Mi cámara web se encendió "de la nada"

Tengo un Microsoft LifeCam HD sentado encima de mi monitor. Hoy, completamente de la nada, su luz se encendió: simplemente estaba navegando por la web (en Chrome) cuando sucedió. Después de unos 5 minutos, la cámara web se apagó.

Naturalmente, inmediatamente sospeché de mi ex esposa (cuando tengo dudas, siempre sospecho de ella), pero no es lo suficientemente conocedora de computadoras.

Revisé la lista de procesos y no vi nada sospechoso. Estoy ejecutando un par de proyectos de código abierto y aplicaciones gratuitas (por ejemplo, greenshot, powermenu, supertray), pero las he tenido durante años. Autoruns no informa nada sospechoso en el inicio y tampoco Windows Defender.

De todos modos, ¿qué podría ser? ¿Qué debería mirar a continuación?

Process Explorer de Microsoft sería mi siguiente suposición: http://technet.microsoft.com/en-us/sysinternals/bb896653 . Una vez que lo haya cargado, haga clic en Ver -> Vista del panel inferior -> Asas. Ahora, cuando hace clic en cada uno de los procesos en el Panel superior, obtiene un informe sobre todos los archivos y claves de registro que tiene abiertos. Las claves son lo importante.

Puede enumerar mucha información sobre los procesos que se ejecutan actualmente, y aunque no estoy seguro si definitivamente dirá qué proceso tiene la cámara web abierta, es posible que pueda obtener pistas. Simplemente lo probé para OneNote mientras grababa un video, y para mi Lifecam VX7000, tenía esta tecla abierta mientras grababa un video, que es casi seguro que es la cámara web (especialmente porque desapareció una vez que dejé de grabar):

HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{65E8773D-8F56-11D0-A3B9-00A0C9223196}\##?#USB#VID_045E&PID_0723&MI_00#8&27B22E96&0&0000#{65e8773d-8f56-11d0-a3b9-00a0c9223196}\#GLOBAL\Device Parameters

No sé cómo aparecerá su dispositivo, pero esté atento a los procesos que tienen abiertas las teclas HKLM \ SYSTEM \ ControlSet001 \ Control \ DeviceClasses \ y busque palabras clave como "USB # VID". Presionando Ctrl + F y buscando la cadena "USB # VID" debería encontrar procesos con esa clave abierta.

Si desea averiguar exactamente cómo se llama su dispositivo USB a Windows, abra el administrador de dispositivos, encuentre su cámara web allí, haga doble clic en ella y luego haga clic en la pestaña de detalles. En el cuadro desplegable de esa página, vaya a ID de hardware o consulte algunos de los otros detalles en ese cuadro desplegable, y vea si puede hacer coincidir un proceso con el Explorador de procesos.

editar: olvidé mencionar, este procedimiento solo funciona mientras el proceso todavía usa la cámara web (es decir, la luz aún está encendida)

Podría ser flash u otro complemento del navegador.

Las cámaras (y otros dispositivos de grabación) que poseas NUNCA deberían encenderse sin tu consentimiento. Si no conoce una aplicación que haya configurado para hacer esto automáticamente de vez en cuando, entonces es hora de comenzar a descubrir si tiene SpyWare en su computadora que puede estar activándolo.

Aquí hay dos excelentes herramientas gratuitas en las que confío (no hay mucho en lo que realmente confío cuando se trata de software de seguridad en particular) y que utilizo para eliminar SpyWare que deberían serle útiles:

  MalwareBytes
  http://www.malwarebytes.org/

  SpyBot - Buscar y destruir
  http://security.kolla.de/

Si estaba experimentando este problema, la búsqueda de SpyWare sería una prioridad muy alta.

Para agregar a la respuesta de @Andrew Cooper:

Hace aproximadamente un año, hubo un gran alboroto en la comunidad de seguridad sobre un investigador que usa lo que ahora se conoce como clickjacking para hacer que Adobe Flash piense erróneamente que el usuario acordó permitir el acceso a la cámara web.

Esa vulnerabilidad específica se ha solucionado, pero siempre podría haber más. Actualmente, la única forma de evitar el clickjacking es usar Firefox con NoScript . Chrome / IE8 también tiene una prevención rudimentaria de clickjacking , pero solo para sitios que lo admiten (lo que no ayudará a prevenir Flash-clickjacking).

Es posible que no vea algo extraño en la lista de procesos ya que el "malware" puede haberse inyectado en otra aplicación. Lo más probable es que sea un proceso común en todos los sistemas Windows (explorer.exe como un ejemplo).

Desenchufe internet, vea si se apaga. Cuando vuelva a suceder, comience a trabajar para encontrar el proceso, es decir, usar su cámara web, como lo sugiere otro póster, con el explorador de procesos.

Cuando haya determinado qué proceso debe observar qué conexiones tiene ese proceso y a qué puertos. Esto también se puede ver en el explorador de procesos.

Tenga en cuenta las IP, publique la lista en un foro (no puedo pensar en uno específico en este momento) que se ocupe de este tipo de cosas si no puede determinarlo usted mismo.

Guarde la información de arriba.

Limpie su sistema e instálelo de fuentes confiables.

Si tiene el servicio WIA (Adquisición de imágenes de Windows) tratando de ejecutarse en su registro y está deshabilitado, registrará un error (generalmente, se inicia automáticamente con Windows).

He tenido esto, y sin cámara conectada, sin escáner o cámara digital conectada, y posiblemente podría ser algo invocado por Flash.

Cubre tu cámara. Haga clic derecho en una ventana del reproductor de YouTube. Haga clic en configuración . ¿Ves el globo ocular en una imagen de TV? Haz clic y denega el acceso a tu cámara.