Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
ASSA*SIN* v1.1: Nueva versión de un troyano innovador
|
|
VSantivirus No. 759 - Año 6 - Martes 6 de agosto de 2002
ASSA*SIN* v1.1: Nueva versión de un troyano innovador
http://www.vsantivirus.com/mr-assasin11.htm
Por Marcos Rico (*)
marcos@videosoft.net.uy
En un artículo anterior comentábamos en VSAntivirus las propiedades de este troyano que puede atravesar redes LAN superando el problema de la doble IP.
Por primera vez un troyano era capaz de aprovecharse de las Outgoing Connections que establecen todos los ordenadores parapetados tras una LAN (ya sea a través de software o de hardware) cuando acceden a Internet.
No era un troyano especialmente preocupante por su propagación; más bien era interesante por sus cualidades técnicas. Sin lugar a dudas la idea de superar una red LAN basándose en la IP estática del atacante (que podía conseguir también mediante un dominio DNS adaptado a la IP variable) era brillante, aunque las verdaderas intenciones que se ocultaban tras la idea eran perversas.
Ahora hemos recogido de Internet la nueva versión de Assa*SIN*. Hablamos de la
1.1. Realmente varía muy poco con respecto a la anterior. Apenas unas funciones más y el servidor no lo encontramos como
server.exe (lo más normal en un troyano): en este caso lo hallamos bajo una extensión distinta,
server.lom.
He de señalar que el verdadero servidor, no obstante, es server.exe (que no aparece en el archivo comprimido donde están todos ficheros del troyano). Éste se forma a partir de
server.lom y tiene sus mismos bytes, es decir, 211 Kb sin comprimir. Normalmente si un antivirus detecta el archivo
server.lom, debe detectar también el verdadero servidor; y así he comprobado que sucede.
Para conocer todas las funciones de Assa*SIN* les remito a dos artículos anteriores publicados en VSAntivirus. Aquí sólo incluiré las nuevas funciones:
1. Posee un novedoso sistema de notificación basado en el popular sistema de mensajería MSN. Puede que sea el primer troyano con este innovador método. Desde luego parece peor que el método por ICQ porque MSN no guarda las notificaciones, por lo que el atacante habrá de permanecer en todo momento online si desea recibir las llamadas del servidor de
Assa*SIN*.
Destaco también la protección con encriptación MD5 de las notificaciones que salen del ordenador de la víctima. Esto está pensado para evitar un posible
sniffer que la víctima utilizara para conocer los datos que salen de su ordenador, entre los que se podría encontrar la contraseña de una de las cuentas de Hotmail abierta por el atacante.
He de recordarles que la única posibilidad de usar MSN para las notificaciones pasa por abrir dos cuentas y así engañar al sistema de MSN haciéndole creer que la notificación proviene de otro usuario, cuando en realidad la otra cuenta la abrió el mismo atacante. Otro peculiar método que probablemente inaugura también este singular troyano.
2. La anterior versión poseía también un novedoso sistema de notificación por PHP. Al parecer tenía unos fallos que ahora han sido corregidos en la nueva versión.
3. Nuevo sistema de espionaje en Assa*SIN* v1.1 llamado
Network Manager. Básicamente está hecho para que el atacante tenga a su disposición todas las carpetas de recursos compartidos por el ordenador que integra la red LAN. De esta manera podría atacar muchos otros ordenadores de la red LAN simplemente infectando uno de ellos.
4. Además del conocido sistema de autoinicio de Assa*SIN* v1.0
que agrega el valor Ms Spool32 (editable por el atacante) a la clave de registro
'HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion
\Run', con la subllave TVP,MGNEYU4 en la llave de registro 'HKEY_LOCAL_MACHINE
\Software\'.
En esta nueva versión (Assa*SIN* v1.1) sus programadores incluyen un nuevo sistema que oculta los valores en la clave del registro. Esto lo consiguen borrando el valor de autoarranque una vez el servidor se haya ejecutado en el inicio de la sesión.
