 |  | | | |  | |  |  |
MarketScore compromete su seguridad y privacidad
|  | |  |  | |
| Enviado el Domingo, 27 febrero a las 23:38:37 por Webmaster |
 Nombre: MarketScore
Tipo: Parásito (spyware)
Alias: MarketScore, NetSetter, not-a-virus:RiskWare.Proxy.MarketScore.a, not-a-virus:RiskWare.Proxy.MarketScore.b, not-a-virus:RiskWare.Proxy.MarketScore.c, not-a-virus:RiskWare.Proxy.MarketScore.d, not-a-virus:RiskWare.Proxy.MarketScore.e, not-a-virus:RiskWare.Proxy.MarketScore.f, not-a-virus:RiskWare.Proxy.MarketScore.g, not-a-virus:RiskWare.Proxy.MarketScore.h, not-a-virus:RiskWare.Proxy.MarketScore.i, not-a-virus:RiskWare.Proxy.MarketScore.j, not-a-virus:RiskWare.Proxy.MarketScore.k, Spyware/MarketScore, Marketscore Internet Accelerator (OSSProxy), Spyware.Marketscore
Fecha: Varias
Plataforma: Windows 32-bit
Tamaño: variable
MarketScore es un spyware que actúa como intermediario entre el usuario e Internet, y monitorea todas las actividades en línea del usuario.
MarketScore colecciona y analiza toda la información transmitida desde la computadora en que se instala y la red, incluyendo información bancaria, PINs, contraseñas y virtualmente toda la información personal y confidencial intercambiada entre el usuario y cualquier sitio web, incluyendo aquella que se encuentra protegida por protocolos de encriptación seguros (SSL).
MarketScore desvía toda la comunicación entre la computadora del usuario y el sitio Web solicitado a través de servidores proxy propios, donde el tráfico es coleccionado, disecado, analizado y almacenado.
Actúa como un LSP (Layered Service Provider o Proveedor de Servicio por Niveles). LSP es un controlador del sistema que está íntimamente relacionado con los servicios de red de Windows. Tiene acceso a todos los datos que entran y salen del ordenador, así como la posibilidad de modificarlos. Si bien es normal su utilización para permitir que Windows se conecte a otros equipos, incluyendo Internet, existen parásitos (spywares y adwares como MarketScore), que también pueden instalarse como un LSP, obteniendo así acceso a toda la información que se transmite.
Para llegar a hacer esto, MarketScore se agrega silenciosamente como certificado raíz de una entidad emisora de certificados de confianza en el equipo de la víctima, dándose de forma ilícita a si mismo, el permiso para manejar y redireccionar todo el tráfico, inclusive las comunicaciones seguras tales como banca en línea, etc., a los propios servidores de MarketScore.
Si los datos son encriptados (tal como ocurre en la mayoría de las transacciones vía Internet), los mismos serán desencriptados para ser usados por MarketScore, antes de ser nuevamente encriptados y enviados al destino legítimo (Nota: un pequeño candado que aparece en su navegador, distingue las conexiones seguras de las normales).
De todos modos, la compañía "asegura" que en el caso de información sensible tal como números de tarjeta de crédito, etc., "sólo los primeros dígitos son coleccionados".
Distribución
Existen múltiples variantes de este spyware, algunas han sido distribuidas con el iMesh (1)
También es cargado como adware en algunos sitios y sus afiliados (3), siempre disfrazado como supuesto "acelerador de Internet", asegurando "aumentar la velocidad de sus conexiones".
MarketScore también clama proveer un servicio de correo electrónico libre de virus, examinado con productos de Symantec, pero Symantec niega toda asociación con MarketScore (4).
También se instala vía ActiveX al visitar algunos sitios asociados (3)
Sistemas afectados
Todas las versiones de Windows
Acciones y algunas características
Las computadoras comprometidas, envían las solicitudes HTTP a los servidores proxy de MarketScore a través de los puertos 80 y 8000, y las HTTPS al puerto 443 (6).
Se agrega MarketScore como certificado raíz sin notificarse al usuario (5).
Algunas variantes evitan ser visualizadas desde el administrador de tareas (1).
La imitación de la conexión SSL (certificado de autoridad raíz), permanece en el equipo aún cuando MarketScore haya sido desinstalado, permitiendo que los servidores de MarketScore puedan validar a cualquier dominio como legítimo (1).
Código arbitrario puede ser descargado desde el servidor de control e instalado a través de la característica de "auto-actualización" (1).
Puede producirse pérdida de conectividad a Internet. Si usted debe utilizar un servidor proxy diferente, no se podrá establecer ninguna conexión (ningún sitio será accesible). Cualquier manipulación (borrado, modificación, etc.) de los archivos utilizados por MarketScore (especialmente CSLOA.DLL), darán como resultado la imposibilidad de navegar por Internet (3).
Inserta avisos publicitarios en las páginas y el correo desplegado (7).
No parece afectar al resto del tráfico de Internet, no basado en los servicios Web (por ejemplo, clientes de correo POP3, FTP, etc.).
Utilizando algunos programas que muestren el tráfico detallado por determinados puertos, puede notarse que los ejecutables usados por el spyware para conectarse a los servidores de MarketScore son OSSPROXY.EXE o MKSC.EXE, dependiendo de la variante.
Una lista de los servidores proxy de MarketScore puede ser encontrada en el siguiente enlace:
http://www.utoronto.ca/security/UTORprotect/marketscore_tech.htm
Instrucciones para eliminar "MarketScore"
1. Seleccione "Agregar o quitar programas" desde el Panel de Control (Mi PC, Panel de Control). Si existe un software instalado con el nombre de Marketscore y/o Netsetter, seleccione el botón "Quitar" para desinstalarlo.
