Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

ASSA*SIN*: ¿Nace una nueva generación de troyanos?
 
VSantivirus No. 731 - Año 6 - Lunes 8 de julio de 2002

 ASSA*SIN*: ¿Nace una nueva generación de troyanos?
http://www.vsantivirus.com/mr-assasin.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy

Cada día es más fácil (si no tomamos precauciones) que los troyanos infecten ordenadores y permitan así el control remoto por parte de una persona no autorizada.

Siempre he pensado que los troyanos eran más apropiados en un principio para un uso lúdico que para un espionaje real.

Si nos paramos a observar las funciones de los primeros troyanos, contenían frivolidades como abrir y cerrar la unidad de CD-ROM, encender y apagar la pantalla, mover el ratón, bloquear teclas, inserción de mensajes en la pantalla, etc. Sin duda eran diseñados por adolescentes que buscaban un poco de diversión en ordenadores ajenos. 

Pero los programadores de troyanos se hacen mayores y los objetivos cambian. Ahora el troyano está más "preparado" para espiar ordenadores y esto debería preocuparnos.

La transferencia de archivos se ha perfeccionado mucho, pueden loguear todas las pulsaciones de nuestras teclas en un archivo y luego volcarlo al cliente del troyano cuando esté online (keylogger), capturan pantallas en la máquina de la víctima, capturan la imagen de la Web-Cam, archivan todas las URLs que la víctima haya visitado, etc.

Podemos afirmar que hoy en día hay troyanos que gestionan profesionalmente otra máquina desde Internet. Son muy pocos los que realmente cumplen su función sin fallos, lo admito, pero ya existen y ello es preocupante.

El problema para adaptar los troyanos al espionaje más serio era lo que yo llamo "el conflicto de la doble IP".

Sabemos que los ordenadores de las empresas (a priori los más golosos para un espionaje serio) suelen estar parapetados en redes LAN bajo proxies o routers.

Esto hacía que el atacante se encontrara con dos IPs en la notificación del troyano. ¿Cuáles eran esas dos IPs?. Pues cabalmente la IP del ordenador infectado que solía tener una IP del tipo 192.168.x.x (donde x es cualquier valor desde 0 hasta 255), y de otra parte teníamos la IP del router o del proxy, que podía ser cualquiera.

Si analizamos el caso detenidamente, observamos que la primera IP (192.168.x.x) es ficticia; es decir, no existe más que en esa red LAN pero no es real en Internet. En cambio la segunda (la que se le asigna al proxy) sí que es real en Internet.

¿Por dónde entraba el atacante entonces: por la primera o por la segunda?. Por ninguna de las dos. Sencillamente no podía acceder y ahora les explico la razón.

La IP del proxy obviamente era accesible desde Internet pero el puerto que abría el troyano no lo abría en el proxy sino dentro de la red LAN. Quiere esto decir que si el troyano era el Sub 7 y abría el puerto 27374 en el ordenador, cuando el cliente de Sub 7 intentara acceder a ese puerto en el proxy, se encontraba que dicho puerto estaba cerrado.

Ante este imponderable aparentemente insoslayable, los troyanos sólo atacaban ordenadores personales de escasa importancia por lo general.

Algunos programadores ya empezaban a relacionar estos programas con herramientas de ociosos lammers (personas que no les interesa aprender sino que sólo buscan aprovecharse del trabajo de los que realmente saben para causar daño).

Inmediatamente se produjo una reacción en contra del carácter frívolo de los troyanos y algunos programadores empezaron a "profesionalizar" estos programas. Destaco por su profesionalidad el trabajo de los programadores del troyano Lithium.

Aunque no fue en Lithium donde se dio el paso más importante para la profesionalización de los troyanos. Han sido los programadores del grupo de hackers de Evil Eye Software quienes han solucionado el problema de los troyanos que afectan a redes LAN.

La idea es muy sencilla pero hasta ahora nadie la había llevado a la práctica.

Se basa en las llamadas "Outgoing Connections" (Conexiones Salientes).

¿Qué sucede cuando un ordenador de una red LAN quiere acceder a Internet?. Pues que la información sale a través del proxy hacia Internet. Nada detiene el proceso.

Y también sabemos que una vez que accedemos a Internet desde una LAN podemos descargar todo tipo de archivos en nuestro ordenador. ¿Y si el troyano simulara ese mismo proceso?.

