El spyware de eBlaster tiene talón de aquiles

Revisión Pocas aplicaciones ilustran la naturaleza dual de la tecnología de consumo como constructiva y destructiva mejor que el spyware de computadora. Si bien tiene un uso legítimo por parte de los padres que monitorean las com y venidas en línea de sus hijos, tiene el mismo potencial para violar la privacidad de los adultos tanto en el hogar como en el trabajo.

Así que cuando SpecterSoft invitó a El Reg a evaluar su reciente eBlaster 3.0, un programa espía que la compañía comercializa a padres preocupados y jefes entrometidos, estaba ansioso por probarlo, particularmente con la mente puesta en ver lo difícil que sería derrotarlo.

El software eBlaster deja poco a la imaginación. “Le permite saber exactamente lo que sus empleados o familiares están haciendo en Internet, incluso si está a miles de millas de distancia. eBlaster registra sus correos electrónicos, chats, mensajes instantáneos, sitios web visitados y pulsaciones de teclado typ y luego envía automáticamente esta información grabada a su propia dirección de correo electrónico”, explica la compañía.

También hay un elemento troyano muy controvertido, que permite a los usuarios infectar otras máquinas de forma remota:

“Si no puede ir físicamente a la computadora en la que desea instalar eBlaster, puede beneficiarse de nuestro Complemento de instalación remota, que le permite enviar por correo electrónico el programa eBlaster a la dirección de correo electrónico del destinatario. Perfecto para padres con niños fuera de la escuela o empleadores con oficinas remotas.”

SpecterSoft insta a los usuarios a que no instalen el software en una máquina que no les pertenece y recomienda alertar a los usuarios del hecho de que sus sesiones serán monitoreadas. Durante la instalación aparece un pequeño aviso que requiere que uno elija ” Sí ” a una promesa de que no se abusará del software.

Lo probé en una instalación Win-XP Pro recientemente parcheada. Antes de instalar eBlaster, hice una copia de seguridad del registro para poder rastrear los cambios allí. Una vez que lo instalé, inmediatamente hice una copia nueva del registro y luego comparé los dos archivos usando una versión de prueba del software BeyondCompare by Scooter, una utilidad de comparación de archivos.

Los cambios en el registro fueron bastante sutiles, sin entradas obvias de “spyware”. El usuario promedio probablemente nunca detectaría nada sospechoso. Lo primero que destacó fue una nueva referencia a nvrcr32.dll, un archivo ubicado en C:\WINDOWS\system32\. Esto está asociado con la instalación de eBlaster, y una búsqueda rápida del disco duro local (con archivos del sistema y archivos ocultos incluidos en el cuadro de diálogo “Opciones más avanzadas”) lo revelará en máquinas infectadas.

Otro archivo que eBlaster suelta en la máquina de destino es mssecrmd.exe, ubicado en C:\WINDOWS\system32\, no se menciona inmediatamente en el registro, pero se encuentra fácilmente con una búsqueda de la unidad local.

Es fácil evitar que eBlaster envíe alertas de correo electrónico si se está utilizando un producto de firewall con filtrado de salida como ZoneAlarm (el ‘firewall’ nativo de Win-XP no tiene esta función) y negar el acceso a Internet a explorer.exe. Sin embargo, esta es solo una solución parcial, ya que la persona que usa eBlaster puede verificar los informes de actividad siempre que tenga acceso físico a la máquina infectada.

De lo contrario, el programa es bastante sigiloso. La tecla de acceso rápido predeterminada para acceder a la configuración de eBlaster es Alt+Ctrl+Mayús+T, pero el propietario puede cambiarla. Por supuesto, una persona descuidada puede no molestarse en cambiarlo, por lo que si recibe una solicitud de contraseña cuando ingresa Alt+Ctrl+Mayús+T, puede estar bastante seguro de que tiene spyware. La ubicación predeterminada para los archivos de registro de eBlaster, C:\WINDOWS\system32\iase\, también se puede cambiar.

Los informes de actividad enviados por correo electrónico reciben automáticamente una dirección de devolución ficticia para que el espía no reenvíe accidentalmente un informe a la persona que está siendo monitoreada. Obviamente, los informes no aparecen en el directorio de “correo enviado” de la víctima.

El kit de eBlaster, con un precio de aproximadamente US 1 100, está bien diseñado y sería difícil de detectar y derrotar para el usuario promedio de Windows. Deja pocos rastros, y los que deja son inocuos. El software antivirus estándar lo ignora, aunque hay software comercial para derrotarlo como SpyCop disponible, pero no lo he probado. La edición personal cuesta alrededor de US 5 50.

En cuanto a la base de consumidores principales de eBlaster, uno podría imaginar que los cónyuges sospechosos que contemplan el divorcio podrían formar parte de esa categoría. Notamos que se anuncia en Infidelidad hoy.com, justo al lado de un kit de prueba para identificar manchas de semen en las bragas de una mujer. De alguna manera, los dos parecen encajar de forma natural. ®