Atónito me quedé cuando leí el correo electrónico de la lista nmap-hackers, escrito por el mismo Fyodor, donde describía con gran enfado que las descargas de Nmap desde la web de CNet, venían con algo más que el deseado "analizador remoto de puertos".
Nmap, en plataformas Microsoft puede ser instalado de dos maneras: Una es utilizando el entorno Cygwin. La otra es mediante un fichero instalador ejecutable directamente en Windows (hecha con Nullsoft Scriptable Install System) que incorpora entre otras, además de los binarios necesarios de Nmap, las librerías Winpcap, así como una GUI para Windows llamada Zenmap. Esto es lo oficialmente ofrecido desde la web oficial de descarga de Nmap.
Por otro lado, en el caso de CNET, conocida web de descargas de software gratuito, se ofrece también a cualquier navegante, un instalador ejecutable de Nmap. Sin embargo, Fyodoor se dio cuenta que la versión dispuesta en la web de CNET no era idéntico al software original ofrecido. Al descargarlo, el programa de instalación añadía al navegador molestas barras de herramientas, cambios en las preferencias del motor de búsqueda por defecto al buscador Bing, y predeterminaba la página de inicio hacia Microsoft MSN. Enviando el fichero a Virustotal, el resultado era escandaloso. Varios motores antivirus catalogaban dicho fichero como Malware.
Nmap, en plataformas Microsoft puede ser instalado de dos maneras: Una es utilizando el entorno Cygwin. La otra es mediante un fichero instalador ejecutable directamente en Windows (hecha con Nullsoft Scriptable Install System) que incorpora entre otras, además de los binarios necesarios de Nmap, las librerías Winpcap, así como una GUI para Windows llamada Zenmap. Esto es lo oficialmente ofrecido desde la web oficial de descarga de Nmap.
Por otro lado, en el caso de CNET, conocida web de descargas de software gratuito, se ofrece también a cualquier navegante, un instalador ejecutable de Nmap. Sin embargo, Fyodoor se dio cuenta que la versión dispuesta en la web de CNET no era idéntico al software original ofrecido. Al descargarlo, el programa de instalación añadía al navegador molestas barras de herramientas, cambios en las preferencias del motor de búsqueda por defecto al buscador Bing, y predeterminaba la página de inicio hacia Microsoft MSN. Enviando el fichero a Virustotal, el resultado era escandaloso. Varios motores antivirus catalogaban dicho fichero como Malware.
En el momento de redacción de este post (las 20:35 del martes 6 de Diciembre) me proponía analizar la versión descargada desde CNET, instalarla en un entorno de Sandbox y contaros los resultados, buscando los cambios en el registro de Windows, procesos raros añadidos, etc, etc,…
Sin embargo, mi gozo en un pozo. Ni el antivirus de mi sandbox con Windows XP, ni el servicio ofrecido por Virustotal, detectaron malware alguno en la versión 5.51 de Nmap para Windows descargada de CNET en ese momento.
Supongo que después del correo de Fyodoor, así como sus quejas sobre violaciones de licencia de distribución de Nmap, debido al regalazo gratuito ofrecido por CNET, habrá hecho que hayan modificado la descarga, puesto que el fichero subido por Fyodoor a Virustotal era cnet2_nmap5_51-setup.exe y el ofrecido por CNET cuando lo descargué, era nmap-5.51-setup.exe
Lo malo es que, según cuentan en Extremetech, es una práctica habitual por parte de CNET, ofrecer instaladores con software modificado a sus usuarios, que incluyen características adicionales no deseadas. Se puede ver, en el citado enlace, una versión de un instalador del popular reproductor multimedia VLC, con la conocida Babylon Toolbar incluida,... y vaya usted a saber qué otro regalito oculto más!
Como hemos recomendado muchas veces en SbD, es siempre una buena práctica el descargar el software o drivers que queramos instalar en nuestros ordenadores, siempre en la medida de lo posible, desde los repositorios oficiales.
UPDATE [7/12/2011]: Efectivamente, las quejas de Fyodor han tenido sus consecuencias y han causado que CNET distribuya el instalador verdadero de Nmap para Windows, sin troyanos, ni malware asociado. Así ha quedado patente en un nuevo correo que ha enviado Fyodor a la lista nmap-hackers. Cuenta incluso que Microsoft se puso en contacto con él para decirle que no sabían que patrocinaban un sitio que ofrecía software troyanizado y que directamente han dejado de hacerlo!
Fyodor ha creado una web en la que irá contando con pelos y señales cómo evoluciona el tema.
No hay comentarios:
Publicar un comentario