Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
D.I.R.T. El Spyware desenmascarado en la red
|
|
VSantivirus No. 619 - Año 6 - Lunes 18 de marzo de 2002
D.I.R.T. El Spyware desenmascarado en la red
http://www.vsantivirus.com/dirt.htm
Por José Luis López
videosoft@videosoft.net.uy
[Actualización de un artículo del 7 de junio de 2001]
En setiembre de 1998, advertíamos de este troyano, llamado D.I.R.T. (siglas para Data Interception by Remote Transmission).
En esa oportunidad, en nuestro boletín VSantivirus
No. 66, en el artículo "Espías en el teclado", nos preguntábamos si era correcto o legal utilizar herramientas de este tipo (también
habíamos caído en creer la historia), pero en un boletín siguiente revelábamos la verdad
(VSAntivirus
No. 67, "La suciedad en D.I.R.T.").
Recordemos primero que troyanos como Back Orifice y NetBus, fueron catalogados por sus creadores como herramientas para conectarse a otras computadoras y obtener parte de su control, además de datos de la misma. El "pequeño" detalle es que podían hacerlo sin que supiera el dueño de la computadora "visitada".
D.I.R.T. es algo similar, con algunas diferencias. Primero, parece estar sólo disponible para agentes de la ley, militares y organismos gubernamentales.
Sus creadores aseguran que los investigadores que lo usen sólo necesitan saber la dirección e-mail de la víctima para instalar este programa en secreto. Una vez hecho esto, ellos pueden leer sus documentos, ver sus imágenes, bajar sus archivos e interceptar sus datos encriptados.
D.I.R.T. fue desarrollado concretamente para ayudar a las fuerzas de la ley en sus investigaciones por delitos de pedofilia en la red, pero sus usos futuros podrían incluir investigaciones de droga, casos de lavados de dinero e información de guerra. Al menos eso decía la primera versión (allá por el 98).
Veamos algunos detalles. Primero, ¿por qué es diferente D.I.R.T. a otro troyano?. La venta de D.I.R.T. es restringida, mientras los demás troyanos pueden conseguirse fácilmente en la red.
Por otra parte, prácticamente todos los troyanos pueden ser identificados por la mayoría de los antivirus, o interceptados por un buen cortafuego. Sin embargo, el D.I.R.T. asegura que no existe ninguna manera conocida de defenderse de él. Y que además, es capaz de burlar a cualquier muro de fuego. Tal vez al no ser tan divulgado, algunos antivirus no lo tengan en sus bases de datos. Pero no podría burlar a un cortafuegos como el Zone Alarm por ejemplo.
La mayoría podría sentirse seguro cuando encripta de algún modo su información más crítica o reservada, pero esto es un falso consuelo si existe un programa que monitorea e intercepta las teclas pulsadas. Según se menciona en su página, D.I.R.T. pudo vencer en minutos al conocido código PGP (Pretty Good Privacy), simplemente robando la clave del usuario cuando este la escribió en su teclado.
También clama poder enviar código oculto a la computadora seleccionada como blanco, usando lo que Codex denomina "The D.I.R.T. Bug Generator".
El tema ético de todo esto, es que algunas empresas podrían considerar este tipo de programas un legítimo apoyo para cuidar su seguridad, monitoreando lo que sus empleados hacen.
Pues bien, aunque D.I.R.T. sí existe como programa, todo lo demás es un simple y vulgar engaño, catalogado como estafa. A este tipo de bulo, se le denomina SCAM.
D.I.R.T. es realmente un programa que actúa como caballo de Troya, del mismo modo que programas como el Back Orifice, el NetBus o el SubSeven entre otros, y que una vez instalado en una computadora permite transmitir a quien lo controla un registro de todas las teclas pulsadas en ella, a través de un e-mail enviado secretamente.
Por otra parte, una de las características de este producto, es que no está al alcance de cualquiera, sino de quien lo compre. Está disponible en el sitio de la empresa Codex Data
Systems (http://www.codexdatasystems.com/)
Pero como decíamos, el producto no posee todas las características que dice tener. La verdad es que D.I.R.T. es fácilmente identificable como caballo de Troya por casi cualquier antivirus. Pulsando CTRL+ALT+SUPR también aparece en la lista de tareas en ejecución.
