eBlaster spyware ha tallone d’Achille

Recensione Poche applicazioni illustrano la duplice natura della tecnologia di consumo come sia costruttivo e distruttivo meglio di spyware computer. Mentre ha un uso legittimo da parte dei genitori monitoraggio on-line and goings dei loro figli, ha lo stesso potenziale di violare la privacy degli adulti sia a casa che sul posto di lavoro.

Così quando SpecterSoft ha invitato El Reg a valutare il suo recente eBlaster 3.0, un programma spyware che l’azienda commercializza ai genitori interessati e capi ficcanaso, ero ansioso di dare un andare, in particolare con una mente per vedere quanto sia difficile sarebbe quello di sconfiggere.

Il software eBlaster lascia poco all’immaginazione. “Ti consente di sapere esattamente cosa stanno facendo i tuoi dipendenti o familiari su Internet, anche se sei a migliaia di miglia di distanza. eBlaster registra le loro e-mail, chat, messaggi istantanei, siti Web visitati e battiture digitate — e quindi invia automaticamente queste informazioni registrate al proprio indirizzo email”, spiega la società.

C’è anche un elemento Trojan molto controverso, che consente agli utenti di infettare altre macchine da remoto:

“Se non si è in grado di andare fisicamente al computer su cui si desidera installare eBlaster, si può beneficiare del nostro Remote Install Add-On, che consente di e-mail il programma eBlaster all’indirizzo e-mail del destinatario. Perfetto per i genitori con i bambini a scuola o datori di lavoro con uffici remoti.”

SpecterSoft invita gli utenti a non installare il software su una macchina che non possiedono e raccomanda inoltre di avvisare gli utenti del fatto che le loro sessioni saranno monitorate. Durante l’installazione appare un piccolo prompt che richiede di scegliere “Sì” per un impegno che il software non verrà abusato.

L’ho testato su un’installazione Win-XP Pro patchata di recente. Prima di installare eBlaster ho fatto una copia di backup del registro in modo da poter tenere traccia delle modifiche lì. Una volta installato ho subito fatto una nuova copia del registro di sistema e poi confrontato i due file utilizzando una versione di prova di BeyondCompare da Scooter Software, un programma di utilità di confronto di file.

Le modifiche al registro erano abbastanza sottili, senza voci “spyware” ovvie. L’utente medio sarebbe probabilmente mai individuare nulla di sospetto. La prima cosa che si è distinta è stato un nuovo riferimento a nvrcr32.dll, un file che si trova in C:\WINDOWS\system32\. Questo è associato all’installazione di eBlaster e una rapida ricerca del disco rigido locale (con file di sistema e file nascosti inclusi nella finestra di dialogo “Opzioni più avanzate”) lo rivelerà sulle macchine infette.

Un altro file eBlaster scende sulla macchina di destinazione è mssecrmd.exe, situato in C:\WINDOWS\system32\, non immediatamente menzionato nel registro di sistema ma facilmente reperibile con una ricerca dell’unità locale.

È facile impedire a eBlaster di inviare avvisi e-mail se si utilizza un prodotto firewall con filtro di uscita come ZoneAlarm (il ‘firewall’ nativo di Win-XP non ha questa funzione) e negare l’accesso a Internet a explorer.exe. Tuttavia, questa è solo una soluzione parziale poiché la persona che utilizza eBlaster può controllare i rapporti di attività ogni volta che ha accesso fisico alla macchina infetta.

Altrimenti il programma è abbastanza furtivo. Il tasto di scelta rapida predefinito per accedere alla configurazione eBlaster è Alt + Ctrl + Maiusc + T, ma questo può essere modificato dal proprietario. Naturalmente una persona disattenta potrebbe non preoccuparsi di cambiarlo, quindi se ricevi una richiesta di password quando inserisci Alt+Ctrl+Maiusc+T, puoi essere abbastanza sicuro di avere spyware. Il percorso predefinito per i file di registro eBlaster, C:\WINDOWS\system32\iase\, può anche essere cambiato.

I rapporti di attività inviati via e-mail ricevono automaticamente un indirizzo di ritorno fittizio in modo che la spia non inoltri accidentalmente un rapporto alla persona monitorata. Ovviamente, i rapporti non compaiono nella directory “posta inviata” della vittima.

Il kit eBlaster, al prezzo di circa US US 100, è ben progettato e sarebbe difficile per l’utente medio di Windows per rilevare e sconfiggere. Lascia poche tracce e quelle che lascia sono innocue. Il software antivirus standard lo ignora anche se esiste un software commerciale per sconfiggerlo come SpyCop disponibile, ma non l’ho testato. L’edizione personale costa circa US US 50.

Per quanto riguarda la base di consumatori di eBlaster, si potrebbe immaginare che i coniugi sospetti che contemplano il divorzio potrebbero costituire quella categoria. Notiamo che è pubblicizzato su Infidelitoggi.com, proprio accanto a un kit per identificare le macchie di sperma sulle mutandine di una donna. In qualche modo i due sembrano adattarsi insieme abbastanza naturalmente. ®