|
VSantivirus No. 767 - Año 6 - Miércoles 14 de agosto de 2002
Análisis del troyano Ghost 2.4
http://www.vsantivirus.com/ghost24.htm
Por Marcos Rico (*)
marcos@videosoft.net.uy
Ghost 2.4 es la nueva versión del troyano de Lame Joker. Ghost empezó con la versión 2.0; después llegaría la 2.1, 2.2, 2.3, 2.3 Ghost Mini-Server y ahora la que nos ocupa que ha salido con fecha del 12/08/2002.
Lame Joker es también conocido por realizar programas para mejorar nuestra seguridad en Internet como TSAD (¡para protegerse de los troyanos!) y Lock-Pc v2.2 (para proteger nuestro ordenador mediante password). Como vemos, es difícil saber qué es lo que mueve a un programador como Lame Joker para actuar con esa aparente contradicción.
Aún está en versión alpha, por lo que tiene algunas funciones que presentan errores.
Es un troyano poco interesante que está en la generación previa a los troyanos con notificación, es decir, no posee un editor del servidor. Esto para el atacante es un grave inconveniente y para la víctima supone un pequeño alivio, puesto que si dispone de IP variable, simplemente con desconectarse de Internet y volverse a conectar otra vez, habrá perdido de vista al atacante.
Este troyano está más bien indicado para usarse en el IRC, donde la víctima inmediatamente recoge el archivo y lo ejecuta. A partir de ese instante el atacante conocerá su IP (mediante Netstat, por ejemplo) y podrá entrar en su ordenador.
Tampoco debemos descartar otras opciones como que el atacante funda el servidor de Ghost 2.4 con un notificador y así ya disponga de todo el potencial de un troyano de última generación. O incluso lo que sucedía en la generación de troyanos como NetBus donde los atacantes empezaban a hacer barridos de puertos en busca de NetBus (aún se hacen, aunque parezca increíble). Ghost 2.4 también dispone de su scanner de puertos; en este caso el 9696, que es el que usa sin posibilidad de cambiarlo. Buscar una IP infectada así es como buscar una aguja en un pajar.
De cualquier manera Ghost 2.4 no posee nada que otro troyano no tenga y es más bien vulgar. Pasemos a describir grosso modo sus funciones:
1. Puede recabar información del servidor, así como cerrarlo, ocultarlo e incluso borrarlo.
2. Muestra y esconde el ratón, desliza o paraliza el ratón, deshabilita el teclado, activa o bloquea las mayúsculas, etc.
3. Tiene mensajes de insultos que el atacante puede enviar a la víctima, cierra ventanas activas, abre el bloc de notas, cuelga el ordenador, hace llamadas telefónicas, envía a la víctima a una URL determinada (por defecto, http://astalavista.box.sk), etc.
4. Envía mensajes editados desde el cliente, cambia la resolución de la pantalla del ordenador infectado, minimiza todas las ventanas, activa el protector de pantalla, etc.
5. Abre y cierra el CD, muestra o esconde el botón de Inicio, muestra o esconde la barra de tareas, muestra o esconde el reloj, activa un sonido a modo de "bip" en los altavoces de la víctima, cambia los colores de Windows, etc.
6. Puede deshabilitar la combinación de teclas para conocer procesos activos: Control + Alt + Supr, puede chatear con la víctima con la posibilidad de elegir un nick, el ratón puede volverse sin control, puede crear archivos inservibles en el ordenador infectado, etc.
7. Puede capturar el contenido del texto de las ventanas activas del ordenador infectado (por ejemplo, mensajes de ICQ, Messenger, e-mails, contraseñas, etc.).
8. Provoca el reinicio de Windows o simplemente su apagado.
9. Puede capturar pantallas, aunque este método falla en esta versión de Ghost.
10. Es capaz de detallar todos los procesos que corren en Windows y detenerlos.
11. Pueden realizarse dibujos desde el cliente y luego pasarlos al servidor, de tal manera que serían mostrados en la pantalla de la víctima.
12. Puede loguear en teoría todas las pulsaciones del ordenador infectado (keylogger).
13. Puede ejecutar comandos desde MS-DOS y añadirlos a autoexec.bat. Por defecto, esto nos encontramos en el cliente:
@echo off
cls
echo Fuck you ASSHOLE!
pause
14. Puede hacer de bouncer el servidor, por lo que si el atacante decide atacar otro ordenador, la IP que mostraría sería la del ordenador infectado con el servidor. A ese usuario irían en principio todas las culpas.
15. Posibilidad de transferencia de archivos entre el cliente y el servidor. Esto posibilita que el atacante puede introducir nuevos archivos en el ordenador de la víctima, o subir archivos desde éste, así como ejecutarlos o borrarlos.
He de destacar que algunas de las opciones de Ghost 2.4 que he probado no funcionan correctamente, así que en absoluto es un troyano fiable ni siquiera para el atacante.
Al no disponer de editor este troyano, es muy fácil identificar sus componentes una vez infectado nuestro ordenador. Por ejemplo, el nombre del servidor que deberemos localizar y borrar una vez infectados es
Run_cd.exe. La clave que deja en nuestro registro es Run_cd. El puerto principal de comunicación es el
9696 y el puerto para la transferencia de archivos es el
9697.
Una vez más la mejor recomendación pasa por no abrir archivos de procedencia dudosa y protegernos con un eficaz cortafuegos como ZoneAlarm. Es un troyano poco peligroso que no debería preocuparnos demasiado.
(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.
Relacionados:
Troj/Backdoor.Ghost24. Troyano de acceso remoto
http://www.vsantivirus.com/back-ghost24.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|