Detrás del SpywareBlaster…

1 10 2007

Hola gente

Luego de varios problemas con mi disco duro, que les comento que pasó a mejor vida junto a muchos de mis proyectos :c, me decidí a escribir algo por aquí.

Una cosa lleva a la otra, es decir, un disco nuevo lleva a tener que instalar Windows y la mayoría de sus programas, lo que también me ha llevado a instalar salvaguardas para la protección contra malwares, y entre ellos el SpywareBlaster, lo que me ha hecho estar escribiendoles en este momento.

SpywareBlaster no es un escaner ni un residente, es una aplicación que inmuniza los sistemas Windows contra la instalación de controles ActiveX maliciosos, lo que es una gran protección fundamentalmente para los que usan Internet Explorer. Pero la pregunta que todos nos hacemos ¿Cómo funciona este programa? ¿Qué es lo que hace? ¿Magia tal vez? Para los curiosos aquí está el secreto…

En primer lugar procedí a instalarlo, y por lo que se puede observar a simple vista el programa está compuesto únicamente por su ejecutable principal, un actualizador y unos archivos que no son más que la base de datos del programa, no instala ninguna librería auxiliar, ningún servicio, ni nada por el estilo. Para los que simplemente desean conocer como utilizar el programa, lamentablemente se equivocaron de lugar, pero les recomiendo este manual redactado por la web de InfoSpyware. Por hoy solo nos centraremos en lo que hace principalmente el programa.

Sin muchas vueltas, con ayuda de algunos monitores de registro y de archivos, más precisamente el RegMon y el FileMon para seguir el proceso en tiempo real, y el RegShot para apreciar el resultado final, podemos concluir fácilmente que lo que hace el SpywareBlaster es simplemente añadir entradas a las siguientes subclaves del registro de Windows:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
  • HKU\S-1-5-21-746137067-1454471165-839522115-1003\
    Software\Microsoft\Windows\CurrentVersion\Internet Settings\
    ZoneMap\Domains
  • HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility

Quizás alguno de ustedes halla escuchado o hasta conozca alguna o varias de estas subclaves, yo personalmente conocía las dos primeras, pero no la última (para mí la más interesante), de igual modo pasaré a explicar de una manera rápida y entendible cada una de ellas.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Esta subclave del registro, añadida en IE6, permite bloquear la instalación de cookies de las páginas web que deseemos. Para hacerlo, simplemente creamos dento de ella una subclave con el dominio de la página web, y establecemos su valor predeterminado como tipo DWORD con el número 5. Si por ejemplo quisieramos agregar con un archivo de backup del registro (.reg) una clave que bloquee las cookies de esta página (por favor solo tomenlo como ejemplo :P) debería ser así:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\codehard.wordpress.com]
@=dword:00000005

SpywareBlaster añade entradas a esta subclave con páginas maliciosas, de esta manera “nos prohibe” por así decirlo de instalar cookies de estas páginas. Para saber que páginas bloquea el SpywareBlaster, la mejor manera es instalar el programas, y echarle un ojo a la entrada con el regedit o algún editor del registro.

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Esta subclave almacena los dominios de la opción “Sitios restringidos” de las Opciones de Internet del IE. SpywareBlaster también tiene una gran base de datos con dominios de páginas maliciosas que permite protegernos contra ellas. Para crear una entrada de Sitios restringidos, simplemente hay que crear una subclave nombrada con el nombre del dominio a bloquear, y luego crear un valor DWORD con el nombre “*” (asterisco, sin las comillas, que es un comodín para bloquear las posibles variaciones del dominio) con el número 4. El código del archivo reg ejemplificativo para bloquear este sitio sería el siguiente:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\codehard.wordpress.com]
“*”=dword:00000004

Cabe aclarar que también podemos agregar las entradas desde las Opciones de Internet  del Panel de control,en la pestaña Sitios, en la sección de Sitios resringidos.

HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility

Esta última subclave, la cuál considero la más interesante, es la que le permite al SpywareBlaster bloquear controles ActiveX, mediante un método denominado kill bit (bit de cierre) lo que provoca que cuando el IE haga una llamada al control ActiveX, mediante su CLSID (identificador único de una librería u objeto), este no se ejecute. En realidad, esta opción fue introducida en Windows con el objetivo de deshabilitar controles vulnerables al instalar parches de seguridad, pero es provechosamente utilizada por este programa para inmunizar contra ActiveX. Para añadir un kill bit se debe crear una subclave nombrada con el CLSID del control (entre corchetes), y luego dentro de ella crear un valor DWORD llamado “Compatibility Flags” (sin las comillas) con el número 400 en hexadecimal (1024 en decimal). El código de ejemplo para un archivo reg (suponiendo que el CLSID del control es 00000000-0000-0000-0000-000000000000) sería el siguiente:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000000-0000-0000-0000-000000000000}]
“Compatibility Flags”=dword:00000400

Como ven es muy sencillo desactivar controles ActiveX mediante kill bits, lo único que necesitamos es conocer el CLSID del control para poder deshabilitarlo.

Conclusiones

Como ven, SpywareBlaster no es mágico, no es nada más ni nada menos que una base de datos. Por lo personal recomiendo su instalación, ya que no consume recursos, especialmente a los usuarios de Internet Explorer. Debo confesar que se me ocurrió dejarlas un archivo reg con el contenido de las tres subclaves anteriores las cuales instala el programa, pero decidí no ponerla ya que considero que el programa nos ofrece la posibilidad de actualizarse, además de que sería un “robo” a los de javacool innecesario. Lo único, no olviden que es solamente una protección más, si bien gran parte de los malwares se propagan por Internet, instalen un antivirus, y si creen necesario, un buen cortafuegos, y sobre todo, sean concientes al navegar y al descargar archivos. Próximamente escribiré otros documentos de prevención, pero recuerden, la mejor protección es la propia conciencia.

Espero que a alguno le halla interesado y como siempre me gustaría que me dejen su crítica en los comentarios. Para los que quieren saber más sobre el tema, en la página de Microsoft hay bastante información, tanto en inglés como en español.

Salu2


Acciones

Information

4 responses

10 02 2008
axl456

Excelente articulo HD gracias por la explicacion..

25 02 2008
Anama

Muchas gracias me desasné!!

27 05 2008
Norma

hola esta muy interesante la forma en ke funciona este programa, yo tmb lo tengo instalado y no me imaginaba cual era la forma en la que funcioanaba, gracias!!!

29 05 2008
Sinue

Hola , me parece muy bien que compartan información , bien sea positiva o negativa . Me instalé el programa SpywareBlaster , pues la verdad , me va de maravilla . Una vez oí a un informático de Telecomunicaciones , ” que en lo sencillo está la clave ” . Este programita Comete su cometido , aparte , los antivirus que tengo , anti-espía , cortafuegos , etc..
Tengo el Tune-up , y es completamente compatible , me falta un antiSpam gratuito , pero no lo encuentro , que no me diga Tune-up , que sigo sin antiSpam . Añado la web a mis favoritos para ver si me pueden poner una dirección enlace y encontrar el dichoso antiSpam. Gracias . Saludos cordiales .

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: