Tweet
Follow @gansomer
CamStudio para el que no lo sepa, es un software OpenSource para grabar screencast en Windows. Su atractivo estriba en el hecho de que, a diferencia de Camtasia, es gratuito (y bastante mas limitado). No obstante para determinadas tareas sencillas, cumple bastante bien.
Por requerimientos del guión tuve que hacer una pequeña captura y me dispuse a utilizar el susodicho CamStudio. No lo había usado anteriormente pero tenia muy buenas referencias al respecto. Lo bajé, lo usé y todo bien -o eso pensaba-
Durante la instalación de CamStudio, Patriot-NG me avisó de la creación de algunos ficheros dentro de la jerarquía C:\Windows además de que se había instalado un nuevo servicio en el sistema. Probablemente en ese punto debí aplicar un punto de paranoia por lo del servicio, no obstante me autoconvencí que eso podría ser 'normal' por las características del software.
El caso es que hoy, de repente, de sopetón, me salta un popup de Microsoft Security Essentials
alertándome de la presencia de un troyano. En estos casos lo primero suele ser la negación: No ! que va ! ¿a mi? Pero si yo no me bajo nada raro, si este Windows es mas íntegro que una de las vírgenes que prometen a los islamistas suicidas !!.
alertándome de la presencia de un troyano. En estos casos lo primero suele ser la negación: No ! que va ! ¿a mi? Pero si yo no me bajo nada raro, si este Windows es mas íntegro que una de las vírgenes que prometen a los islamistas suicidas !!.
Una vez superada la fase de negación, continuo leyendo con mas detenimiento la alerta del antivirus y me encuentro lo siguiente:
Elementos:
file:C:\WINDOWS\Desktop Manager\dwm.exe
service:USmsServ
Deewomz.A
Un fichero sospechoso asociado a un servicio de Windows. Con estos datos me dirijo a Virustotal para subir el fichero y ver que opinan otros antivirus. Además de Essentials, solo era detectado como malicioso por otro antivirus (McAfe) y por heurística, no por firma. Con esa premisa y dado el bajo ratio de detección, empecé a pensar que igual era un falso positivo, sin mas
Buscando en google por la ruta en la que estaba dwm.exe llego a un enlace del foro de Camstudio donde algunos usuarios se quejaban de que tras instalar CamStudio, habían tenido el mismo problema que yo. En el hilo del foro, la gente aseguraba haber descargado el software desde la pagina principal -como yo- y en un momento dado otro usuario expone otro enlace en el que se detalla 'la miga del problema'
Por lo visto, durante algún tiempo en la pagina web oficial del proyecto, los enlaces a descargas (que apuntaban a sourceforge) habían sido cambiadas
VS
Y en ese otro site se alojaban versiones troyanizadas de CamStudio.
¿Que ha hecho la gente de CamStudio? Tener la enorme deferencia de poner bien los enlaces, nada mas. Ni una sola explicación del porqué del cambio. En la pagina oficial, ni una sola mención al incidente.
Conclusión:
- Alguien presuntamente durante el mes de Junio (o antes) hackea la web del proyecto
- Crea un proyecto similar en SourceForge (CamStudios)
- Aloja en él versiones troyanizadas de CamStudio con un troyano poco conocido ¿tal vez ad-hoc?.
- El incidente se detecta, la gente del proyecto 'mira hacia otro lado' y ponen bien los links
A saber cuantas personas ahora mismo tienen 'un regalo' en su equipo sin saberlo y cuanto tiempo tardarán en averiguarlo
No hay comentarios:
Publicar un comentario