En casa tengo dos equipos. Un Debian testing y un windows xp.Recientemente instale un antivirus para windows xp, NOD32, bajado de filehippo.com y con licencia hasta finales de Junio.
Me llamó la atención que cuando hacía CTRL+ALT+SUPR se mostraba durante un instante, casi inapreciable, un proceso llamado gowuaas.exe y despues se desvanecía en la lista de procesos misteriosamente. Lo primero que pensé fue que ese binario carecía de buenas intenciones aunque el que lo hubiera diseñado había cometido algún error, al dejarlo visible durante ese segundo, ya que si sus intenciones fueran malas, no tendria por que mostrarse ni un solo segundo.
Captura 1: Procesos
Me dirigí a buscar información sobre el proceso en la red. Segundo dato que me llamó aún mas la atención, nada de información por Google. Extraño.
Decidí sacar a pasear el filemonitor, monitor de actividad de ficheros fantástico. Descubrí en este punto, filtrando la actividad y quitando 'morralla', que dicho proceso gowuaas.exe graba un fichero en Document and settings\usuario\configuracion local\datos de programa\ de de idéntico nombre pero con la extensión .dat. Lo graba, enviará la info a algún sitio y lo vuleve a destruir. CREATE-OPEN-QUERY-CLOSE
captura 2: Filemonitor
captura 3: Filemonitor
Lo siguiente que haré será ver que contiene ese fichero y saber, monitorizando el tráfico, donde lo envía, posiblemente a algun servidor de NOD32.
¿ Alguien sabe más acerca de este proceso ? Posiblemente sea una tontería como alguna verificación que hace NOD32 para bajarse las últimas firmas de virus, quién sabe.
Seguiré informando.