2. Si no aparece en la lista de programas Marketscore y/o NetSetter, debe acceder a una forma de desinstalación oculta que agrega este software. Para ello, siga estos pasos:
2.a. Abra una ventana de símbolo de sistema. Desde Inicio, ejecutar, teclee CMD (más Enter) en el caso de Windows XP y 2000, o COMMAND (más Enter) en Windows 9x y Me y siga las instrucciones siguientes, según la variante instalada.
2.b. Variante NS (NetSetter):
Si utiliza Windows XP o 2000, escriba el siguiente comando (más Enter):
nscheck /uninstall
Para las otras versiones de Windows, escriba los siguientes comandos (Enter al final de cada línea):
cd %WinDir%System
nscheck /uninstall
2.c. Variante OSSproxy:
Si utiliza Windows XP o 2000, escriba el siguiente comando (más Enter):
ossproxy -bootremove -uninst:RelevantKnowledge
Para las otras versiones de Windows, escriba los siguientes comandos (Enter al final de cada línea):
cd %WinDir%System
ossproxy -bootremove -uninst:RelevantKnowledge
2.d. Variante MKSC:
Si utiliza Windows XP o 2000, escriba el siguiente comando (más Enter):
mksc -bootremove -uninst:RelevantKnowledge
Para las otras versiones de Windows, escriba los siguientes comandos (Enter al final de cada línea):
cd %WinDir%System
mksc -bootremove -uninst:RelevantKnowledge
3. Reinicie su computadora.
4. Borre todos los archivos creados por MarketScore.
Para ello, desde el Explorador de Windows, localice y borre los siguientes archivos:
c:windowssystem32csloa.dl_
c:windowssystem32csloa.dll
c:windowssystem32cusnns.bak
c:windowssystem32 sconfig.dll
c:windowssystem32 sconfig.dll
c:windowssystem32 sconfig.inf
c:windowssystem32 scheck.exe
c:windowssystem32 scheck.lgc
c:windowssystem32okshook.dll
c:windowssystem32osconfig.dll
c:windowssystem32osmim.dll
c:windowssystem32ossproxy.exe
NOTA: Algunos de estos archivos pueden estar ocultos. Asegúrese de configurar Windows como se explica aquí:
Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm
Algunos de estos archivos pueden no estar presentes (dependiendo de la variante instalada).
NOTA: "c:windowssystem32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:winntsystem32" en Windows NT y 2000 y "c:windowssystem" en Windows 9x y ME).
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
5. Remover el certificado raíz de MarketScore del sistema.
5.a. En el Internet Explorer, seleccione Herramientas, Opciones de Internet, Contenido.
Haga clic en el botón de Certificados.
Bajo la lengüeta "Entidades emisoras raíz de confianza", busque en la lista a "MarketScore" y/o "Netsetter", y borre dichas entradas.
5.b. En Mozilla Firefox, seleccione Tools, Options, Advanced y buscque la sección "Certificates".
Haga clic en el botón "Manage Certificates" y borre todas las entradas relacionadas con Marketscore y Netsetter.
5.c. En Netscape seleccione Edit, Preferences, Privacy and Security, Certificates
Clic en el botón "Manage Certificates" y borre todas las entradas relacionadas con Marketscore y Netsetter.
6. Ejecutar Antispyware.
Descargue y ejecute la última versión de Search and Destroy para limpiar todas las entradas del registro realizadas por el MarketScore (puede ser otra utilidad, pero esta elimina perfectamente todas las versiones conocidas del MarketScore).
Descarga de Spybot-S&D
http://www.safer-networking.org/es/download/index.html
7. Cambio de contraseñas
Se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Referencias:
Computer Associates
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=43974
DoxDesk: MarketScore
http://www.doxdesk.com/parasite/MarketScore.html
Columbia University - Removing MarketScore Software
http://www.columbia.edu/acis/security/howto/remove/marketscore.html
Fuentes:
1 - http://www.doxdesk.com/parasite/MarketScore.html
2 - http://helpdesk.its.uiowa.edu/security/marketscore.htm
3 - http://www3.ca.com/securityadvisor/pest/pest.aspx?id=43974
4 - http://www.pcworld.com/news/article/0,aid,118757,00.asp
5 - http://www.utoronto.ca/security/UTORprotect/marketscore.htm
6 - http://www.utoronto.ca/security/UTORprotect/marketscore_tech.htm
7 - http://xforce.iss.net/xforce/xfdb/14411
Relacionados:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=43974
http://kb.indiana.edu/data/apnh.html?cust=946089.48283.30
http://www.indiana.edu/~ets/marketscore.html
http://www.albany.edu/its/alerts/alarm_alert_110204-01.html
http://marketscore.ucr.edu/
http://its.psu.edu/news/marketscore.html
http://blink.ucsd.edu/Blink/External/Topics/Policy/0,1162,17312,00.html
http://www.columbia.edu/acis/security/howto/remove/marketscore.html
http://www1.umn.edu/oit/security/marketscore.html
http://www.infosec.csusb.edu/privacy/sslproxy.html
http://its.med.yale.edu/security/alerts/marketscore.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|
|
 |  | | | |  |  |
| |
| | | | | | | | | Votos del Artículo
|  | | |
Puntuación Promedio: 5
votos: 1
|
|
|
|
| | | | | | |
|
Inicio:
Miembros:
Secciones:
Estadísticas:
