eBlaster spyware has Achilles heel

áttekintés néhány alkalmazás szemlélteti a fogyasztói technológia kettős természetét, mivel mind konstruktív, mind destruktív jobb, mint a számítógépes kémprogramok. Bár a szülők jogszerűen használják gyermekeik on-line érkezését és távozását, ugyanolyan potenciálisan sértheti a felnőttek magánéletét mind otthon, mind a munkahelyen.

tehát amikor a SpecterSoft meghívta az El Reg-et, hogy értékelje a legutóbbi eBlaster 3-at.0, egy spyware program, amely a cég a piacok az érintett szülők és kíváncsi főnökök, alig vártam, hogy ez egy megy, különösen a tudat, hogy milyen nehéz lenne legyőzni.

az eBlaster szoftver keveset hagy a képzeletre. Ez ” lehetővé teszi, hogy pontosan tudja, mit csinálnak alkalmazottai vagy családtagjai az interneten, még akkor is, ha több ezer mérföldre van. az eBlaster rögzíti az e-maileket, csevegéseket, azonnali üzeneteket, meglátogatott webhelyeket és begépelt billentyűleütéseket-majd automatikusan elküldi ezeket a rögzített információkat a saját e-mail címére” – magyarázza a cég.

van egy nagyon ellentmondásos trójai elem is, amely lehetővé teszi a felhasználók számára, hogy távolról megfertőzzék más gépeket:

“ha nem tud fizikailag elmenni arra a számítógépre, amelyre telepíteni kívánja az eblastert, akkor hasznos lehet A Remote Install kiegészítő, amely lehetővé teszi az eBlaster program e-mail küldését a címzett e-mail címére. Tökéletes a szülők a gyerekek el az iskolában, vagy a munkáltatók a távoli irodák.”

a SpecterSoft sürgeti a felhasználókat, hogy ne telepítsék a szoftvert olyan gépre, amelyet nem birtokolnak, továbbá azt javasolja, hogy figyelmeztessék a felhasználókat arra a tényre, hogy a munkameneteiket figyelik. A telepítés során egy kis prompt jelenik igénylő egyik választani “igen” a fogadalmat, hogy a szoftver nem lehet visszaélni.

egy nemrégiben javított Win-XP Pro telepítésen teszteltem. Az eBlaster telepítése előtt készítettem egy biztonsági másolatot a rendszerleíró adatbázisról, hogy nyomon követhessem a változásokat. Miután telepítettem, azonnal elkészítettem a rendszerleíró adatbázis friss példányát, majd összehasonlítottam a két fájlt a Beyondcompare by Scooter szoftver próbaverziójával, egy fájl-összehasonlító segédprogrammal.

a rendszerleíró adatbázis változásai meglehetősen finomak voltak, nyilvánvaló “spyware” bejegyzések nélkül. Az átlagos felhasználó valószínűleg soha nem észlel semmi gyanúsat. Az első dolog, ami kiemelkedett, egy új hivatkozás volt az nvrcr32-re.dll, egy fájl található C:\WINDOWS\system32\. Ez az eBlaster telepítéshez kapcsolódik, és a helyi merevlemez gyors keresése (a rendszerfájlokkal és a rejtett fájlokkal együtt a ‘fejlettebb Beállítások’ párbeszédpanelen) felfedi a fertőzött gépeken.

egy másik fájl eBlaster csepp a célgép mssecrmd.exe, található C:\WINDOWS\system32\, nem szerepel azonnal a rendszerleíró adatbázisban, de könnyen megtalálható a helyi meghajtó keresésével.

könnyen megakadályozható, hogy az eBlaster e-mail riasztásokat küldjön, ha olyan tűzfalterméket használ, amely kilépési szűréssel rendelkezik, mint például a ZoneAlarm (a natív Win-XP ‘tűzfal’ nem rendelkezik ezzel a funkcióval), és megtagadja az internet-hozzáférést az Explorerhez.exe. Ez azonban csak részleges megoldás, mivel az eBlaster-t használó személy ellenőrizheti a tevékenységi jelentéseket, amikor fizikai hozzáféréssel rendelkezik a fertőzött géphez.

egyébként a program meglehetősen lopakodó. Az eblaster konfiguráció eléréséhez az alapértelmezett gyorsbillentyű az Alt+Ctrl+Shift+T, de ezt a tulajdonos megváltoztathatja. Természetesen egy gondatlan személy nem zavarja, hogy megváltoztassa, így ha az Alt+Ctrl+Shift+T beírásakor jelszót kér, akkor biztos lehet benne, hogy kémprogramja van. Az eblaster naplófájlok alapértelmezett helye, C:\WINDOWS\system32\iase\, is lehet változtatni.

az e-mailben küldött tevékenységi jelentések automatikusan megkapják a dummy visszatérési címet, így a kém véletlenül nem továbbítja a jelentést a megfigyelt személynek. Nyilvánvaló, hogy a jelentések nem jelennek meg az áldozat ‘elküldött levelek’ könyvtárában.

az eBlaster készlet, amelynek ára körülbelül 100 USD, jól megtervezett, és az átlagos Windows-felhasználó számára nehéz lenne észlelni és legyőzni. Kevés nyomot hagy, és azok, amiket hagy, ártalmatlanok. A szokásos víruskereső szoftver figyelmen kívül hagyja, bár van olyan kereskedelmi szoftver, amely legyőzi, mint a SpyCop, de még nem teszteltem. A személyes kiadás körülbelül 50 dollárba kerül.

ami az eBlaster alapvető fogyasztói bázisát illeti, elképzelhető, hogy a válást fontolgató gyanús házastársak alkotják ezt a kategóriát. Megjegyezzük, hogy a hitetlenségben hirdetikma.val vel, közvetlenül egy tesztkészlet mellett, amely azonosítja a spermafoltokat egy nő bugyiján. Valahogy úgy tűnik, hogy a kettő teljesen természetesen illeszkedik egymáshoz. ®