[HACK] Nos espia Microsoft?

El siguiente mensaje apareció originalmente en la lista de temática hacking moderada por Jesús Cea Avión el día 10 de Agosto de 2001. En el mensaje analizo ciertos detalles sobre el archivo «loadqm.exe» que apareció en la una de las versiones de MSN Messenger.

[HACK] Nos espia Microsoft?


Hola,

yo creo que Microsoft no espia a sus usuarios mas alla de lo que le permite la ley, aunque tengo bastante claro que le gustaria hacerlo, como a cualquier otra compañia, no solo a Microsoft.

Mucha gente no coincide con mi opinion y acusa a Microsoft de espiar a sus usuarios continua e indiscriminadamente. Y no me extraña que la acusen, es que joder, en Microsoft o no las piensan, o son tontos del culo. Me explico:

Soy usuario de MSN Messenger. El otro dia al hacer logon en el Messenger me aparecio una pantalla muy bonita invitandome a instalar la nueva version, un proceso que ya conocia y que es completamente automatico. Al acabar de instalarse, y para mi sorpresa, el programa me dijo que para acabar la instalacion debia de reiniciarse el equipo, cuestion que me parecio totalmente fuera de lugar, puesto que el messenger ya se habia iniciado el solo otra vez y estaba funcionando.

En cualquier caso, reinicie el equipo… «por si acaso». Nada mas terminar el reinicio, siempre tengo la costumbre de mirar los procesos que estan corriendo, para comprobar que no hay ninguno nuevo del que no tenga conocimiento (o que falte alguno, y sorpresa, me encuentro un nuevo proceso que nunca habia visto: loadqm.exe

Una busqueda lo encuentra en C:\WINNT con fecha de creacion unos minutos atras, asi que me supongo que sera cosa del messenger, y me pongo a buscar todos los archivos creados en los ultimos minutos, y me encuentro con los siguientes archivos y directorios:

C:\Program Files\QMgr
C:\Program Files\QMgr\QMgrCache.tmp
C:\WINNT\loadqm.exe
C:\WINNT\system32\progdl.dll
C:\WINNT\system32\qmgr.dll
C:\WINNT\system32\qmgrproxy.dll

Ademas, la carpeta QMgr que esta dentro de Program Files, es una carpeta oculta en un burdo intento de que el usuario no la detecte…

Una busqueda en el registro me lleva a encontrar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\
{16f41c69-09f5-41d2-8cd8-3c08c47bc8a8}

Con la siguiente informacion: «Background copy queue manager»

Y ademas, tambien podemos encontrar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\LoadQM

Con razon habia que reiniciar, para poder cargar el programa…, pero son tan tontos que no pueden cargarlo la primera vez sin reiniciar?

El programa en cuestion se conecta a windowsupdate.microsoft.com cada «no se cuanto tiempo» y baja dos archivitos: Drizzle.cab e indent.cab y los deja en la carpeta C:\Program Files\QMgr\QMgrCache.tmp Son archivos comprimidos que llevan sendos archivos de texto que he abierto, pero no les veo mucho sentido…

Bueno, yo ya he borrado todos esos archivos y el Messenger sigue funcionando sin problemas. Me queda la duda de que significara eso de «Background copy queue manager», por que no le veo mucho sentido que te lo instalen sin avisar. Claro, van instalando aplicaciones extras en tu disco duro sin avisar…, no me extraña que despues todo el mundo le acuse de espiar a los usuarios.

A ver si hay alguien por ahi que tenga mas tiempo y quiera investigar un poco mas.

Hala, no os doy mas la vara. Salu2,

kamborio