La cosa empezó alarmante, pero simple.
Estando trabajando en el portátil, percibo por encima del skyline de la mirada que la luz led del flash de mi webcam se enciende durante unos segundos.
Mi webcam está “ciega” de la forma más natural y artesanal imaginable: Es decir, tapada con una pegatina que impide su utilización. (Sí, lo sé, se puede desactivar su uso a través de la configuración del equipo, pero hay spyware que, precisamente, reactivan esta función por software, de modo que uso la técnica manual… La pegatina que la deja ciega).
A partir de ahí, mi mente se puso en guardia. Tenemos un espía.
Cálculos rápidos: Ok, no pueden obtener imágenes personales a través de mi webcam porque, como he dicho, la tengo inutilizada y tapada. Pero no me hace ni bendita la gracia saber que tengo un spyware de nuevo cuño que se ha saltado mi firewall y mi antivirus.
Así que debe ser reciente. Pienso.
Bien… vamos a ver qué está trabajando ahora mismo en segundo plano:
Ctrl + Alt + Supr y abro el Administrador de Tareas.
Una vez ahí, me voy a procesos en marcha y… Tachán!!! me aparece un software desconocido, pero de editor que se da a conocer. Y se me presenta el buen algoritmo y la casa que lo ha fabricado.
En concreto, el invitado no invitado se llama MWN.exe y su fabricante ARDAMAX.
Una sencilla búsqueda en Google y corroboro todas mis intuiciones: Ardamax es una maravillosa empresa que desarrolla keyloggers, spyware y webcam malware… Ahí es nada. Todo perfectamente estructurado y bien explicadito en su web, por si quieres comprarles alguno de sus bondadosos productos.
Y de este modo compruebo que esta empresa (!) se dedica a facilitar herramientas para que personas espíen a personas, a través de lo que teclean en sus ordenadores (keyloggers), capturas de patalla o activación remota de sus webcams… No me digáis que no son maravillosos.
Total, que me pongo manos a la obra para deshacerme de su pequeña creación que, vete tú a saber, se ha instalado en mi equipo y quiere quebrantar mi intimidad a través de la cámara del portátil.
Para empezar, como mi antivirus (AVAST, actualizado) se lo ha comido sin rechistar, me doy plena cuenta de que hacer un escaneo profundo del sistema no servirá de nada. Sencillamente, la versión más reciente de este malware (que en la web de ARDAMAX, aparece como de Abril de 2015) se la ha tragado y no la tiene en su base de datos. Además, ya me he encargado manualmente de detectar al intruso a través de su rastro en el Administrador de Tareas, porque la aplicación quería activarse entre los recursos de Inicio, al ponerse en marcha el equipo. Mal y burdo rastro que rápidamente me ayudó a dar con este espía.
Así que, teniéndolo localizado y sabiendo que mi antivirus no lo va a detectar, procedo a ponerlo en cuarentena y a eliminarlo manualmente. Primero, denegándole los permisos de ejecución de Inicio y Arranque.
Después, buscando la ruta completa en la que vive dentro de mi equipo. En concreto, Windows me lo posiciona en C:\ProgramData\ECDAIM\MWN.exe de forma que puedo ir a por él inmisericordemente y a pelo.
Así lo hago y lo trituro. Pero no me fío… Y hago bien en no fiarme.
Pongo en marcha SPYBOT SEARCH&DESTROY y este magnífico software gratuito tarda dos horas enteras en aislar varios de sus elementos desubicados de la ruta raíz en la que encontré al parásito. Pero consigue detectarlo todo y me pregunta al terminar su labor si quiero ponerlo en cuarentena o eliminarlo. Procedo a eliminarlo, por supuesto.
Acto seguido, actualizo manualmente el AVAST, más en un intento de autoconvencerme de que no ha fallado, como por el hecho de que sirva de algo en este caso y cuando la amenaza ya ha sido conjurada.
Así las cosas… Me pasé un buen rato desde que la amenaza hizo acto de presencia, hasta que localicé, identifiqué, destruí y me aseguré de expulsar al intruso.
Pero varias cosas he aprendido:
- Sí… hay empresas (lícitas y abiertamente publicitadas) que siguen empeñadas en crear herramientas únicamente para hacer daño, poner en peligro, amenazar y robar información personal, privacidad o intimidad por unos cuantos euros.
- Sí… Los antivirus, pese a estar actualizados se comen no pocas de estas amenazas, pese a que estamos hablando de un malware promocionado y dado a conocer en el ámbito comercial hoy en día.
- Sí… La mejor forma de detectar y desarmar amenazas es la manual y el conocimiento técnico. No confiarlo todo a que con un par de cliks en iconos agradables, se nos haga el trabajo.
- Y sí… Al final estos desarrolladores (que encima se llamarán “hackers”… sin comentarios) son tan ineptos que dejan muchas… pero que muchas huellas con sus creaciones.
ARDAMAX controlado, vencido y expulsado.
Pero seguirán vendiendo esta porquería que llaman software a la espera de que alguien sí se vea afectado por sus bondades.
Saludos.
Un comentario en “Eliminar el virus que hackea la webcam”
GIO
muy buen artículo, ojalá más gente se informase acerca de estos temas de seguridad.