En otras palabras, es un engaño, un HOAX, un simple programa, que si bien puede interceptar y guardar lo que se teclea y transmitirlo a un usuario remoto predefinido vía e-mail, solo
podría engañar a quienes no utilizan nunca un antivirus.
Detrás de la verdadera historia de D.I.R.T., se encuentra Francis Edward "Frank" Jones, un vulgar estafador que ha sido procesado por la posesión ilegal de dispositivos de vigilancia. También fue acusado de traficar y conspirar con estos dispositivos. Pero llegó a un acuerdo para declararse culpable por la simple posesión, y el gobierno americano retiró los otros dos cargos.
La pena que obtuvo, fueron más de trescientas horas de servicios a la comunidad y una libertad vigilada de hasta cinco años. La razón, es que la corte dictaminó que Jones poseía un "defecto mental" que hacía que no fuera responsable de muchos de sus actos. También le han exigido participar de un programa de terapia para su salud mental, que por los acontecimientos vistos, parece no haber dado muy buenos resultados.
Con D.I.R.T., Jones no intenta más que engañar a incautos usuarios que terminarían pagando por un producto que no hace lo que dice hacer.
Pero su historia de engaños y estafas es mucho más amplia.
Jones es un verdadero artista del SCAM, sobre todo en la venta de dispositivos de seguridad y vigilancia. Aprovecharse del atentado terrorista del 11 de setiembre, para cambiar la página de inicio de su sitio, y ofrecer su producto "en forma gratuita a todo organismo gubernamental que lo solicite", demuestra su claro "oportunismo", ya que tras ese golpe de efecto, el precio del D.I.R.T. para aquellos usuarios privados que lo soliciten había aumentado.
Jones ha creado incluso una leyenda de si mismo (http://www.spyking.com/spyking.html), con datos falsos.
Por supuesto, D.I.R.T. hace parte de lo que dice hacer (interceptar y enviar información de la computadora infectada). Pero no posee ninguna sutileza técnica para permanecer invisible ante antivirus y cortafuegos.
D.I.R.T. es solo una herramienta de administración remota que funciona como cualquier otro troyano, sin ninguna otra característica a resaltar, salvo que es el invento de un personaje famoso, pero por su largo historial de fraudes.
En estos días, el código del D.I.R.T. ha sido publicado completo en una página Web, incluida una copia que no requiere código de habilitación (ver Referencias).
Estos son algunos datos para buscar evidencias de este troyano en un sistema infectado (y para borrarlo si estuviera allí):
Archivos que instala D.I.R.T.:
C:\WINDOWS\DESKTOP.EXE
C:\WINDOWS\DESKTOP.DLL
En febrero de 2002, el D.I.R.T. fue incorporado a la base de datos de TrendMicro y otros antivirus, siendo conocido como Troj/PSW.Johar o JOHAR.
Relacionados:
VSantivirus No. 619 - 18/mar/02
Troj/PSW.Johar. Troyano liberado por el D.I.R.T.
http://www.vsantivirus.com/johar.htm
Referencias:
http://online.securityfocus.com/news/354
http://cryptome.org/dirty-hope.htm
http://cryptome.org/dirt-feedback.htm
http://cryptome.org/dirty-jones.htm
http://www.attrition.org/errata/www/vf1/jones.txt
http://www.theregister.co.uk/content/55/24433.html
http://cryptome.org/dirt-guide.htm
http://www.theregister.co.uk/content/4/19480.html
http://cryptome.org/DIRT-bags.htm
http://cryptome.org/dirty-secrets2.htm
http://cryptome.org/dirty-lantern.htm
http://cryptome.org/dirty-jones.htm
http://jya.com/DIRT-spy.htm
Ver también:
22/set/98 - VSAntivirus #66
30/set/98 - VSAntivirus#67
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|