21 julio 2011

CamStudio VS CamStudios


CamStudio, para el que no lo sepa, es un software OpenSource para grabar screencast en Windows. Su atractivo estriba en el hecho de que, a diferencia de Camtasia, es gratuito (y bastante mas limitado). No obstante para determinadas tareas sencillas, cumple bastante bien.

Por requerimientos del guión tuve que hacer una pequeña captura y me dispuse a utilizar el susodicho CamStudio. No lo había usado anteriormente pero tenia muy buenas referencias al respecto. Lo bajé, lo usé y todo bien -o eso pensaba-

Durante la instalación de CamStudio, Patriot-NG me avisó de la creación de algunos ficheros dentro de la jerarquía C:\Windows además de que se había instalado un nuevo servicio en el sistema. Probablemente en ese punto debí aplicar un punto de paranoia por lo del servicio, no obstante me autoconvencí que eso podría ser 'normal' por las características del software.

El caso es que hoy, de repente, de sopetón, me salta un popup de Microsoft Security Essentials alertándome de la presencia de un troyano. En estos casos lo primero suele ser la negación: No ! que va ! ¿a mi? Pero si yo no me bajo nada raro, si este Windows es mas íntegro que una de las vírgenes que prometen a los islamistas suicidas !!.

Una vez superada la fase de negación, continuo leyendo con mas detenimiento la alerta del antivirus y me encuentro lo siguiente:

Elementos:
file:C:\WINDOWS\Desktop Manager\dwm.exe
service:USmsServ

Deewomz.A

Un fichero sospechoso asociado a un servicio de Windows. Con estos datos me dirijo a Virustotal para subir el fichero y ver que opinan otros antivirus. Además de Essentials, solo era detectado como malicioso por otro antivirus (McAfe) y por heurística, no por firma. Con esa premisa y dado el bajo ratio de detección, empecé a pensar que igual era un falso positivo, sin mas

Buscando en google por la ruta en la que estaba dwm.exe llego a un enlace del foro de Camstudio donde algunos usuarios se quejaban de que tras instalar CamStudio, habían tenido el mismo problema que yo. En el hilo del foro, la gente aseguraba haber descargado el software desde la pagina principal -como yo- y en un momento dado otro usuario expone otro enlace en el que se detalla 'la miga del problema'

Por lo visto, durante algún tiempo en la pagina web oficial del proyecto, los enlaces a descargas (que apuntaban a sourceforge) habían sido cambiadas

http://sourceforge.net/projects/camstudio/files/stable/
VS
http://sourceforge.net/projects/camstudioS/files/stable/

Y en ese otro site se alojaban versiones troyanizadas de CamStudio.

¿Que ha hecho la gente de CamStudio? Tener la enorme deferencia de poner bien los enlaces, nada mas. Ni una sola explicación del porqué del cambio. En la pagina oficial, ni una sola mención al incidente.

Conclusión: 
  • Alguien presuntamente durante el mes de Junio (o antes) hackea la web del proyecto
  • Crea un proyecto similar en SourceForge (CamStudios)
  • Aloja en él versiones troyanizadas de CamStudio con un troyano poco conocido ¿tal vez ad-hoc?. 
  • El incidente se detecta, la gente del proyecto 'mira hacia otro lado' y ponen bien los links 
A saber cuantas personas ahora mismo tienen 'un regalo' en su equipo sin saberlo y cuanto tiempo tardarán en averiguarlo

14 comments :

vencej0 dijo...

Uff, quien esta seguro asi, con situaciones como esta. Me has puesto a dudar de cada uno de los programas que tengo instalados. Paranoia mode on....

LinuxLord dijo...

Viva windows

Madrikeka dijo...

En este caso la culpa no es de windows, en este caso es de la empresa por no detectar el hackeo y de mantener ese  link y encima no decir nada en su página web.

Al contrario, Patriot, ha avisado de los cambios (muy buena herramienta) y microsoft essentials ha detectado el malware.

