Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

IwAnywhere v1.1: Nuevo troyano indetectable
 
VSantivirus No. 745 - Año 6 - Martes 23 de julio de 2002

IwAnywhere v1.1: Nuevo troyano indetectable
http://www.vsantivirus.com/mr-iwanywhere11.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy


Ap0calaps es un desconocido programador de troyanos en Nueva Zelanda. IwAnywhere v1.1 es su nuevo troyano que acaba de editar en Internet a través de su Web con fecha de 20 de julio de 2002.

En una primera prueba con algunos antivirus conocidos, es indetectable en el momento de escribir este artículo (con sumo gusto rectificaré si alguien me demuestra que algún antivirus lo detectaba en la fecha de mi análisis).

Lo he sometido a antivirus como AVP, NOD32, Norton (con base de virus actualizada el 19 de julio), y Panda. También lo he probado con programas específicos antitroyanos como Anti-Trojan y el excelente Tauscan. En cualquier caso la respuesta es negativa. 

El único antivirus que advierte de su presencia en el Servidor (no así en el Editor) es McAfee. Pero quiero dejar bien claro que la configuración por defecto de ese antivirus no detecta inicialmente el troyano. Habría que configurarlo para efectuar un análisis heurístico profundo. Normalmente casi nadie varía (bien por desconocimiento o bien por comodidad) esos datos en un antivirus, por lo que su detección es más bien problemática.

IwAnywhere v1.1 no está en la base de virus de ningún antivirus (incluido McAfee que lo detecta como New BackDoor 2 en un análisis heurístico) (Nota de Redacción: McAfee actualizó su detección, ver al final del artículo).

Cabría preguntarnos la razón por la que McAfee no ofrece el análisis heurístico profundo por defecto para que la detección de virus sea más segura. Es posible que la respuesta se halle en los falsos positivos que desde luego desacreditarían a un antivirus. 

Lo primero que nos llama la atención en este programa es la ausencia del Cliente. Sabemos que todo troyano se basa en la conocida arquitectura Cliente-Servidor, donde el Cliente es el que instala el atacante en su ordenador y el servidor está instalado mediante engaños en la máquina de la víctima.

A priori es inconcebible un troyano sin Cliente porque entonces el Servidor se queda sin control aparente. Pues bien, IwAnywhere v1.1 soluciona el imponderable con un pequeño ardid consistente en utilizar un navegador de Internet como Cliente.

Esto no es original de Ap0calaps. Recuerdo otros troyanos que utilizaban esta técnica como AckCmd, Back End, CGI Backdoor, Executor, Hooker y RingZero (posiblemente haya más troyanos de este tipo que ahora no recuerdo).

En cualquier caso lo que parece una ventaja inicial, puede convertirse en un inconveniente a la hora de cambiar el puerto de escucha del Servidor.

Todos sabemos que nuestros navegadores de Internet están configurados para conectarse al puerto 80 de los servidores. Si a IwAnywhere v1.1 le cambiamos el puerto (algo perfectamente factible desde el Editor), tendríamos que adaptar los cambios al navegador, por lo que complicaría su uso conjunto como Cliente del troyano y como Navegador.

Es por esta razón que creo que este troyano siempre va a abrir el puerto 80 (HTTP) de los ordenadores que infecte.

Entremos en detalles. ¿Qué funciones tiene IwAnywhere v1.1?

IwAnywhere v1.1 ha mejorado bastante desde su anterior versión (v1.0). Ha pasado de ser un simple y sencillo servidor Web que corría silente en el ordenador de la víctima, a contar con funciones adicionales que lo acercan a los troyanos más comunes. 

IwAnywhere v1.0 era un simple "File Manager" (Administrador de Archivos). Simplemente permitía al atacante ver cualquier archivo del ordenador infectado, así como ejecutarlo y subir otros ficheros. No tenía más funciones. Ni siquiera era editable el Servidor, por lo que no permitía notificaciones de ningún tipo y su configuración era invariable. Era un pésimo troyano que nunca debió preocupar a nadie.

Ahora IwAnywhere v1.1 viene mejorado con respecto a aquel primer esbozo. En primer lugar destaco la incorporación del Editor. ¿Qué puede hacer un atacante con él?.

1. Editar el puerto de escucha del Servidor (por defecto el puerto 80).

2. Configurar el nombre del Servidor una vez instalado en el ordenador de la víctima. El nombre por defecto es Server.exe, aunque lógicamente imaginamos que el atacante cambiará ese nombre por otro menos llamativo.

3. Puede usar una contraseña para el Servidor que le permita el acceso sólo a él. Si otro atacante quisiera acceder al mismo Servidor, tendría que crackear el Password, algo bastante complicado para un usuario normal porque el Servidor se puede proteger con una contraseña de hasta 16 caracteres.

4. Permite notificación por ICQ. He de destacar no obstante que este sistema de notificación cada vez se torna más inestable e inseguro para los atacantes porque ICQ está utilizando (según se comenta en algunos foros) un sistema de filtrado de los ICQ Pagers cuando sospecha que alguien utiliza este servicio de manera fraudulenta. Me parece una medida acertada que desgraciadamente también se puede eludir con un pequeño ardid que aquí obviamente no comentaré. Si el atacante no edita el número de ICQ o UIN, el que está por defecto en el troyano es 61953894.

5. Puede borrar el Servidor después de la instalación. Una medida que otros programadores de troyanos están usando para dificultar más su detección.

6. Permite tres métodos de autoinicio en Windows: Win.ini, System.ini y en el Registro de Windows (con este último método no ha funcionado el autoinicio en el ordenador, un Windows ME, que he utilizado de prueba).

En cuanto a las funciones propias del troyano destaco las siguientes:

1. Obtención de contraseñas guardadas en el ordenador de la víctima (Cached Password Grabber), 

2. Captura de pantallas (Grab Screen).

3. Información general del ordenador infectado (Sistema operativo, CPU, etc.).

4. Administrador de procesos corriendo en Windows (Process Manager).

5. Administrador de archivos en el ordenador de la víctima (File Manager).

6. Funciones lúdicas como abrir y cerrar el CD-ROM, apagar y encender el monitor, etc.

Como vemos, es un troyano con escasas funciones y de poca importancia. Es cierto que ha mejorado con respecto a su versión anterior, la v1.0, que era tan limitada en funciones y estaba tan llena de bugs, que ni siquiera he encontrado análisis realizados en Internet sobre esa versión. Si a esto añadimos que el troyano no funciona en Windows NT y Windows 2000 (y muy probablemente tampoco en Windows XP), tenemos los argumentos necesarios para considerar su amenaza como muy baja.

En definitiva un troyano cuyo único interés radica en que aún pasa inadvertido para la mayoría de los antivirus y alguien puede utilizarlo para infectar sin ser detectado. Ante esta posibilidad desde VSANTIVIRUS damos constancia de su existencia, instando a las compañías antivirus para que detecten su código a la mayor brevedad (Nota de Redacción: Fueron enviadas muestras a las respectivas casas de antivirus)

Una vez más insistimos en la conveniencia de reforzar la seguridad de los antivirus con el blindaje de cortafuegos como ZoneAlarm (en su versión standard es gratuito). 


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.


Nota de Redacción:

A la hora de publicación de este artículo, McAfee a través de un EXTRA.DAT o desde su actualización DAT-4215, lo identifica como ‘BackDoor-AIO’, según informe (y actualización) remitida a nuestra casilla a las 6.15 del 23/jul/02.


Actualizaciones de Antivirus:

EXTRA.DAT de McAfee (1k)
IWA.IDE de Sophos (1k)


Referencias:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS