Hay muchos tipos de spyware y solo cada uno de nosotros puede juzgar si nos "interesa" seguir con el spyware en el ordenador o es preferible eliminarlo.
Es muy curioso que las compañias antivirus no utilicen la misma politica a veces para los spywares y para los troyanos. Se clasifica un programa como troyano cuando ademas de servir para recabar informacion remota de un ordenador (una funcion que no solo los troyanos hacen) se ejecuta tambien silenciosamente en el ordenador de la victima. Si Sub7 por ejemplo nos pidiera autorizacion antes de instalar su servidor y especificara muy diafanamente sus funciones antes de usarlo, estoy seguro de que los antivirus no lo detectarian. Seria un programa de administracion remota legitimo como cientos que hay en Internet.
¿Entonces por que no seguir la misma politica con el spyware cuando se instala en nuestros ordenadores de manera subrepticia en muchos casos?. Me siento particularmente molesto cuando observo que el cortafuegos esta reteniendo conexiones a Internet de spywares como eZula, Save Now, Realplayer (si, tambien nos espia), etc..
Es cierto que muchos de esos spywares son instalados en algunos programas con informacion adicional de su presencia; esa informacion en pequeño que nadie lee (incluido yo) cuando instala un nuevo programa. Pero hay otras ocasiones en las que no se nos informa de nada y cuando nos damos cuenta lo tenemos instalado en nuestra maquina, consumiendo recursos de la CPU, memoria RAM, ancho de banda en Internet y enviando informacion de nuestras actividades y habitos a traves de Internet.
Tambien deseo comprender el interes de algunas empresas por introducir spyware en sus programas. Ellos dicen que si no usan el spyware sus productos no serian freeware. Habria que pagarlos, por consiguiente.
Otras empresas que ofrecen productos como el celeberrimo Download Accelerator Plus nos dejan la opcion de elegir entre la version freeware con spywares y la version de pago sin spywares.
En algunos casos, y esto es aun mas irritante, un programa no funciona si le eliminamos el spyware que silenciosamente nos ha instalado en nuestro ordenador. Tal es el caso de KaZaa en algunas de sus versiones si le borramos un pequeño spyware llamado Cydoor. Por ello antes de eliminar, bien manual o automaticamente, los spywares anexos a un programa, es conveniente hacer un backup o copia de seguridad de los spywares indeseados para reponerlos si fuera menester.
Hay que matizar tambien que muchas veces calificamos de spyware programas anexos que en realidad no espian nuestros habitos en Internet (que paginas visitamos, cuando nos conectamos, que programas nos bajamos, etc.). Esos programas simplemente nos "bombardean" con publicidad. Es como ver una television en abierto: nadie nos cobra por verla pero sus propietarios necesitan financiarse mediante la publicidad. Esto parece en cierta manera coherente y no tengo nada que oponer a la publicidad que tengo que ver en mi pantalla a cambio de un programa gratuito. Algunos conocen estos programas como adware. Si Ud. no quiere la publicidad, pague por el programa.
Tal vez si podria objetar algo en torno al tipo de publicidad que algunos de estos programas genera, teniendo en cuenta que muchos usuarios de Internet son menores de edad. Por supuesto me refiero a la pornografia. A veces vemos pequeñas ventanas de publicidad o pop-ups en donde una chica despampanante nos invita a compartir sus "fantasias" sexuales. Esto puede crear un conflicto de naturaleza etica ante los menores.
En algunos casos incluso la fina frontera entre spyware y malware se disuelve y las compañias antivirus deciden decantarse por lo segundo. Tal es el caso de un programa que en un principio era legitimo y ahora los antivirus lo detectan como JS/Noclose. En realidad ese spyware (que era en esencia un archivo HTA) forzaba nuestro navegador hacia una pagina pornografica e inundaba de pop-ups pornograficos nuestra pantalla.
Acuerdense Uds. tambien del revuelo que levanto Symantec, empresa fabricante de Norton Antivirus, cuando anuncio hace unos meses que LimeWire y Grokster introducian subrepticiamente un troyano llamado Clicktilluwin en los ordenadores donde se instalaban. En realidad ese troyano era un spyware; ¿ven Uds. la dificultad de separar ambos terminos en algunos casos?. Hay dia Norton reconoce a Clicktilluwin como W32.D1Der.Trojan.
He querido realizar un pequeño dossier informativo sobre los spywares para que Uds. los puedan identificar y eliminar bien con programas como Ad-Aware o manualmente en algunos casos. El problema al que me he enfrentado es el volumen de estos programas en la actualidad. ¡He localizado mas de 1000 spywares!. Esto hace imposible un estudio pormenorizado de cada uno de ellos. Asi que me decido por un resumen de los mas destacados y conocidos.
