(Por El Microsaurio) Justo ahora, que los muchachos de Ebay vendieron Skype,
los molestos de siempre decidieron proveer un troyano que pincha las
comunicaciones IP. Aclaremos: no pinchan sólo el Skype. Podrían
interceptar _cualquier_ comunicación tomada por el micrófono y que
salga de tu compu.
Según pudimos ver en este blog de Symantec, en comentarios de foros y en un análisis automático de Virustotal, el tema es más o menos así:
- Por hacer clic en un link de mail, o visitar una página web
“malsana”, un Tonto Usuario descarga cierto simpático archivo. Uno de
los ejemplares capturados que vi se llama “SkypeDLLinjector.exe”. El
diseñador, obviamente, está ofreciendo un “parche” para usuarios de
Skype. ¿Por qué diablos la gente no descarga las cosas desde los
websites oficiales? - El usuario ejecuta ese <exe> y se instala un troyano. Symantec lo bautizó PeskySpy (espía fastidioso).
- Cada vez que arranca el programita, busca los componentes de
Windows relacionados con la placa de sonido. Identifica las API para
entrada y salida de audio. - Adivinaste. Todo lo que le decís al micrófono y va hacia tu Skype
es capturado. Todo lo que entra por el Skype y va a los parlantes, es
capturado. - La captura de sonido se comprime y se genera un bonito MP3, que va a una carpeta.
- Terminada la comunicación, el MP3 es recuperado a distancia por el
atacante. En criollo, como tenés abierta la conexión a Internet (para
usar el Skype, hombre) por esa vía el MP3 sale hacia el server del
intruso. - Todo esto es absolutamente transparente para el usuario del
sistema. Ni te enterás. El tráfico podría ser menor que el “verdadero”
de las comunicaciones Skype. - Como la intercepción transcurre a nivel del sistema operativo, la
famosa comunicación cifrada que ofrece Skype ha sido eludida, la
captura está “por debajo” (los de Skype son inocentes, no es una falla
de ellos). - Por lo que dice en la primera parte del párrafo de arriba, esto
funciona con _cualquier_ sistema de comunicación IP que use una PC. ¿Te
queda claro?
Nada nuevo bajo el sol, excepto para los desprevenidos. Los
memoriosos recordarán Back Orifice (1999) y sus variantes. Y en el
2002, el Streaming Audio Trojan cuya descripción podrán ver acá. Pero como estas cosas son del tiempo de Ñaupa, Symantec se subió a un vocablo más fashion. Hacen bien.
Esperemos que en el transcurso de la semana todos los antivirus
reconozcan esta porquería, lo cual no sucedía el jueves 27 pasado.
Ayer en un Windows tuve que cambiarle el «tema de escritorio» y lei sobre eso. Me encontre con que la forma «estandar» de hacerlo es bajandose un parche que permite «arreglar» al XP o al Vista para que puedas poner temas que no están firmados. O sea, los usuarios de Windows (o sea, los usuarios de PC) ven como algo normal, natural, eso de bajar parches de cualquier lado, asi que no te extrañes por lo que pasa.