Probablemente, para Linux, si alguien se hubiera currado algo igual, también te la hubieran colado.....recordemos que las instalaciones se hacen con permisos............

Esteban Costa Blanco dijo...

A que no es mala idea que los desarrolladores incluyan el MD5, SHA-1 o el que más les guste junto al original...
Habría que redactar un manual de buenas prácticas para la publicación de proyectos... ¿que os parece la idea?

mcklaw dijo...

Supongo que si pudieron cambiar la ruta del enlace, podrían cambiar tambien la firma MD5 por la mala, ¿no?

Crowley dijo...

 Creo que hay servicios de confiaza de terceros que mantienen un hash del fichero e incluso un reporte de escaneos de antivirus. Para saltarse eso habria que hakear los dos sitios. Aunque es el usuario el que tiene que ser "listo" y no fiarse hasta que no lo compruebe.

Alfredo Esteban dijo...

Esa es una de las grandes ventajas de los repositorios en las distribuciones GNU/Linux. Hay un repositorio fiable y lo que te instalas va firmado por unas claves privadas. Las validaciones son transparentes al usuario. No tienes que ir a buscar a (vete tú a saber qué) páginas webs a descargarte un ejecutable y fiarte.

Evidentemente, si sigues el esquema windowsero de "voy a buscar el archivo a instalar por ahí" te la pueden colar igual.

Monica Boto dijo...

No estoy del todo de acuerdo contigo, recordemos que en este caso es una página oficial, que tiene subido su proyecto a sourceforge, no es una "vete tú a saber que página".

Recordemos que en el Market han metido malware en aplicaciones....

Eso no puede pasar en un repositorio de linux? sería mas trabajo, por supuesto, de todas formas, recordemos que hay equipos que no tienen internet...y la instalación de aplicaciones no siempre va por repositorios (salvo que te montes tu uno local, si tienes internet).

silverhack dijo...

Alfredo, recuerda que los repositorios esos de los que hablas, no son la panacea, ya que éstos han podido ser comprometidos, al igual que sus firmas. Prueba de ello son GNU.ORG, atacada mediante SQL injection. Otro ejemplo válido serían los repositorios de UBUNTU, en los que intentaron alojar malware compilado en las propias distros de DESCARGA...

http://www.zdnet.com/blog/security/ubuntu-servers-hacked-to-attack-others/453

http://www.infoworld.com/d/open-source/free-software-foundations-software-repository-hacked-345

Salu2!

Juan Aguilera dijo...

Ya es muy antiguo, pero en el propio kernel de linux le metieron una backdoor, como pone en un página que he encontrado por ahí... http://www.securitybydefault.com/2010/10/hackeos-memorables-la-backdoor-en-el.html

Y creo recordar que más recientemente también colaron algo de malware en un repositorio. No recuerdo cual, lo he buscado y no lo encuentro, o sea que a lo mejor me equivoco.

Aún así, está claro que es más difícil.

Madrikeka  no es lo mismo un repositorio de una distro que el android market, ahí solo ve el código el que envía la aplicación, en la distro son muchos ojos.

Por cierto, te ha vuelto a salir tu nombre, mierda disqus... :P

Lfcb dijo...

Estos de Camstudio son menuda banda de delincuentes... tanto o mas q el q hackeo su pagina oficial!!!!!

Abcd dijo...

la misma decencia tienes tu con tu unhide, que lleva 2 años sin escanear el puerto 65535.. so mamon.. xddddd

Asd dijo...

Lo que nunca he encontrado en la web es exactamente qué es lo que pasa con ese archivo dwm.exe y qué es lo que hace. A mí por ejemplo lo descubrí cuando el Eset estaba bloqueando descargas de troyanos en Windows/temp todo el rato. Pero el archivo ese en si hacia algo? Y tambien tela que mierdas de antivirus y solo el de microsoft lo detecto, encima gratis. Ya tengo nuevo antivirus...

Marcos Vives dijo...

En realidad sí que han dado eco de la noticia: http://camstudio.org/blog/removing-malware-camstudio