Muy buenas, me gustaría abrir este tema para escuchar mas opiniones respecto a un software en particular: MSMG Toolkit es un programa diseñado para remover funciones innecesarias en ISOs de Windows 10, en un esfuerzo por mantener el sistema operativo ligero en procesos y consumo de RAM y CPU. La duda surge en cuanto se pide acceso de administrador para su uso, además de que algunos antivirus detectan su actividad como maliciosa. Ademas de esto, es un software gratuito que no se orienta a descubrir un poco de su código, pero tampoco cobra por sus servicios a diferencia de otros similares como NTLite. Para poder ahondar más en el tema, he recurrido a virustotal si es que algo arrojaba, los resultados son cuanto menos curiosos: VirusTotal
Para empezar, muchos lo describen como un troyano, de los pocos antivirus que detectan algo. Cabe resaltar que los antivirus destacados como Kaspersky, Malwarebytes o ESET no detctan algún problema.
Escarbando más en el agujero de conejo, virustotal te ofrece la opción de hurgar en los contenidos de un archivo comprimido, los archivos más interesantes son ToolKitHelper.exe y 5ddc58f1d94279429f1b6af4268627c9.tmp
El menos interesante es 5ddc58f1d94279429f1b6af4268627c9.tmp, que coincide con el checksum de otro archivo en la base de datos de virus total, PSFExtractor.exe. En si, en el apartado de virus total donde revisa su comportamiento, no es nada del otro mundo; parece que simplemente es detectado como malicioso al tener la capacidad de forzar el borrado de un archivo a través de powershell.
Mientras que por su parte ToolKitHelper.exe es el que reluce más a la vista: Nuevamente, los antivirus que más resaltarían no están presentes, a lo mucho uno podría rascarse la cabeza al ver McAfee o google detectando este ejecutable. Lo interesante de este asunto es que parece que el ejecutable hace llamadas a un par de IPs particulares:
-
20.99.133.109 es una ip asociada a “MICROSOFT-CORP-MSN-AS-BLOCK”, y en los comentarios de la comunidad no esta claro si es la dirección asociada a un ransomware o a una nube de Azure Microsoft
-
20.99.184.37 es otra ip con similares controversias, “MICROSOFT-CORP-MSN-AS-BLOCK”
-
23.216.147.76, la ultima ip, que es bastante diferente a las demás; asociada a “Akamai International B.V.” y, supuestamente, manejada por un jugador ruso que compartía piratería de dudosa calidad
Como nota final, ya he instalado un par de computadoras modificadas con MSMG toolkit. Desafortunadamente no tengo evidencia contundente para decir que no hay peticiones o interacciones raras con un server, o que no hay algún proceso malicioso visto por el administrador de tareas. Lo que sí puedo decir es que he corrido varias veces la guía anti malware que se proporciona en este foro, y en ninguna ocasión malwarebytes o RKill ha detectado algo sospechoso.
Me gustaría escuchar la opinión de los demás usuarios, ya que desafortunadamente es un software poco utilizada y que solo parece ser usado en la anglo-esfera. Me gustaría abrir la discusión y que se pueda llegar a una verdad más clara respecto a este software.