Creo que muchos vamos a empezar a mirar tres veces lo que recomienda el conocido blog de tecnología LifeHacker, al menos en mi caso a partir de este desafortunado post donde recomiendan un sitio con información imprecisa y en donde se publicita de manera encubierta un programa que en el mejor de los casos no sirve y da falsas alarmas.
En la entrada en cuestión recomiendan el sitio TaskList.org, el que supuestamente brinda información confiable sobre cientos de procesos que se ejecutan en Windows, para que así el usuario pueda averiguar si determinado proceso en su sistema es algún software malicioso o una aplicación confiable. El problema se sucede justamente con la veracidad de esa información.
Voy a tomar de ejemplo los resultados que da para tres procesos que conozco bien:
-
nod32kui.exe: Programa de control del reconocido antivirus NOD32.
-
Osa.exe: Aplicación existente en diversas versiones de Microsoft Office que se inicia automáticamente con el sistema y que todos sabemos que no sirve para nada.
-
DrgToDsc.exe: Programa componente de la suite Roxio Easy Media Creator, el cual sirve para poder utilizar CD-R’s y CD-RW’s como unidades de almacenamiento extraíble (o sea como disquetes grandotes).
Veamos que nos dice TaskList.org sobre estos procesos:
Con el proceso que es parte del antivirus NOD32 nos recomienda acertadamente que lo dejemos ejecutarse al inicio del sistema, pero… qué dice más abajo…?
“Nosotros encontramos que Easy SpyRemover es la herramienta más efectiva para remover este archivo.”
Cóoomo…? Primero me dan a entender medianamente que el proceso no es malicioso y que es parte de un antivirus que seguramente debo saber si tengo instalado o no, pero a continuación me recomiendan removerlo con lo que parece ser, a juzgar por su nombre, una herramienta anti-spyware?
Veamos que dice con el proceso Osa.exe:
Mmm… no está tan desacertado con la descripción de la herramienta, pero me siguen ofreciendo que la remueva con el mismo anti-spyware!
Veamos el último:
“No requerido por Roxio para funcionar adecuadamente” dice… Bueno, depende qué parte de Roxio. Si quiero copiar archivos en mi cd regrabable así como borrar otros, ciertamente lo voy a necesitar. Pero en cambio dicen que no es requerido que es usado para tareas infrecuentes, lo cual habría que ver a juicio de quién. Pero lo peor es me siguen ofreciendo remover este proceso completamente válido con la misma herramienta anti-spyware.
Bueno, después de unas cuantas consultas les puedo apostar que esta gente “encontró” que ese software que recomiendan es el más efectivo para CUALQUIER proceso que querramos remover. Curioso no? Además figura como una recomendación, claramente separado del bloque de Adsense de Google.
Como la publicidad subliminal a veces da resultado en mi, me decidí a probar esta herramienta que me dicen que es tan efectiva para remover spyware, y encima son tan buenos de dejármela probar antes de pagar por ella. Ingresé al link y la descargué en un sistema con Windows XP donde previamente confirmé que no tenía ningún spyware instalado utilizando el conocido y confiable Spybot-S&D (un anti-spyware de verdad y gratis). A continuación instalo el Easy SpyRemover, y luego hago un escaneo del sistema (más bien la aplicación lo comenzó a hacer automáticamente ni bien se ejecutó) y, oh, qué raro, encontró un ítem que identifica como un troyano.
Para ser más precisos, lo que dice haber encontrado es una entrada en el registro de Windows que supuestamente fue creada por dicho troyano. Le hago caso al cartel y procedo a que el programa me remueva el troyano, pero me encuentro con un problema:
Me pide un código de licencia porque, claro, no es gratis, y ya bastante me dejaron probar hasta acá, no? Pero esta gente es tan generosa indica en el mismo diálogo que puedo elegir correr el programa sin registrarme, sólo me limitarán algunas funciones dicen.
Cuando hago esto, veo que nada pasó, y desemboco en una pantalla que me muestra un resumen del estado de la aplicación. Para cerciorarme de si el troyano fue removido o no corro un nuevo análisis, y éste sigue apareciendo, por lo cual asumo que si no pago la licencia, no me lo va a remover.