Ante todo quiero advertirles que en este pequeño dossier he tomado la acepcion mas general (y tambien la menos justa posiblemente) de la palabra spyware que consiste en introducir tambien los adwares como spywares. Por ello a algunos les puede resultar extraño que programas como el polemico Aureate / Radiate, que al final demostro Kaspersky que no espiaba ningun habito del usuario, esten en la lista. En cualquier caso, advierto a los lectores de esta circunstancia para que elaboren sus conclusiones con la mayor diafanidad posible.
Si quieren echarle una ojeada a los diversos tipos de spywares, acudan a esta Web en ingles:
http://www.tom-cat.com/spybase/spylist.htmlHKEY_CLASSES_ROOTEZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOTEZulaBoot.InstallCtrl.1
HKEY_CLASSES_ROOTEZulaBootExe.InstallCtrl
HKEY_CLASSES_ROOTEZulaBootExe.InstallCtrl.1.
HKEY_LOCAL_MACHINESoftwareCLASSESAppIDeZulaBootExe.EXE
HKEY_LOCAL_MACHINESoftwareCLASSESAppID
{C0335198-6755-11D4-8A73-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib
{3D7247D1-5DB8-11D4-8A72-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib
{C0335197-6755-11D4-8A73-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareMicrosoftCode Store Database
Distribution Units{3D7247DE-5DB8-11D4-8A72-0050DA2EE1BE}
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionModuleUsage
C:/WINDOWS/Downloaded Program Files/eZulaBoot.dll
HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionExplorerDoc
C:WINDOWSeZulains.exe
C:WINDOWSAPPLOGezulains.lgc
C:WINDOWSDownloaded Program FilesInstallCtrl.class
Hay que proceder con cuidado a la hora de borrar todos estos archivos porque a veces podemos quedarnos incluso sin conexion a Internet. Lo mejor es hacer una copia de respaldo de todo lo que borremos, para reponerlo todo si tenemos problemas.
Hay una posibilidad de escanear nuestro ordenador en busca de este spyware con el Internet Explorer instalado. Apliquen este pequeño script a su Web despues de :
Si tienen eZula en su ordenador, les saldra este mensaje: "Usted tiene eZula instalado".
Cydoor
Este programa se caracteriza por inundarnos con publicidad incluso cuando estamos offline. Los servidores de Cydoor identifican cada ordenador "infectado" con un numero.
Aqui estan los archivos que deja en nuestros ordenadores:
C:WindowsSystemcd_clint.dll
C:WindowsSystemcd_gif.dll
C:WindowsSystemcd_swf.dll
C:WindowsSystemcd_load.exe
Es recomendable borrar la carpeta C:WindowsSystemAdcache
Tambien advertimos de esta entrada en el registro:
HKEY_LOCAL_MACHINESoftware
HKEY_CURRENT_USERSoftware
Tambien busquen en:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionShareddlls
Aureate / Radiate
Polemico programa que por ejemplo Jose Luis Lopez de VSAntivirus no reconoce como spyware tras los resultados de los laboratorios de Kaspersky.
En realidad este programa estaria en la categoria de adware: programa para recoger y mostrar publicidad en la pantalla de los usuarios. Vuelvo a insistir en que el adware a priori no plantea ningun problema etico, salvo si se dan las condiciones expuestas arriba (mezcla de pornografia y niños).
Vean Uds. el tipo de publicidad que les muestra Aureate / Radiate y juzguen su conveniencia o inconveniencia.
Si quieren borrarlo de su ordenador, estos son los archivos que deja en nuestro disco duro: adimage.dll, advert.dll, amcis.dll, amcis2.dll, anadsc.ocx, anadscb.ocx, htmdeng.exe, ipcclient.dll, msipcsv.exe y tfde.dll.
Finalmente para encontrar en Internet eficaces programas que borran los adwares y spywares, podemos acudir a:
http://www.lavasoftusa.com/ (Ad-aware
version 5.83)
http://www.bulletproofsoft.com/spyware-remover.html
(BPS Spyware and Adware Remover, version 2.3).
Pueden utilizar estos programas para eliminar spywares y adwares,
pero tengan en cuenta el aspecto mas esencial de todo: si eliminamos todos los
adwares, las empresas de Internet que se dedican a ofrecernos excelentes
programas freeware, se veran obligadas a vendernos sus productos o a cesar en
su actividad.
Es una cuestion donde el egoismo puede eclipsar una vision mas general y realista
del asunto de lo que es gratuito en Internet. Piensen por tanto en lo que hacen
antes de declararle la guerra a estos programas.
apuntes