Fake Netstat: Engañando al más precavido

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

Fake Netstat: Engañando al más precavido
	VSantivirus No. 741 - Año 6 - Jueves 18 de julio de 2002 Fake Netstat: Engañando al más precavido http://www.vsantivirus.com/mr-fake-netstat.htm Por Marcos Rico () marcos@videosoft.net.uy Hace dos meses estaba navegando por Internet a la caza de virus y entré en una Web francesa sobre el troyano Sub7. Nada novedoso por allí, excepto un pequeño programa que no llegaba ni a 1 Kb. Su nombre era Fake Netstat* e inmediatamente llamó mi atención. ¿Qué era aquello?. La escasa documentación en francés no me calmó mucho la inquietud, así que decidí someterlo a varias pruebas. El resultado fue muy curioso. Como Uds. saben en Windows hay un pequeño archivo llamado Netstat.exe. La mayoría de la gente ignora ese archivo, así como muchos otros. En realidad si hacemos doble clic sobre él, nos aparece una pantalla de MS-DOS. En ella podemos ver los puertos que tenemos abiertos en nuestro ordenador y las direcciones IP a las que estamos conectados. Desde luego el método más usado (y recomendado) es acceder primero a MS-DOS (Inicio + Ejecutar y luego poner la palabra Command + Aceptar). Una vez en MS-DOS simplemente han de teclear el comando Netstat -a. Primero verán el protocolo (normalmente TCP y UDP), después el puerto de nuestro ordenador que tenemos abierto y, por último, la dirección remota a la que estamos conectados. Hay personas precavidas que cuando sospechan que pueden estar infectadas por un troyano o cuando simplemente creen que están siendo espiadas por alguien a través de Internet, recurren a este célebre comando de MS-DOS. He de advertirles que cuando estamos navegando por Internet es muy normal tener abiertos varios puertos, por lo que antes de pensar que estamos infectados debemos saber al menos qué aplicaciones están usando esos puertos. Al principio para una persona bisoña puede resultar difícil, pero cuando vamos familiarizándonos con los puertos comúnmente usados, advertiremos la apertura de un puerto inhabitual. Como digo, hay gente que recurre a MS-DOS para aliviar sus sospechas y esto lo saben los atacantes que usan troyanos. Claro, mi primera sospecha (obvia por otra parte) apuntó hacia un sustituto del archivo original de Windows Netstat.exe. Evidentemente la sospecha se hizo realidad cuando sustituí el archivo Netstat.exe por el falso Netstat que descargué de la Web francesa. Entonces observé que cuando hacía Netstat desde MS-DOS con el nuevo archivo siempre se abrían los mismos puertos independientemente de lo que estuviera haciendo en Internet. El archivo no era un virus ni un troyano, simplemente sustituía un archivo original de Windows con la idea de acompañarlo de un troyano y así ocultar el puerto que el troyano abría ante una investigación con Netstat. Fake Netstat fijaba los valores del comando Netstat sin tener en cuenta la actividad real de nuestro ordenador en Internet. Esto hacía posible abrir puertos en nuestro ordenador de manera subrepticia. ¡Que nadie piense que Fake Netstat es un complejísimo programa hecho por un gran cerebro de la programación!. En realidad es sencillísimo y su autor lo programó en dos minutos (de eso al menos presumía). He de decir que los antivirus muy acertadamente detectan hoy en día este programa. AVP lo reconoce como Trojan.Fakestat e impide su instalación en la máquina de la víctima. Si alguien estuviera infectado por este programa, no debe preocuparse porque el programa en sí es totalmente inofensivo. Sencillamente debe borrarlo y sustituirlo por el Netstat.exe original (Ver Referencias). () Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.* Referencias: VSantivirus No. 651 - 19/abr/02 Cómo Recuperar archivos con SFC en Windows 98 y Me http://www.vsantivirus.com/faq-sfc.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com