Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Lithium v1.02: Nueva versión aún indetectable
 
VSantivirus No. 743 - Año 6 - Sábado 20 de julio de 2002

Lithium v1.02: Nueva versión aún indetectable
http://www.vsantivirus.com/mr-lithium102.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy


Los programadores de Lithium odian a los Lammers. Ni siquiera quieren llamar a sus programas como Troyanos (Trojans). Creen que son lo suficientemente serios para llamarlos R.A.T. (Remote Administration Tools: Herramientas de Administración Remota).

No hay más que instalar el cliente de Lithium para apercibirnos de que estamos ante un troyano distinto. El diseño es impecable y aparentemente muy profesional. Ésta es la versión 1.02 Final y ha mejorado muchas funciones respecto a las anteriores.

Aún no es detectado este troyano por ningún antivirus del mundo porque acaba de salir a Internet con fecha 19 de julio de 2002. Hago desde VSANTIVIRUS una llamada de atención a las compañías antivirus para que estudien su código lo antes posible con el fin de proveer una vacuna para todos los internautas. [Nota VSA: Tener en cuenta la observación al final del artículo. Los antivirus actualizados reconocen algunas librerías, pero todavía no el servidor].

Pero entremos en detalles. Primero he de advertirles que sólo he tenido unas horas para probarlo, así que posiblemente me pase inadvertida alguna función importante de Lithium.

1. Puede controlar desde el cliente el servidor instalado en el ordenador de la víctima con funciones como Cerrar el Servidor, Eliminar el Servidor, Reiniciar el Servidor, Clientes Conectados al Servidor, Control de los Plugins para aumentar la potencia de control de remoto, Nueva Configuración del Servidor (en caso de que el atacante quiera variar sus valores desde su propio ordenador sin necesidad de que el Editor y el Servidor se encuentren en el mismo ordenador) y Cuentas del Servidor (para configurar la entrada al mismo).

2. En la función "Files" puede explorar archivos en el ordenador de la víctima, así como hacer búsquedas por tipos de archivos (por ejemplo, *.mp3) e incluso ejecutar archivos en la máquina de la víctima con el consabido riesgo que conlleva.

3. Posee un potente Explorador del Registro que permite buscar entradas y modificarlas, detalla la Lista de Procesos pudiendo acabar con ellos en cualquier momento (función "Terminate") o establecer un rango de prioridad (función "Change Priority"), detalla los archivos compartidos en red, muestra mensajes de alerta en la pantalla de la víctima (mensajes que el propio atacante puede configurar desde el cliente del troyano con la función "Message Box"), posee un potente Keylogger que registra todas las teclas pulsadas en el ordenador de la víctima (con posibilidad de volcar los datos robados a un archivo de texto) y otra función llamada Remote Shell.

4. Puede transformarse también en un Web Downloader controlable desde el mismo cliente. Sólo hay que especificar la URL para descargar el archivo en el ordenador de la víctima.

5. Posee Captura de Pantallas con dos algoritmos de compresión: LZH y LZRW1/KH.

6. Provee al atacante de información básica sobre el sistema que infecta (Sistema Operativo, CPU, memoria disponible, etc.). También posee una función (Cached Passwords) que le comunica al atacante todas las claves guardadas en el ordenador de la víctima.

7. Posee muchas "funciones divertidas" (Fun Stuffs le llaman en Lithium). He de destacar que estas funciones no aportan nada al trabajo profesional de una herramienta de control remoto (R.A.T.), por lo que la supuesta profesionalidad de este troyano tal vez se vea mancillada por este pequeño matiz. Aún así, pasemos a describir algunas de estas funciones lúdicas:

Puede mostrar o esconder iconos del Escritorio (así como el botón de inicio y el reloj), abre y cierra el CD-ROM, esconde y muestra el cursor, inhabilita teclas, controla el ratón, elimina Control + Alt + Del y Alt + Tab, etc.

8. Escanea rangos de IPs en busca de ordenadores infectados.

9. Captura el sonido del micrófono (primer troyano que conozco al que le funciona esta función), captura las imágenes de la Web Cam y graba las imágenes en un archivo.

Si alguien resultara infectado con este troyano, convendría saber que por defecto el nombre del archivo del servidor en el ordenador de la víctima es Shell32.exe. El puerto que utiliza por defecto es el 31415 y la clave que deja en el registro es Shell32. Puede configurarse el editor para correr en Run (Local Machine), en Run (Current User), en RunServices (Local Machine) y en RunServices (Current User).

Una vez que instalamos el servidor, por defecto nos aparecerá este mensaje:

Unable to load SHELL16.DLL, exiting

Por último, este troyano permite la notificación por CGI. En este caso el Script elegido por defecto es:

/cgi-bin/serverlist
/serverlist.pl?display=
notify&access=%ACCESS%&version=
%VERSION%&serverid=%SERVERID%&cpu=%CPUSPEED%&os=
%OS%&port=%PORT%&iplist=%IPLIST%

En definitiva un troyano completo con pocos errores que puede funcionar perfectamente para espiar ordenadores ajenos. Todos los datos por defecto son susceptibles de cambio según las necesidades del atacante, lo que haría más complicada su desinfección.

El cliente funciona con la ayuda de varias librerías DLL. Algunas de estas librerías son ya conocidas por los antivirus, así que las detectarán sin el menor problema: SRV_PORTSCAN.DLL y SRV_MULTIMEDIA.DLL. Otras que aún pasan inadvertidas son: SRV_CAPTURE.DLL, SRV_FUNSTUFF.DLL, CLI_CAPTURE.DLL y SRV_PWINFO.DLL.

La detección del archivo lithium102.zip donde están todos los archivos del troyano es bastante capciosa, pues en realidad sólo detecta las DLL indicadas pero no el troyano en sí. He de decirles que las DLL detectadas no forman parte del servidor sino del cliente, por lo que no tendrá ningún efecto sobre la detección en el ordenador infectado.

Finalmente he de advertir que existen dos versiones de este troyano: la primera versión está comprimida (así pensada para su uso rápido) y la segunda versión contiene todos los archivos sin comprimir. Esto permitiría manejar mejor el troyano para hacerlo indetectable cuando los antivirus detecten su código.

Una vez más el mejor consejo ante un troyano que de momento es indetectable es desconfiar de todo archivo que nos llegue de una procedencia dudosa y proveernos de un buen cortafuegos como ZoneAlarm.

En pocos días (e incluso horas) tendremos la vacuna para Lithium V1.02 Final. De momento cuídense de este peligroso troyano.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.


Relacionados:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS