|
VSantivirus No. 746 - Año 6 - Miércoles 24 de julio de 2002
CyberSpy v8.4: Un servidor de Telnet que es un troyano
http://www.vsantivirus.com/mr-cyberspy84.htm
Por Marcos Rico (*)
marcos@videosoft.net.uy
En un principio, cuando ni siquiera existía la interfaz gráfica amistosa de la World Wide Web que todos conocemos ahora, los ordenadores en la Red se manejaban de una forma similar al MS-DOS, es decir, con líneas de comando.
Eran los tiempos de TELNET. Hoy día los nuevos internautas poco experimentados ni siquiera saben qué es TELNET. Sencillamente ha caído en desuso, lo cual no significa que haya desaparecido por completo.
TELNET básicamente conecta ordenadores en Internet. Es por tanto una herramienta para el control remoto de ordenadores que se encuentran físicamente alejados pero conectados a través de la Red.
Si una dirección normal de Internet (URL) empieza como http://*, en TELNET empezaría de la forma
telnet://*.
Sabemos que en TELNET hay clientes (equivalentes a los navegadores de Internet actuales) y servidores. El ordenador que contiene el Cliente de TELNET es denominado comúnmente Terminal. También se acepta por consenso que los Terminales se conectan con el Host (un ordenador más grande y complejo).
Esta pequeña introducción a TELNET nos sirve para entender el daño que puede realizar un programa como el que estamos analizando.
CyberSpy v8.4 es un servidor de TELNET. Ante todo quiero dejar bien claro que los servidores de TELNET son programas perfectamente legítimos que incluso podemos descargarnos de Internet para transformar nuestro ordenador en otro de los servicios de TELNET que proveen información en la Red.
Sabemos que hay excelentes servidores de TELNET como Fictional Daemon, Pragma TelnetServer, SLnet, VShell,
WAISS, etc.. Unos son gratuitos y otros son de pago, pero en cualquier caso son programas legales que cualquiera se puede bajar de Internet.
Un antivirus jamás detectará uno de esos programas legales, pero sin embargo sí que debería detectar este servidor de TELNET que aquí comento. ¿Por qué?
Una vez más la clave está en la forma de instalación del servidor de TELNET. Si para instalarse el servidor nos pide acceso en pantalla e incluso permite que lo configuremos, entonces podemos colegir que las intenciones del programador son buenas. En cambio, si observamos que el servidor de TELNET se instala de manera silente sin pedir datos al usuario, entonces podemos imaginar que las intenciones del programador del servidor de TELNET son perversas.
Esto último es lo que pasa cabalmente con CyberSpy v8.4. Otro dato que nos debe hacer desconfiar es que el servidor de TELNET viene acompañado de un Editor. Con este editor el atacante puede configurar los datos del Servidor sin necesidad de hacerlo en la propia máquina de la víctima.
Los antivirus con buen criterio suelen reconocer estos programas como amenazas. Ya conocemos los casos históricos de otros Servidores de TELNET como
Fire HacKer, Tiny Telnet Server - TTS y Truva Atl. Todos ellos se consideraron como código maligno y fueron detectados.
Pero entremos en detalles. ¿Qué podemos decir de CyberSpy
v8.4?
1. El nombre del archivo, una vez ejecutado en el ordenador de la víctima, es
Mswincfg32.exe; aunque es configurable a elección del atacante.
2. En el Registro de Windows deja la entrada Mswincfg. Una vez más he de decir que es editable la entrada a voluntad del atacante.
3. El puerto que utiliza por defecto es el 14194 en vez del más común para TELNET,
23.
4. Para notificar al atacante utiliza dos sistemas. El más usado es la notificación por ICQ. También acepta notificación por E-Mail.
5. Puede generar un falso mensaje de error en el ordenador de la víctima cuando ejecute el Servidor de TELNET. El mensaje por defecto (aunque editable) es el siguiente:
Fatal Error
This application requires at least
Microsoft Windows 95 to run!
6. Posee un pequeño Binder para fijar el Servidor a cualquier otro ejecutable. También es indetectable.
7. Tiene una función muy curiosa que aplaza la ejecución del Servidor de TELNET hasta la fecha elegida por el atacante. Por defecto la fecha es
4-6-2003, aunque la función no viene activada en el Servidor a menos que el atacante lo permita.
8. Para proteger aún más su invisibilidad en el ordenador de la víctima, sólo abre el puerto de escucha cuando la víctima está online. Esta función por defecto está desactivada.
9. Puede proteger el Servidor con una contraseña para que sólo el atacante pueda acceder al ordenador infectado.
10. Por último, otra función curiosa que posee es que puede falsear los datos del comando
Netstat cuando el Cliente de TELNET entre en conexión con el Servidor. Esto permitiría al atacante ocultar su IP a la víctima.
Es obvio que para conectar con CyberSpy v8.4 el atacante necesitará un cliente de TELNET legal. Con él tendrá control remoto sobre el ordenador de la víctima.
Las últimas pruebas realizadas a las 4:00 AM (horario de Europa) de hoy 24 de julio sobre la indetectabilidad de
CyberSpy v8.4 mostraban estos resultados:
- Dr. Web: Detectable como BackDoor Trojan
- McAfee: Detectable como BackDoor NT (tanto el Editor como el Servidor).
- Anti-Trojan: Indetectable.
- Tauscan: Indetectable.
- Norton: Indetectable.
- Panda: Indetectable.
- F-PROT: Indetectable.
- AVP: Indetectable.
- NOD32: Indetectable.
(Nota de Redacción: en el momento de la publicación de este artículo, la lista de antivirus que habían examinado la muestra enviada y publicado las actualizaciones ha aumentado, según se muestra al final).
Al no ser un programa que se autoenvíe por E-Mail, no es de alto riesgo, pero es nuestra obligación informar de todas las amenazas que encontremos por Internet.
Una vez más nuestro consejo apunta hacia la instalación de un buen cortafuegos en espera de la actualización correspondiente de nuestro antivirus.
(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.
Nota de Redacción:
A la hora de publicación de este artículo, teníamos respuestas y actualizaciones de Panda, McAfee, Norman, Kaspersky, eTrust (InoculateIT).
Referencias:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Glosario
BINDER - Pequeño programa que simplemente une dos o más archivos en un solo ejecutable. También es conocido como Joiner, Juntador, Trojan-Dropper, Dropper, etc.
DROPPER (cuentagotas) - Es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|