EL MESSENGER NOS ESPÍA
Que tal?
Autor Cyberfox
El amigable programa de mensajería de Microsoft, conocido por sus
siglas MSN y altamente difundido en la actualidad por sus prestaciones de mensajes instantáneos, es uno más de los tantos programas que instalan troyanos (1) en nuestra PC. Esto lo descubrí días atrás cuando luego de repetidos cortes en una conexión directa por módem con un amigo, me decidí a averiguar que era lo que pasaba. Entonces me fijé en todos los programas cargados en memoria a través de ctr - alt - del, pero estaba todo normal (únicamente los programas básicos). Arranqué el Programa TCActive de The Cleaner Software, que rastrea
todos los programas en ejecución. Y figuraba allí para mi sorpresa un loadqm.exe. Que no está entre los controladores ni librerías básicos que carga Windows. Busco el path del archivo y para mayor sorpresa consistía en un directorio oculto dentro de Archivos de Programas, obviamente un troyano. Con ayuda del TCActive, rastreé las bibliotecas dll vinculadas a ese programa y encontré: progdl.dll, qmgr.dll, qmgrprxy.dll. Al visualizar en modo texto el primero de los archivos, encontré que este era un archivo log (2) y contenía lo siguiente:
InitThrottle: found modem connection InitThrottle: Couldnt find active
interface GetIpForwardTable GetIpAddrTable GetBestInterface GetIfTable
iphlpapi.dll InitThrottle: Connection lost GetIpFwdTable failed with
error d, exiting InitThrottle: Failed to load func addr for inet_addr or inet_ntoa InitThrottle: GetIfTable failed, GetLastError= d Throttling on interface with IP address - s GetBestInterface failed with error d, might be Win95 207.46.177.15 inet_ntoainet_addr InitThrottle: Failed to load wsock32 dll wsock32.dll InitThrottle: Failed to load ws2_32 dll, might be Win95 ws2_32.dll ***I think bandwidth= d***, but am working on it InitThrottle: Found lan connection InitThrottle: Failed to get func pointers in rasapi32 (GetLastError= d), assuming 28.8k InitThrottle: Non-RAS connection, assuming 28.8k InitThrottle: Couldnt find RAS window, assuming 28.8k
InitThrottle: RAS connection - s Connected to RasEnumConnectionsA DialEngineRequest InitThrottle: Failed to load rasapi32 (GetLastError= d), assuming 28.8k rasapi32 InitThrottle HTTP/1.1 check: Connection lost before HttpSendRequest. Con esto se resolvía el misterio de porque mi conexión se cortaba. Cada vez que me conectaba con la otra PC, el loadqm.exe cargado en memoria desde el inicio, detectaba la conexión y ejecutaba la rutina. Luego pensé porque esto no cortaba mis conexiones a Internet y si mi conexión directa. Y la respuesta estaba que, según lo muestra este log, cada vez que el troyano encontraba un error de transferencia bajaba las pretensiones de velocidad de conexión, pero descendía tan solo hasta 28.8k. Como yo generalmente a Internet me conecto entre 33 y 56 k, parecería que allí no tenía problemas, pero en la conexión directa la velocidad era de 14.4 k, porque a pesar de que los dos módems eran V.90, el juego que originaba la conexión tenía como velocidad máxima 14.4k, algo que al parecer para este troyano era insuficiente y abortaba la conexión. Después de esto intenté limpiar el troyano de mi PC, con el programa de The Cleaner, pero no lo detectó, me conecté a Internet y actualicé el programa pero tampoco logré nada. Entonces no me quedaba otra que tratar de eliminarlo manualmente o formatear el rígido e instalar todo de nuevo, lo cual no tenía muy muchas ganas de hacer. Para eliminarlo empecé chequeando la fecha de creación del directorio oculto c:\Archivos de Programa\qmgr, la cual era 05/01/2002. Después busqué todos los directorios que con esa fecha de creación (los directorios, no archivos, porque la fecha de creación de estos no refleja como la de los directorios el momento en que fueron alojados en el rígido sino el momento en el que fueron creados originalmente). Y apareció como único resultado de la búsqueda el directorio del messenger, luego de ver que la coincidencia se daba incluso en la hora, concluí que el troyano había sido instalado junto con ese programa, para estar más seguro abrí el pac de instalación del messenger (messenger.exe) con el winzip, y entre los archivos comprimidos figuraban: qmgr.inf, qmgr.cab, dentro de este último estaban el progdl.dll, qmgr.dll, qmgrprxy.dll y loadqm.exe. Luego de haber encontrado el inf del troyano me fue fácil eliminarlo, tan solo borré los archivos en cuestión y las claves del registro respectivas (las mismas estaban mencionadas en el qmgr.inf):
ARCHIVOS:
- loadqm.exe
- progdl.dll
- qmgr.dll
- qmgrprxy.dll
CLAVES DEL REGISTRO:
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKLM,"SOFTWARE\Microsoft\Active Setup\Installed
Components\{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\loadqm.exe(Para que el sistema no intente cargar el troyano que ya no existe y nos ponga por la tanto la típica pantalla azul de errores de windows). El qm según su archivo log, envía toda la información relevante del sistema y del usuario (tipo de PC, passwordws, configuración, programas instalados, preferencias de navegación, etc.) a la página http://windowsupdate.microsoft.com/R922. Y es al igual que la supuesta clave NSA o puerta trasera de Windows un verdadero avasallamiento a la privacidad y seguridad de los usuarios de Internet.
Notas:
1. Nuevo tipo de virus informático, que aparentando ser un programa convencional realiza rutinas perniciosas al sistema. Este tipo de virus está de última moda en Internet, ya que son usados para hacer "sniff" (espiar a otras personas).
2. 2. Archivo que guarda rutinas realizadas por un programa.