecha de Ingreso: abril-2002
Ubicación: Limpiando parabrisas en l
Mensajes: 1.066
Antigüedad: 12 años, 6 meses
Puntos: 1
Bueno; reprobable que pase eso, pero para mí no hay tanto problema, no guardo archivos secretos ni nada parecido en mi computadora
  #11 (permalink)  
Antiguo 17/04/2003, 08:10
Axo
 
Fecha de Ingreso: abril-2003
Ubicación: Virtual
Mensajes: 929
Antigüedad: 11 años, 6 meses
Puntos: 6
Si fuera solo MSN.. xD tengo entenido que IE Explorer te inserta una clave en el registro que sirve para que mocosoft pueda ver las urls mas consultadas y ahroa con la ADSL y el Proxy ni te cuento... poco a poco nos van quitando la libertad e intimidad...
  #12 (permalink)  
Antiguo 17/04/2003, 10:09
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 12 años, 9 meses
Puntos: 0
Interesante Isaac,

La verdad es que el informe que presentas es digno de una comprovación...

En mi caso tb hago uso de trillian.

Actualmente todo el mundo se instala aplicaciones de conexión continua a la Red, y ningún grupo externo da fiabilidad de que ciertos programas sólo hacen lo que predican los creadores...

El gran hermano nos espía ???
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #13 (permalink)  
Antiguo 17/04/2003, 11:30
 
Fecha de Ingreso: febrero-2002
Ubicación: Ciudad Real
Mensajes: 32
Antigüedad: 12 años, 8 meses
Puntos: 0
Mensaje

Esta claro que la unica manera de poder tener algo protegido hoy en dia es encriptandolo, y seguro que pronto encuentran alguna manera de dessencriptarlo sin nuestro permiso.
  #14 (permalink)  
Antiguo 28/04/2003, 16:45
Avatar de Javok  
Fecha de Ingreso: enero-2002
Ubicación: Monterrey Nuevo Leon
Mensajes: 57
Antigüedad: 12 años, 9 meses
Puntos: 0
Bien hecho por Isaac, todos sabemos que microsoft es bien tranza pero no tenemos el suficiente conocimiento para detenerlo, y esto lo digo por que en mi casa a cado rato se cae la conexion de internet por motivos magicos y aun cambiando de modem se sigue cayendo ahora ya se una de las posibles causas
  #15 (permalink)  
Antiguo 28/04/2003, 23:07
Avatar de Slayer_X
Colaborador
 
Fecha de Ingreso: mayo-2001
Ubicación: Lima
Mensajes: 865
Antigüedad: 13 años, 5 meses
Puntos: 1
por eso no me gusta usar msn :P yo prefiero ICQ y jabber :)

para los linuxeros hay muchas opciones si es que quieren tener soporte para el msn messenger, personalmente uso centericq para la consola y gaim para el modo grafico.

Javok: una causa frecuente de las desconexiones por modem es no tener un adecuado suministro electrico, verifica si no tienes problemas de ese tipo ;)

Saludos
__________________
(o> Cesar Villegas Ureta
// "Slayer_X"
V_/_ http://www.slayerx.org/
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 08:31.
SEO by vBSEO 3.3.2