Dándome por vencido, cierro el programa y procedo a desinstalarlo. Luego corro nuevamente Spybot-S&D y afortunadamente sigue diciendo que el sistema está limpio (podría haber sido peor).
A todo esto, qué corno realmente es la clave de registro HKLM\SYSTEM\CurrentControlSet\Services\BITS? Es una clave usada por el Servicio de Transferencia Inteligente en Segundo Plano (en inglés Background Intelligent Transfer Service), el cual es un componente obligatorio en Windows para poder utilizar servicios como Windows Update. La única relación de esta entrada de registro con virus o troyanos es que algunos de estos modifican información dentro de esta clave, posiblemente para evitar que se sigan bajando actualizaciones automáticas en el sistema.
En conclusión, el sitio TaskList.org contiene información que no es 100% confiable, al mismo tiempo que insistentemente “aconseja” el uso de esta herramienta anti-spyware por la que no solo hay que pagar sino que encima encuentra amenazas de la nada.
En la entrada original de LifeHacker donde mencionaban el sitio muchos visitantes también mostraron su descalificación al ver que éste aconsejaba insistentemente la adquisición de la herramienta anti-spyware que publicitan en lugar de dar información más clara sobre el proceso en sí. Otros también dicen haber visto que en vez de aconsejar el uso de Easy SpyRemover anunciaban una aplicación llamada ErrorExpert. Tal vez cambiaron de anunciante en el ínterin.
Un consejo sano: Para detectar y remover spyware una de las mejores herramientas es Spybot-S&D; siempre fue gratis (sólo aceptan donaciones) y se lleva las mejores opiniones en todo sitio de Internet donde la reseñen (además de que es una de las herramientas de elección de cualquier informático que se precie). Por otro lado, estaba a punto de recomendar un sitio más confiable que TaskList.org para encontrar información sobre procesos, pero veo que, sin llegar al extremo de este, otros sitios con mejor información de todas formas publicitan el uso de escaneos online y programas antispyware como un “consejo” luego de brindar información sobre el proceso seleccionado. Sitios como los mencionados, pero que de todas formas tienen mejor información que TaskList.org, son ProcessLibrary.com, Process ID y What Is That File. Hay que usar la información que brindan pero siendo precavidos de no instalar o ejecutar todo lo que nos aconsejan.
Otra forma más preferible de buscar información es simplemente googleando el nombre del proceso. Una excelente aplicación como Process Explorer, además de brindar extensa información sobre el sistema y sus procesos (y ser gratuita), permite hacer esto con sólo un par de clicks.
Entradas Relacionadas
Información oficial sobre ejecutables, de parte de Microsoft
Zeitgeist, una película que deberías ver
Los primeros 100 dominios de Internet
3 comentarios
Comentarios asociados a este artículo
Enlace al trackback
http://geekotic.com/2007/03/07/tasklistorg-o-como-a-veces-los-grandes-la-pifian/trackback/
17/Abril/2008 a las 16:45
Pingback desde Geekotic · Información oficial sobre ejecutables, de parte de Microsoft
8/Marzo/2007 a las 19:50
Lucila
Es una experiencia que a mi la verdad no me había pasado, pero buenísimo por compartirla de tu parte, ya que ante cualquier cosa, tengo un buen consejo.
hay muuchos sitios que te dejan bajar sus cosas, solo para probarlas, así como pasó con el anti spyware, que encontró un troyano y te hacía pagar para poder eliminarlo, es todo pura publicidad..cada vez se está llenando mas de ese tipo de cosas..por mala suerte..
Saludos!
8/Marzo/2007 a las 23:25
Gabolonte Blasfemus
Bueno, sin ir más lejos algo muy común que azota las casillas de mail de los incautos es el típico mensaje promocionando un supuesto antispyware que en realidad ES un spyware que descarga otros malwares en el sistema y encima te pide “registrarlo” para que te lo limpie.
Pero lo que realmente me llama la atención de esto es que este sitio se plantea como una fuente confiable de información, y encima lo recomienda LH.