Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Malantern (Danschl). Simula ser el Linterna Mágica
 
VSantivirus No. 522 - Año 6 - Miércoles 12 diciembre de 2001

Nombre: Troj/Malantern
Tipo: Caballo de Troya
Alias: Win32.Danschl.A, Malantern, Danschl.A, W32/Malantern
Tamaño: 24 Kb

Magic Lantern (o Linterna Mágica), es el nombre de una supuesta herramienta del FBI, que robaría las contraseñas de todo sospechoso, que usara correo electrónico encriptado para sus comunicaciones. Linterna Mágica podría enviarse como un adjunto a un mensaje aparentemente inocente.

Aprovechándose de algunas vulnerabilidades, podría incluso instalarse sin el conocimiento del destinatario, y a partir de allí capturar las contraseñas usadas por el supuesto terrorista, enviándolas a las oficinas del FBI.

Linterna Mágica sería parte de un programa más complejo de vigilancia, llamado Cyber Knight (Caballero cibernético), el cuál incluiría una base de datos que permitiría al FBI cruzar información proveniente de e-mails, salas de chat, mensajeros instantáneos tipo ICQ y llamadas telefónicas por Internet.

Troj/Malantern o Danschl.A, es un troyano escrito en Visual Basic por un adolescente argentino, cuya característica más importante, es la de mencionar en varias pantallas y textos, al Linterna Mágica del FBI (como Magic Lantern), simplemente para aprovecharse de la conmoción provocada en la opinión pública por aquel.

El sencillo troyano posee características destructivas, e intenta engañar a su víctima.

La primera copia del Danschl.A detectada llevaba por nombre IEPATCH.EXE, para simular ser un parche proporcionado para el Internet Explorer de Microsoft. Para hacer más creíble su procedencia, las propiedades del archivo IEPATCH.EXE también muestran valores relacionados con Microsoft:

IEPATCH.exe Propiedades

Versión: 1.00
Descripción: IE Security Patch
Copyright: Copyright (C) 1992-2002 Microsoft Corp.

Más información de versión

Comments:

This patch fixes a bug that
could let hackers steal
cookies via IP scanning.

Escrito en Visual Basic 6, en versiones de Windows anteriores al Me, requiere la presencia de la librería (runtime), MSVBVM60.DLL, además de las últimas versiones de OLE2. Millenium y superiores la incluyen por defecto.

Si se ejecuta, el troyano borra el directorio C:\WINDOWS\TEMP y todos sus archivos, y crea estos nuevos directorios:

C:\WINDOWS\Magic Latern
C:\WINDOWS\FBI software
C:\WINDOWS\John ASScroft
C:\WINDOWS\Bill Gatez
C:\WINDOWS\Desktop\666
C:\WINDOWS\Desktop\Bin Laden
C:\WINDOWS\Desktop\666 WTC
C:\WINDOWS\Desktop\Magic Fuckers
C:\WINDOWS\Desktop\Agentlinux
C:\WINDOWS\Desktop\iFuckedYourWife
C:\WINDOWS\Desktop\Biohazard Virii

Luego borra también todos los archivos correspondientes a los drivers instalados (.SYS) del directorio C:\WINDOWS\SYSTEM32\DRIVERS\

Todos estos caminos están escritos en el código (no son variables ni son extraídos del sistema) por lo tanto no funcionaría si Windows estuviera instalado con otro nombre o en otra ubicación. Algunos no existen en la versión en español de Windows.

Luego de ello, muestra esta ventana de mensajes:

Thank you for using Microsoft

[    OK    ]

Cuando el botón [ OK ] de esta pantalla es pulsado, se despliega otra pantalla donde hace referencia al Linterna Mágica, haciéndose pasar por este troyano, y advirtiendo al usuario que el mismo ha sido instalado en el sistema, en un claro tono humorístico.

La primera información sobre el troyano Magic Lantern, habla de él como un virus, y en este texto se repite el error semántico, puesto que no se trata en realidad de un virus (capacidad de infectar y reproducirse), sino de un troyano: 

  FBI                        -=Magic Lantern=-                             FBI


   Oh no -this is a VIRUS coded by the FBI  *this virus was installed because
   you are a fucking criminal* we will now watch what u do =if you don't want
   us "FBI Agents" to watch you please give us a call


   we are watching you -when you fuck,sleep,eat HAHAHAHAHAHA-


   This Virus was coded by JORDAN SCHLOSS aka Agentlinux  of the NSA


  FBI                     [ Who is -=Agentlinux=- ]                        FBI

[  Who is -=Agentlinux=-  ] es un botón (Quien es Agentlinux), y si es pulsado, el troyano muestra varias cajas de mensajes que se van sucediendo (todas con un botón de [ OK ]) con estos textos:

IEpatch
(c) 2001-2002 Agentlinux --tHe hAcKeR--

[     OK     ]


IEpatch
Agentlinux@hotmail.com

 [     OK     ]


IEpatch
Age:17 [12/10/84]

 [     OK     ]


IEpatch
i made this VIRUS 2 fuck the FBI project up!!

 [     OK     ]


IEpatch
don't try to find me -U CAN'T-

 [     OK     ]


IEpatch
if u do you won't have any Evidence anyway

 [     OK     ]


IEpatch
HAHAHAHAHAHAHAHAHAHAHAHAHAHA

 [     OK     ]


IEpatch
i am a Crypto Expert

 [     OK     ]


IEpatch
using RSA Encryption Software coded by me

 [     OK     ]


IEpatch
so there ain't no fuckin back doors!!

 [     OK     ]

Después de pulsar el último botón de [ OK ], aparece la ventana grande del Magic Lantern que vimos antes, repitiéndose el bucle si se pulsa en el botón [ Who is -=Agentlinux=- ], único botón disponible.

Para salir de esta situación se debe pulsar CTRL+ALT+SUPR para que aparezca la lista de tareas, se debe marcar la entrada "IEpatch", y pulsar en [ Finalizar tarea ].

No existen reportes de este troyano, salvo la de algunos fabricantes de antivirus, que lo recibieron para su examen. No posee ninguna rutina para propagarse por si solo, pero nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.

También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc.

El explotar un tema de reciente notoriedad, puede facilitar su circulación.

Para limpiar un sistema infectado, ejecute un antivirus y borre el archivo identificado como el troyano.

Si se borraron archivos vitales por la acción del troyano, se deberá reinstalar Windows.

Ver también:

VSantivirus No. 522 - 12/dic/01
Aparece troyano que se hace pasar por Linterna Mágica
http://www.vsantivirus.com/12-12-01.htm 


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS