Una persona que presuma de tener conocimientos de seguridad, no debería
escribir frases como “this key logger is completely undetectable” (este
key logger es completamente indetectable). Ningún malware es
indetectable. Es más, en el caso concreto de StarLogger, no solo no
es indetectable como ningún malware sino que ya es detectado. Hemos
descargado desde http://www.willebois.nl/starlogsetup.exe el programa. Sus
tres ejecutables son detectados a través de firmas por tres y siete
antivirus. Su DLL es reconocida por 14. Curiosamente VIPRE no lo detecta
ni detectó por firmas en ningún momento. Al tratarse de un keylogger
“oficial”, se entiende como herramienta y muchas casas antivirus
prefieren no incluirlo como malware por las posibles consecuencias y
presiones legales. Lo que VIPRE detectaba (con las heurísticas agresivas
activas) era solo la presencia de c:\windows\SL que (por defecto, pero
puede ser cambiado) es el lugar donde se instala el keylogger. SL es
también el directorio donde se aloja la aplicación Microsoft Live
Application en su versión eslovena. Dar un positivo por la existencia
de una carpeta es uno de los falsos positivos más ridículos vistos.

Mohamed Hassan sigue cometiendo errores en su análisis. Afirma que
“After an in-depth analysis of the laptop” (después de un profundo
análisis del portátil) llega a la conclusión de la existencia del
keylogger. Dudo mucho de que realizara un “profundo” análisis. Por
ejemplo, como mínimo debían encontrarse en el portátil alguno de los
tres ejecutables y la DLL que conforma StarLogger y debió haberlos
analizado por si se trataba de variantes… pero ni siquiera estaban
en el sistema. Además, ¿supuestamente dónde enviaba los datos de las
teclas pulsadas? ¿a Samsung? ¿analizó el tráfico?… El estudio es
tremendamente impreciso y realmente parece basarse exclusivamente
en la detección de VIPRE.

Además afirma rotundamente que sus herramientas (que no menciona
explícitamente) son infalibles “The findings are false-positive proof
since I have used the tool that discovered it for six years now and
I am yet to see it misidentify an item throughout the years.” (Los
descubrimientos son a prueba de falsos positivos puesto que he utilizado
la herramienta que lo descubrió por seis años ya y todavía no he visto
identificar mal un ítem durante estos años). No existen herramientas
infalibles, ni méritos pasados garantizan éxitos futuros. En definitiva,
un estudio poco serio, aunque muy eficaz para lanzar titulares
espectaculares.