Recentemente descobri que um programa proxy ( Clash for Windows ) que instalei no meu PC com Windows sempre se vincula a DLLs que não estão relacionadas à sua função.
Possui DLLs de FFmpeg, DirectX, OpenGL e Vulkan em seu diretório de instalação. E através do Process Explorer confirmei que ele realmente carrega essas DLLs (sempre FFmpeg, mas nem sempre todas as outras três).
Como mencionei, ele deve servir apenas como um programa proxy, e a única razão legítima (que consigo imaginar) pela qual ele carrega as DLLs de APIs gráficas de baixo nível é para aceleração de hardware de sua UI - mas não encontrei configurações relacionadas nele. Mais importante ainda, não consigo pensar numa razão que justifique o seu carregamento FFmpeg.
O FFmpeg é conhecido por ser capaz de transmitir vídeos para um cliente remoto, e suspeito que o programa seja spyware - que usa APIs gráficas de baixo nível para capturar a tela e transmiti-la via FFmpeg.
Essa, claro, é minha especulação. Então, minhas perguntas são :
- As DLLs carregadas podem ser usadas de outras maneiras legítimas nas quais não pensei?
- Existe alguma maneira de investigá-lo mais a fundo para obter evidências decisivas de que se trata de spyware?
- O programa só foi executado como usuário normal no meu PC. Se fosse realmente spyware, quanto dano ele poderia ter causado e como eu poderia mitigar os danos (por exemplo, que tipos de backdoors ele poderia ter deixado como usuário normal)?
Agradeço sinceramente qualquer informação que você forneça e seu tempo de antecedência.