Categorías: Seguridad

Eliminar el virus que hackea la webcam

La cosa empezó alarmante, pero simple.

Estando trabajando en el portátil, percibo por encima del skyline de la mirada que la luz led del flash de mi webcam se enciende durante unos segundos.

Mi webcam está “ciega” de la forma más natural y artesanal imaginable: Es decir, tapada con una pegatina que impide su utilización. (Sí, lo sé, se puede desactivar su uso a través de la configuración del equipo, pero hay spyware que, precisamente, reactivan esta función por software, de modo que uso la técnica manual… La pegatina que la deja ciega).

A partir de ahí, mi mente se puso en guardia. Tenemos un espía.

Cálculos rápidos: Ok, no pueden obtener imágenes personales a través de mi webcam porque, como he dicho, la tengo inutilizada y tapada. Pero no me hace ni bendita la gracia saber que tengo un spyware de nuevo cuño que se ha saltado mi firewall y mi antivirus.

Así que debe ser reciente. Pienso.

Bien… vamos a ver qué está trabajando ahora mismo en segundo plano:

Ctrl + Alt + Supr y abro el Administrador de Tareas.

Una vez ahí, me voy a procesos en marcha y… Tachán!!! me aparece un software desconocido, pero de editor que se da a conocer. Y se me presenta el buen algoritmo y la casa que lo ha fabricado.

En concreto, el invitado no invitado se llama MWN.exe y su fabricante ARDAMAX.

Una sencilla búsqueda en Google y corroboro todas mis intuiciones: Ardamax es una maravillosa empresa que desarrolla keyloggers, spyware y webcam malware… Ahí es nada. Todo perfectamente estructurado y bien explicadito en su web, por si quieres comprarles alguno de sus bondadosos productos.

 

Y de este modo compruebo que esta empresa (!) se dedica a facilitar herramientas para que personas espíen a personas, a través de lo que teclean en sus ordenadores (keyloggers), capturas de patalla o activación remota de sus webcams… No me digáis que no son maravillosos.

Total, que me pongo manos a la obra para deshacerme de su pequeña creación que, vete tú a saber, se ha instalado en mi equipo y quiere quebrantar mi intimidad a través de la cámara del portátil.

Para empezar, como mi antivirus (AVAST, actualizado) se lo ha comido sin rechistar, me doy plena cuenta de que hacer un escaneo profundo del sistema no servirá de nada. Sencillamente, la versión más reciente de este malware (que en la web de ARDAMAX, aparece como de Abril de 2015) se la ha tragado y no la tiene en su base de datos. Además, ya me he encargado manualmente de detectar al intruso a través de su rastro en el Administrador de Tareas, porque la aplicación quería activarse entre los recursos de Inicio, al ponerse en marcha el equipo. Mal y burdo rastro que rápidamente me ayudó a dar con este espía.

Así que, teniéndolo localizado y sabiendo que mi antivirus no lo va a detectar, procedo a ponerlo en cuarentena y a eliminarlo manualmente. Primero, denegándole los permisos de ejecución de Inicio y Arranque.

Después, buscando la ruta completa en la que vive dentro de mi equipo. En concreto, Windows me lo posiciona en C:\ProgramData\ECDAIM\MWN.exe de forma que puedo ir a por él inmisericordemente y a pelo.

Así lo hago y lo trituro. Pero no me fío… Y hago bien en no fiarme.

Pongo en marcha SPYBOT SEARCH&DESTROY y este magnífico software gratuito tarda dos horas enteras en aislar varios de sus elementos desubicados de la ruta raíz en la que encontré al parásito. Pero consigue detectarlo todo y me pregunta al terminar su labor si quiero ponerlo en cuarentena o eliminarlo. Procedo a eliminarlo, por supuesto.

Acto seguido, actualizo manualmente el AVAST, más en un intento de autoconvencerme de que no ha fallado, como por el hecho de que sirva de algo en este caso y cuando la amenaza ya ha sido conjurada.

Así las cosas… Me pasé un buen rato desde que la amenaza hizo acto de presencia, hasta que localicé, identifiqué, destruí y me aseguré de expulsar al intruso.

Pero varias cosas he aprendido:

  • Sí… hay empresas (lícitas y abiertamente publicitadas) que siguen empeñadas en crear herramientas únicamente para hacer daño, poner en peligro, amenazar y robar información personal, privacidad o intimidad por unos cuantos euros.
  • Sí… Los antivirus, pese a estar actualizados se comen no pocas de estas amenazas, pese a que estamos hablando de un malware promocionado y dado a conocer en el ámbito comercial hoy en día.
  • Sí… La mejor forma de detectar y desarmar amenazas es la manual y el conocimiento técnico. No confiarlo todo a que con un par de cliks en iconos agradables, se nos haga el trabajo.
  • Y sí… Al final estos desarrolladores (que encima se llamarán “hackers”… sin comentarios) son tan ineptos que dejan muchas… pero que muchas huellas con sus creaciones.

ARDAMAX controlado, vencido y expulsado.

Pero seguirán vendiendo esta porquería que llaman software a la espera de que alguien sí se vea afectado por sus bondades.

Saludos.

 

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

Share
Publicado por
Alquimista

Recent Posts

Docker: conceptos principales y tutorial paso a paso

Hoy queremos hablaros de Docker un proyecto que cada día es más usado, porque permite…

3 años hace

Crea diagramas rápidamente usando código

Cada vez estamos más acostumbrados a usar código para generar la infraestructura (IaC), documentar nuestro…

3 años hace

Procesamiento del lenguaje natural con ElasticSearch

Uno de los problemas que se presentan con una mayor frecuencia hoy en día, es…

4 años hace

Elige tecnología clásica y aburrida

Uno de los problemas que solemos tener los programadores, es que nos gusta estar a…

4 años hace

Cómo usar Docker en Windows

Docker es una de las herramientas más usadas por los desarrolladores, sin embargo, usarlo en…

4 años hace

Analiza el coste del uso de JavaScript

Como seguramente sabrás el uso de JavaScript ha crecido exponencialmente en los últimos tiempos, sin…

5 años hace