El valor de la clave (Sv Host) se autorrecuperará cuando el usuario apague el ordenador. De esa forma es muy difícil saber lo que pasa en el registro. No obstante este método no es muy seguro porque hay un truco muy fácil para evitar que el troyano autoarranque de esa manera; simplemente apagando el ordenador de forma violenta (corte del suministro eléctrico). Así no se guardará el valor de la clave otra vez y en el próximo inicio no aparecerá el troyano.
5. El keylogger se presenta más rápido y eficiente en la bajada de datos.
Aquí les presento un análisis que he realizado con algunos antivirus
(05-08-2002):
Dr. Web: Detectado como BackDoor.Assasin.11 en todos sus archivos (client.exe, server.lom, gdll.dll, cdll.dll e incluso en server.exe cuando es comprimido con UPX).
AVP: Detectado también como BackDoor.Assasin.11 en todos sus archivos (client.exe, server.lom, gdll.dll, cdll.dll e incluso en server.exe cuando es comprimido con UPX). Una vez más AVP sigue siendo muy rápido en la detección de troyanos, como así es reconocido entre los programadores de estas amenazas.
McAfee: Detectado en un principio en el análisis heurístico profundo el archivo server.lom, así como el server.exe generado. El nombre con el que McAfee lo detectaba desde el primer momento era New BackDoor 1. Con la actualización del día 5 de agosto, McAfee incluyó en su base de virus la nueva variante del Assa*SIN* y ahora detecta todos sus archivos (cliente, librerías dll y servidor) como BackDoor-AGS. Quiero destacar la gran mejoría del motor heurístico de McAfee para detectar troyanos. Estoy muy gratamente sorprendido por su eficacia. Probablemente disponga del mejor motor heurístico del mercado para la detección de troyanos.
NOD32: No detecta ninguno de los archivos. El gran talón de Aquiles de NOD32 sigue siendo la detección de los troyanos.
Tauscan: No detecta ningún archivo.
Panda: No detecta ninguno de los archivos.
Anti-Trojan: No detecta nada.
Es muy curioso que los productos específicos para troyanos (Tauscan y Anti-Trojan) sean más lentos en su especialidad que los propios antivirus que se tienen que ocupar de más amenazas. Esto nos hace reflexionar sobre la verdadera utilidad de estos programas.
Assa*SIN* v1.1 es un troyano programado por dos jóvenes británicos de 16 y 17 años. No representa una gran amenaza para los internautas en general, pero sí es conveniente que los administradores de redes LAN estén advertidos de su presencia, pues está concebido para espiar éstas.
Para evitar la infección con Assa*SIN* v1.1 actualicen sus antivirus y protéjanse con un buen cortafuegos como
ZoneAlarm.
(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador a partir de este artículo de VSAntivirus.com.
Referencias:
ASSA*SIN*: ¿Nace una nueva generación de troyanos?
http://www.vsantivirus.com/mr-assasin.htm
Troj/Backdoor.Assasin. Acceso remoto y borrado de AV
http://www.vsantivirus.com/back-assasin.htm
Troj/Backdoor.Assasin.C. Elimina antivirus
http://www.vsantivirus.com/back-assasin-c.htm
Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm
Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
http://www.vsantivirus.com/bg2.htm
Troj/Optix.svr. Pequeño troyano de acceso remoto
http://www.vsantivirus.com/optix-svr.htm
Optix Lite. Deshabilita conocidos cortafuegos y antivirus
http://www.vsantivirus.com/optix.htm
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Glosario
Outgoing Connections - Conexiones salientes
Sniffer - Rutina o programa que monitorea y analiza el tráfico de una red para detectar problemas o cuellos de botella. Su objetivo es mantener la eficiencia del tráfico de datos. Pero también puede ser usado ilegítimamente para capturar datos en una red.
Keylogger - Rutina que intercepta todas las pulsaciones realizadas en el teclado, y las guarda en un archivo para obtener datos sensibles como contraseñas, etc. Este archivo puede ser enviado por un troyano a un atacante.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|