Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Optix Pager V2.0: ¿Traspasa Cortafuegos?
 
VSantivirus No. 735 - Año 6 - Viernes 12 de julio de 2002

 Optix Pager V2.0: ¿Traspasa Cortafuegos?
http://www.vsantivirus.com/mr-analisis-optix2.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy

Todos sabemos que el principal enemigo de los troyanos son los cortafuegos. De poco serviría un troyano indetectable si el cortafuegos corta la comunicación del cliente con el servidor y, en algunos casos, incluso loguea la IP del atacante, dejando su identidad al descubierto (a menos que el atacante se valga de Bouncers, Proxies, etc.).

Es por ello que tenían que reaccionar los programadores de troyanos más tarde o más temprano.

La primera reacción realmente fue en una dirección equivocada. Troyanos como Theef fueron pioneros en implementar una función muy poco recomendable que consistía en eliminar de raíz la ejecución de los cortafuegos más conocidos.

Era una táctica muy poco imaginativa (que, por cierto, aún usan muchos troyanos y gusanos en la actualidad para eliminar también los antivirus) porque el usuario se apercibía inmediatamente de que el icono de su cortafuegos había desaparecido y los programas que accedían a Internet ya no le pedían permiso.

El atacante tenía que ser muy rápido con el troyano. El único tiempo de que disponía se lo concedía la breve confusión de la víctima que, entre la sospecha, el estupor y la extrañeza, se quedaba unos minutos conectada a Internet hasta que decidía desconectarse e intentar instalar otra vez su cortafuegos.

Otros programadores optaron por métodos más sutiles de eludir la acción vigilante de los cortafuegos. Mención destacable para el troyano Tron que fue posiblemente el primero en esquivar la férrea vigilancia de ZoneAlarm y Tiny (probablemente los dos mejores cortafuegos de la actualidad). En VSAntivirus se detalló muy bien el problema en otro artículo sobre el protocolo TCP/IP y los paquetes de información no reconocidos por ZoneAlarm.

Pero ese método también es inútil ya para casi cualquier cortafuegos actualizado.

Tron es ahora un troyano que no tiene más importancia que la que tuvo en su momento por poseer esa curiosa función que aprovechaba un bug de ciertos cortafuegos como ZoneAlarm.

Ahora la investigación va por otra parte. Básicamente se basa en adosar el programa maligno a un programa totalmente funcional e inofensivo que acceda a Internet en el ordenador de la víctima. Esto no significa eliminar el programa legítimo para falsificarlo con el nuevo: por ejemplo, si tenemos un archivo llamado cuteftp.exe que corresponde al celebérrimo cliente de FTP, un troyano puede borrar ese archivo legítimo y usurpar su nombre y posición en el directorio correspondiente. No me estoy refiriendo a esto que ya es muy conocido.

Yo me refiero a algo parecido a lo que sucede cuando actualizamos algunos programas: Nos descargamos un archivo de Internet que luego ejecutamos y automáticamente se adhiere al archivo original del programa que teníamos instalado.

Pues bien, imagínense Uds. que un troyano se adhiera al Internet Explorer (por ser el navegador más usado en el mundo) y permanezca hibernado en su interior hasta que la víctima decida navegar por Internet. En el momento que el navegador quiera salir a Internet, el cortafuegos le dará paso puesto que lo hemos configurado para que le pueda dar paso al Internet Explorer.

Efectivamente nosotros no sospecharemos nada porque el navegador funcionará como de costumbre. Al mismo tiempo el troyano estará en comunicación con el atacante y éste podrá fisgonear y manipular el ordenador de la víctima.

Optix Pager v2.0 cumple cabalmente esta función. No es un troyano: rigurosamente hablando es un notificador, es decir, un pequeño programa que notifica la IP y el puerto abierto en el ordenador de la víctima cuando ésta se conecta.

Obviamente el notificador debe ir acompañado de un troyano para que cause ciertamente daño a la víctima.

Optix Pager v2.0 configura automáticamente el servidor para parasitar en el interior del Internet Explorer, pero el atacante puede elegir el programa que desee con parámetros fáciles de manejar en el editor como:

<windir> Directorio de Windows.
<sysdir> Directorio de sistema.
<windir drive> Unidad referida (D: C: etc.).
<progra dir> Directorio de archivo de programas.

Obviamente si el atacante persigue tener éxito con el notificador, lo mejor es dejar los valores por defecto. Así que rara vez nos encontraremos con otro programa parasitado que no haya sido el Internet Explorer. Con este programa (el IE) la ruta es facilísima: <progradir>\Internet Explorer\Iexplore.exe.

El editor de Optix Pager v2.0 permite asimismo configurar el nombre del notificador cada vez que Windows se inicie, la entrada en el registro del notificador, el nombre de la víctima, el tiempo de reenvío de notificaciones para advertir un cambio de IP, el número del ICQ (o UIN) del atacante, el nombre del troyano que acompaña al notificador, el puerto que ha abierto el troyano y, por último, la clave que lleva el troyano para evitar cualquier extravío de la misma por parte del atacante.

El nombre del servidor una vez en el ordenador de la víctima es por defecto booter.exe. La clave que deja en el registro es <system rebooter>. Obviamente estos valores nos indican más bien poco si queremos desinfectar nuestro ordenador porque son editables por el atacante. 

Optix Pager v2.0 es, a pesar de todo, un notificador más bien mediocre.

Tiene un grave problema: 190 Kb (descomprimido) son demasiados para engañar a una víctima. A esto hay que sumar el tamaño del troyano que lo acompaña.

Tal vez lo más destacable en este notificador (o 'Pager') sea la idea de traspasar cortafuegos que llevan a la práctica con ingenio sus programadores.

¿Pero realmente traspasa los cortafuegos?. Esto desde luego no lo puedo confirmar con rigor. Mi conclusión es que sólo traspasa cortafuegos que no reconocen los programas originales bien. 

Un buen cortafuegos debe relacionar cada programa con un código distinto, único e intransferible. Es obvio que si modificamos un programa, el cortafuegos debe advertirlo.

ZoneAlarm identifica muy bien las modificaciones del código en los programas y nos alerta con un mensaje sobre fondo rojo que dice algo así como: Changed Program (Programa Modificado). Esto lo habrán advertido Uds. cuando han actualizado algún programa.

Pues si esto nos ocurre sin causa conocida, podemos sospechar que algo va mal. Lo mejor desde luego ante la duda es no dar paso a un programa cuyo código ha cambiado misteriosamente hasta que no averigüemos la razón.

He de decirles también que los antivirus más importantes ya detectan Optix Pager v2.0 y lo eliminan.

Como siempre el consejo más elemental pasa por actualizar los antivirus y utilizar los cortafuegos con un poco de sentido común. Sólo con estos dos mínimos consejos estaremos todos protegidos de amenazas de este tipo.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS