Responder a este mensaje

----- Original Message -----
From: "Carlos Usua" <carlosues@telefonica.net>
To: <consultas@usuarios.saulo.net>
Sent: Monday, January 27, 2003 9:48 AM
Subject: Re: [SauloNet] IncrediMail es un spyware


El articulo tiene esta fuente
http://www.vsantivirus.com/22-01-03.htm

+++++++++++++++++++++++++++++++++++++++++++++++



La verdad sobre IncrediMail: NO es un espía
http://www.vsantivirus.com/31-01-03.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


Luego de la publicación de la noticia sobre la detección por parte de la
herramienta anti spyware "PestPatrol", de un espía en el software de
IncrediMail (ver "IncrediMail es un spyware",
http://www.vsantivirus.com/22-01-03.htm), recibimos varios comentarios de
lectores sobre el tema, incluso con algunas pruebas realizadas respecto a la
eliminación del supuesto archivo "culpable" de esta acción, "imhook.dll".

En dicho artículo decíamos: "Un examen de dicho archivo revela que el mismo
posee el código necesario para capturar todo lo tecleado por el usuario. No
encontramos ninguna referencia oficial sobre cuál es la razón de dicho
archivo, y su uso por parte de IncrediMail. De cualquier modo, resulta obvio
que representa un riesgo para nuestra privacidad".

Hasta aquí la historia no pasaba de una simple información de un hecho, para
PestPatrol IncrediMail tiene un espía, y nuestros lectores debían saberlo
para que actúen en consecuencia.

Pero luego de la publicación de ese artículo, recibimos el comentario de uno
de nuestros lectores (Juan Manuel de Argentina), quien nos mencionaba lo
siguiente:

"Hace un tiempo estoy suscrito a la lista y leí el informe sobre el
IncrediMail y el archivo imhook.dll. Yo también había leído sobre que era un
spyware. El tema es que estos días estuve haciendo pruebas y me di cuenta
que si uno borra ese DLL al programa no le andan ciertas funciones. El
IncrediMail tiene una opción que se puede tildar o destildar y permite que
presionando F6 por ej. se reciba el mail, F10 es nuevo mensaje y F12 es
abrir IncrediMail. Me di cuenta que borrando el imhook.dll esas funciones
dejan de funcionar (valga la redundancia) y el F6 hace lo mismo que haría la
tecla TAB. También probé crear un archivo y nombrarlo imhook.dll pero así
tampoco funciona, por eso me di cuenta que sin el DLL original no sirve.
Quizás en realidad no sea un capturador de teclado y lo que haga sea
atribuir funciones a las teclas".

Un comentario interesante, que llegaba en el momento justo para sumarse a
otros hechos. Por ejemplo, nuestro colega Giordani Rodrigues, editor de
InfoGuerra (http://www.infoguerra.com.br/), nos comentaba que había recibido
información sobre notorios falsos positivos producidos por PestPatrol
anteriormente.

Eso nos llevó a examinar nosotros mismos el programa. Es cierto que podría
pensarse que esas cosas se deben hacer antes, pero seamos sinceros, la
noticia que publicamos es muy clara respecto al hecho de que un producto
antispyware (PestPatrol) identifica en IncrediMail un espía, y que el
archivo mencionado, tiene el código necesario para interceptar la pulsación
de otras teclas. Esto de por si es más que suficiente para advertir que esa
posibilidad existe. No lo mencionaba IncrediMail en la información que
examinamos, como tampoco la razón ni el uso de ese archivo.

En el ínterin, también los responsables del propio IncrediMail nos enviaron
información al respecto (cuando aún estábamos realizando nuestras pruebas).
Al ser ellos parte interesada, tomamos estos comentarios con las lógicas
reservas, al menos hasta publicar el presente informe.

Y hoy, finalizadas las pruebas sobre IncrediMail llegamos a las siguientes
conclusiones (que coinciden tanto con lo que nos informaba el amable lector
de Argentina, como lo que nos indicaba el propio Yaron Adler de
IncrediMail).

1. IncrediMail no envía NADA de la información supuestamente capturada (ni
ninguna otra) a la red. Para llegar a esta conclusión además de nuestras
propias pruebas, recibimos la amable colaboración de dos lectores que
aplicaron un exhaustivo análisis al tráfico generado, en ambientes muy
diferentes, mientras IncrediMail está instalado en una computadora conectada
a Internet.

2. La librería "imhook.dll" es utilizada por IncrediMail, para capturar el
uso de las teclas de función F6, F10 y F12. Es un mecanismo para ejecutar
con un simple golpe de tecla, cosas como la existencia de nuevo correo, aun
cuando todas las ventanas de IncrediMail estén cerradas.

3. PestPatrol identifica sin embargo "imhook.dll" como "spyware". Por otra
parte, existe una larga historia de casos similares con este producto (cosa
que averiguamos después). Por ejemplo, PestPatrol identifica también como
espía a la librería "zipdll.dll", que integra el paquete de otra conocida
herramienta "antiespía", Spybot-Search&Destroy
(http://spybot.eon.net.au/index.php?lang=es). Por supuesto, Spybot aclara
que ello no es así, pero PestPatrol no ha respondido a sus aclaraciones.
Pero según hemos averiguado, eso mismo pasa en muchos otros casos, en donde
a lo sumo, después de las notificaciones respectivas, solo se han cambiado
falsas notificaciones de virus por la de "programas generadores de virus"
(sic).

Las conclusiones por lo tanto son obvias. Primero que nada, IncrediMail no
realiza ninguna acción de espionaje con sus usuarios.

Y segundo, no debemos confiar en una sola herramienta al hacer un análisis
de este tipo. Del mismo modo que siempre insistimos en el uso de más de un
antivirus al examinar código sospechoso (más de uno para ESCANEAR, pero
JAMAS más de uno monitoreando al mismo tiempo), tal vez debamos aplicar la
misma política al examinar la existencia de posible código espía en los
programas que usamos.


Relacionados:

IncrediMail
http://www.incredimail.com

PestPatrol
http://www.pestpatrol.com

Spybot-Search&Destroy
http://spybot.eon.net.au/index.php?lang=es

IncrediMail es un spyware
http://www.vsantivirus.com/22-01-03.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com