Exactamente ésa es la idea. Para ello el único requisito que se le exige al atacante es que tenga una IP fija para que el troyano siempre conecte con esa IP y ponga en contacto el servidor con el cliente. En los demás troyanos la conexión era entrante, puesto que era el cliente el que acudía al servidor para manejarlo. Ahora es el servidor el que acude al cliente. Es la manera perfecta de esquivar Proxies y Routers. El primer troyano de este tipo se llama Assa*Sin* (al menos eso aseguran sus programadores). 

He de decir para la tranquilidad de los administradores de sistemas de redes LAN que Assa*Sin* ya es detectado por los principales antivirus del mercado, pero es obvio que este troyano ha abierto una nueva puerta para una nueva generación de troyanos que podemos ver a partir de ahora.

Aún tiene pocas funciones implementadas, pero si le suman algún día las funciones de su homólogo Optix Pro 1.1, podemos ver un troyano muy potente que puede hacer estragos. Entre las funciones que posee destaco las siguientes:

1. Información del sistema infectado (Sistema Operativo, memoria, CPU, minutos en Windows, etc.).

2. Recaba información de las URLs visitadas.

3. Dirige a la víctima a la URL indicada por el atacante.

4. Puede deshabilitar múltiples antivirus (ver artículo publicado en VSAntivirus: "Troj/Backdoor.Assasin. Acceso remoto y borrado de AV"), aunque esta función es opcional cuando el atacante edita el servidor del troyano.

5. Posee también notificaciones por ICQ y PHP (probablemente sea el primer troyano en el mundo que use este método novedoso, ya que otros utilizan normalmente el CGI).

6. Carga y descarga todo tipo de archivos en el ordenador de la víctima, pudiendo servir para modificar o borrar archivos fundamentales en la máquina de la víctima, o para inocular otros virus o troyanos en el sistema que infecta.

7. Posee un Keylogger incorporado que loguea todas las pulsaciones de la víctima.

8. Detalla todos los procesos en el ordenador infectado y puede detenerlos a voluntad.

9. Puede editar el registro de Windows con suma facilidad.

10. Captura imágenes desde la Web-Cam de la víctima.

11. También puede capturar la pantalla en un momento determinado por el atacante.

12. Permite chatear con la víctima.

13. Puede eliminar con el llamado "Exe Killer" los ejecutables que le indique el atacante.

14. El puerto que utiliza es por defecto el 5695, aunque el atacante puede cambiarlo a su antojo.

15. También puede elegir el atacante la entrada en el registro que llevará el troyano, así como el nombre del archivo. El mensaje de error que puede generar una vez activado el servidor (a voluntad del atacante también) es fácilmente editable y puede ser cualquiera. 

16. Posee también funciones lúdicas de escasa importancia como envío de mensajes en pantalla, abrir y cerrar el CD-ROM, esconder el reloj, apagar y encender el monitor, mostrar o esconder la barra de tareas, mostrar y esconder el menú de Inicio, cambiar de mayúsculas a minúsculas (y viceversa) en el teclado de la víctima, etc.

En definitiva, Assa*Sin* es un troyano que tiene las funciones básicas de cualquier troyano actual, pero con una peculiaridad que lo hace muy especial: puede atravesar Proxies y Routers en redes LAN. 

La mejor solución siempre pasa por actualizar nuestros antivirus y proveernos de un buen cortafuegos. Aunque en futuros artículos reflexionaremos sobre la seguridad (a veces insuficiente) que nos proporcionan tanto antivirus como cortafuegos ante las nuevas amenazas en materia de troyanos.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador a partir de este artículo de VSAntivirus.com.


Referencias:

Troj/Backdoor.Assasin. Acceso remoto y borrado de AV
http://www.vsantivirus.com/back-assasin.htm

Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm

Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
http://www.vsantivirus.com/bg2.htm

Troj/Optix.svr. Pequeño troyano de acceso remoto
http://www.vsantivirus.com/optix-svr.htm

Optix Lite. Deshabilita conocidos cortafuegos y antivirus
http://www.vsantivirus.com/optix.htm

Troj/Backdoor.Assasin.C. Elimina antivirus
http://www.vsantivirus.com/back-assasin-c.htm

ASSA*SIN* v1.1: Nueva versión de un troyano innovador
http://www.vsantivirus.com/mr-assasin11.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS