• Résumé : winamp - installation avec recherche d'implants malveillants type spywares, adwares, keylogger, backdoor et autres espions fréquents dans les clients outils multimédia

• Mots clé : winamp, spyware, adware, keylogger, backdoor

Winamp - installation avec recherche d'implants malveillants

• 22 juin 2003
• La machine de test :
  • Le système est un Windows XP Pro légal full patch au jour du test.
  • Le navigateur est Mozilla 1.3 US
  • Zone Alarm Pro activé :
    • svchost.exe (Generic Host Process for Win32 Services) accède uniquement aux serveurs DNS sur le port 53, protocole UDP et TCP. Les droits serveurs ne sont pas accordés.
    • Mozilla accède uniquement aux serveurs pop, imap et smtp, aux serveurs de news, aux serveurs dhcp, aux dns, aux ftp et web. Les droits serveurs ne sont pas accordés.
  • Norton antivirus est activé.
  • PestPatrol MemCheck est activé.
  • PestPatrol CookiePatrol est activé.
  • PestPatrol KeyPatrol est activé.
  • SpyBlocker est activé.
  • StartUpMonitor est activé.
  • StartPage Guard est activé.
  • Liaison Adsl 512
• Le système est testé avec Norton et PestPatrol et est propre.
• Download de WinAmp Full (il y a plusieurs références données en divers endroit et elles divergent - en fait il s'agit de la 3.0D Final - build #488 du 25 02 2003) depuis le site de WinAmp http://www.winamp.com
• Récupéré un fichier .exe de 3387KO (l'explorateur de Windows signale 3388 KO)
• Coupure de la liaison Internet et ZoneAlarm Pro est paramétré pour signaler toutes les alertes.
• Analyse du fichier zippé avec PestPatrol à jour - rien
• Analyse du fichier zippé avec Norton Antivirus 2003 à jour - rien
• Lancement de l'installation : double clic sur l'exe reçu. Sélection d'une installation "custom" conprenant tous les modules ("full") y compris l'internationalisation expérimentale du produit.
  
  
  
• StartupMonitor me signale immédiatement que WinAmpAgent tente d'inscrire le lancement automatique de WinAmpa.exe dans la base de registre avec tous les trucs qui se lancent automatiquement au démarrage de Windows. Je refuse (clic sur "Non").
  
  
  
• Je lui interdit de communiquer avec le Net - en effet, la recherche de la titraille etc. ... aussi confortable que cela soit, est un magnifique spyware.
  
  
  
• Pour assurer le coup, je le déclare dans mon firewall et lui ferme toutes les portes pour tous les protocoles.
  
  
  
  
  
  
  
• Analyse du système avec PestPatrol à jour - rien
• Analyse du système avec Norton Antivirus 2003 à jour - rien
• Il n'y a pas de nécessité de rebooter - toutefois, désirant le faire, je lance SpyBot pour nettoyer les historiques etc. ... et SpyBot me signale en rouge la présence de l'icône de lancement de WinAmp sur mon bureau ?
  
  
  
• Reboot et je lance WinAmp qui tente aussitôt de se connecter sur le Net (d'ailleur, non pas en utilisant le navigateur par défaut qui, dans mon cas, est Mozilla, mais en utilisant systématiquement Internet Explorer - sans doute pour ses contrôles ActiveX hostiles - bien m'en a pris de bloquer, totalement et en permanence au niveau de mon firewall, Internet Explorer - ce n'est pas lui qui est en cause là, mais l'usage que l'on en fait)
  
  
  
• Lecture d'un .mp3
  
  
• Lesture d'un .avi
  
  
• Scan approfondi avec PestPatrol. Rien trouvé.
  
  
• Scan approfondi avec Norton Antivirus. Rien trouvé.
  
  

Conclusions

• Il semble bien qu'à l'issu de ce test, WinAmp en lui-même ne contienne pas ce qu'il est convenu d'appeler des adwares ou des spywares (ou, tout au moins, n'en contienne pas qui soient connus) mais sa propension à se connecter est suspecte car, là, il faudrait sniffer les paquets pour savoir réellement ce qui transite.
  
  
• Si on le laisse faire, WinAmp se lance automatiquement au démarrage de Windows, puis il lance automatiquement Internet Explorer qui établira une communication dès qu'il le pourra (et automatiquement dans bien des cas).
  
  
• Interdire toute communication à WinAmp et à Internet Explorer dans votre firewall. Avoir un firewall, bien sûr, un vrai, pas celui d'XP. Dans ces conditions, WinAmp est un lecteur audio très agréable et très performant.
  
  
• Il semble, par contre, que ce soit la plupart des plug-ins, des skins et skinmakers qui soient des spywares - tous les produits Wild Tangent, par exemple, embarquent des spywares. La lecture des forums internationaux fait état de très nombreuses suspicions quant-à WinAmp et fait état, systématiquement, de la présence de spywares dans les plug-ins. Ne pas utiliser de plug-ins comme les effets visuels qui sont, en plus, totalement inutiles.
  
  
• On se rapellera que NullSoft Inc;, la société qui développe WinAmp, est une filiale de AOL (America Online, Inc.) qui est réputée pour avoir les mains sales en matière de vie privée de ses clients et utilisateurs. On s'interrogera également sur le modèle économique de NullSoft qui présente, sur son site, le trombinoscope de ses 15 employés : il faut bien dégager des revenus pour les payer, payer les surfaces des lacaux, payer les fluides - eaux, gaz, électricité - payer le chauffage, les communications, les assurances, les ordinateurs... !