Versión troyanizada de Nmap: spyware, greyware y C|Net

El día de ayer el creador de la popular herramienta de escaneo de puertos Fyodor publicó una carta abierta anunciando cómo el popular sitio de descargas de C|Net había troyanizado el instalador de Nmap. Según el popular hacker, la versión de Nmap disponible desde el sitio web mencionado, instala una toolbar, modifica el motor de búsqueda del usuario y modifica la página de inicio. Según el texto, el popular sitio web estaría haciendo lo mismo con populares programas como VLC.

Aquí traduzco libremente algunos otros fragmentos del texto escrito por Fyodor:

Desde la página de descargas de C|Net se ofrece la descarga del instalador de Nmap para Windows. Ellos incluso indican el tamaño de archivo del instalador legítimo, pero los usuarios se descargan un troyano. Este programa hace el “trabajo sucio” antes de descargar y ejecutar el instalador original de Nmap.

[…] Los usuarios confían en que se están descargando el instalador original y que el proyecto Nmap nunca pondría código malicioso en él. Sin embargo, la próxima vez que habrán su navegador se encontrarán con extrañas toolbars […] y lo peor es que ¡pensarán que nosotros lo hicimos!

[…] Este acto viola claramente el copyright de Nmap.

[…] De hecho, si se desempaca con UPX el troyano y s elo envía a VirusTotal.com, es detectado como malware […]: http://bit.ly/cnet-nmap-vt (Nota de ESET: nuestros productos detectan el archivo proactivamente como una variante de Win32/InstallCore.C).

[…] De acuerdo a las propias estadísticas del sitio, ¡miles de personas descargan el troyano cada semana! Por lo tanto lo primero era alertar a la comunidad para que nadie más sea víctima. Por favor, difundir el mensaje.

Este tipo de incidentes engloban dos conceptos fundamentales que están muchas veces muy relacionados: el spyware y el greyware. Este último, se refiere a aplicaciones que son ofrecidas por “medios legítimos” de distribución, pero cuyas acciones pueden ser maliciosas en algunos casos, o al menos no siempre comunicadas de forma transparente a los usuarios. Como su nombre lo indica, representan un gris sobre el cual ya hemos comentado reiteradas veces. Así también hemos conversado sobre un tema similar, el spyware en smartphones, y cómo muchas aplicaciones contienen características asociadas al robo de información, especialmente en este tipo de dispositivos.

Este tipo de incidentes ratifican un concepto que hemos mencionado reiteradas veces en este espacio: la importancia de descargar las aplicaciones desde sitios web oficiales. Lamentablemente muchos sitios web están siendo descubiertos con este tipo de prácticas, que terminan perjudicando al usuario que instala en su sistema aplicaciones no deseadas o modifica configuraciones sin ser avisado al respecto.

Sebastián Bortnik
Coordinador de Awareness & Research

Autor , ESET

  • hay una vaina también que se llama EyeCandy, que he visto que viene como regalto de algunos insaladores que se bajan de sitios web donde puedes descargar freeware o shareware, y la herramienta en cuestión parece ser para spammear al usuario buscando algún veneficio para los desarrolladores, pero se me hace como de la misma calaña que lo que le pasó con nmap, no inspira nada de confianza que se diga.

    • Hola Amilcar, así es, hay que intentar descargar siempre desde los sitios oficiales.

      Sebastián

Síguenos