Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Y3K R.A.T. Pro: ¿Herramienta o troyano?
 
VSantivirus No. 787 - Año 6 - Martes 3 de setiembre de 2002

Y3K R.A.T. Pro: ¿Herramienta o troyano?
http://www.vsantivirus.com/mr-y3kpro.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy


Ya conocemos de un tiempo a esta parte que hay algunos programadores de troyanos que desean reivindicar la legitimidad de las herramientas de administración remota, más conocidas por sus siglas en inglés RAT (Remote Administration Tool). 

Evidentemente hay herramientas de administración remota totalmente legítimas que podemos hallarlas en Internet y ningún antivirus las detecta. Una vez más les recuerdo la política de detección de los antivirus: se considera un troyano a toda RAT que esté concebida para instalarse silente bajo engaños en el ordenador de la víctima y no advierta de sus verdaderas funciones antes de la instalación.

Si saco este asunto a colación otra vez es porque he vuelto a encontrarme con otros dos programadores de troyanos (Kostas y V @ g) que creen que su programa es profesional y ningún antivirus debe detectarlo. Incluso lo hacen con petulancia y si no lo creen, lean este texto que encontramos en su web desde donde cualquiera puede descargarse el troyano Y3K R.A.T. Pro:

"NOTE TO ANTIVIRUS COMPANIES: The files have not any virus and Y3K Rat Pro is NOT a Trojan. It is a remote administration tool and it is used for office or educational proposes! Read the disclaimer before downloading any file."

Mi inglés tal vez no sea muy bueno, pero permítanme traducirlo literalmente para aquellos lectores que no puedan entenderlo:

AVISO A LAS COMPAÑÍAS ANTIVIRUS: Los archivos no contienen ningún virus e Y3K Rat Pro NO es un troyano. Es una herramienta de administración remota y su uso está indicado para propósitos educativos o profesionales. Lea la advertencia antes de descargar cualquier archivo. 

Como observamos algunos siguen empeñados en confundir los términos. Ellos cuando hablan de "profesionalidad" se están refiriendo a que su producto está mejor programado que otros, pero no hablan de cuestiones éticas y de seguridad que es donde las compañías antivirus sí entran.

¿Pero es Y3K R.A.T. Pro un troyano o una RAT?

Depende de lo que queramos hacer con él, es decir, depende del editor. Cuando abrí el editor me apercibí de que el atacante puede optar por hacer que el servidor corra oculto en el ordenador de la víctima o que advierta de su presencia. Incluso he de decir que por defecto la funciones "Hide from Windows 2k/XP task manager" y "Hide from Windows 9x tasks" vienen desactivadas. Pero están ahí esas funciones; y si las encontramos es porque los programadores de Y3K R.A.T. Pro han barajado también la posibilidad de usar este programa como un troyano.

También posee otras funciones editables que nos hacen sospechar de las verdaderas intenciones de los programadores de este troyano. Por ejemplo se puede editar en el módulo Server Builder (constructor del servidor) un servidor que abra el puerto de conexión sólo cuando la máquina esté online (esto también podemos entenderlo como una manera de hacer aún más invisible el troyano). 

También el atacante puede optar por esconder el servidor del explorador de Windows. Incluso puede activar un keylogger offline como $system$keyspy.txt (es editable a gusto del atacante).

Si alguien duda aún de la clasificación de Y3K R.A.T. Pro como troyano, les diré que puede matar todos los procesos de Windows que el atacante quiera (por defecto no viene activado ninguno). Esto puede permitir a un atacante eliminar cualquier antivirus o cortafuegos activo. Por ejemplo, eliminar el ZoneAlarm Pro sería tan fácil como colocar este nombre de archivo en el editor bajo la expresión Kill tasks:

zapro.exe

Así puede hacer el atacante con cualquier otro archivo de antivirus, por ejemplo.

También puede robar las contraseñas del ordenador infectado. En tal caso la ruta por defecto (editable) es:

$systemf$logpasswords.txt

Posee varios métodos de notificación: mediante ICQ pagers, e-mail (el atacante tendría que editar el servidor con un servidor SMTP) y PHP. Éste es el segundo troyano que analizo con la notificación en PHP; el script por defecto es éste:

"&y3knetowrkphp&?&id&$+$$ip$$+$&mainport&$+$$country$"

Noten que si el atacante deja el valor "y3knetworkphp", las notificaciones no irán a su Web. El atacante, si desea que el troyano notifique hacia su Web, tendría que variar de esta manera la secuencia:

"&http://www.supáginaweb.com/addy3kservers.php&?
&id&$+$$ip$$+$&mainport&$+$$country$"

Previamente habría comprobado éste si su servidor admite PHP con otra herramienta que se incluye en el troyano llamada phptest.php. Entonces subiría a su servidor Web ese archivo y lo probaría. Una vez obtenida la respuesta positiva, subiría a su servidor otro archivo llamado addy3kserver.php. Y ya tendría su método de notificación mediante PHP. He de decirles también que en las pruebas que he realizado funciona muy bien, por lo que aquí vemos otro elemento más de peligrosidad en el troyano.

El servidor puede incluso ser editado para que compruebe automáticamente si hay actualizaciones en Internet. Si las hubiera se actualizaría sólo sin que la víctima si quiera se enterase.

El puerto que utiliza por defecto es el 5838. Para la transferencia de archivos utiliza el 5839. Ambos pueden ser cambiados por cualquier otro a gusto del atacante.

Una vez ejecutado el servidor en la máquina de la víctima, deja una copia en esta ruta:

$systemf$server.exe

Por supuesto el atacante puede cambiar los datos y ubicar la copia donde desee y con el nombre que quiera.

En el registro también hay valores por defecto que pueden ser modificados:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\server

El atacante puede elegir cualquier otra configuración, así que estos datos son sólo a título orientativo.

El atacante también puede editar el servidor para que éste muestre un mensaje de error la primera vez que se ejecute. Por defecto no tiene ningún mensaje el editor.

También Y3K R.A.T. Pro permite al atacante parapetarse detrás de un proxy para ocultar su IP. Por defecto no encontramos ningún proxy en la lista.

Básicamente el cliente del troyano posee 4 funciones:

  • Server options
  • Windows/system
  • Chat/message
  • Spy

Server options:

El atacante puede sustituir el servidor por otro más nuevo, incluso se puede editar remotamente; el atacante puede desinstalarlo, cerrarlo o activar en él el "Autoupdate" (la actualización automática).

Windows/system:

El atacante puede recabar datos del ordenador infectado: nombre del propietario, país, memoria RAM, resolución de la pantalla, etc.

Explorar los archivos de la víctima: leer documentos, ejecutar cualquier archivo, crear carpetas, ejecutar un archivo invisible, borrar archivos y carpetas, subir nuevos archivos, comprimir archivos que quedarán con la extensión *.y3k (primer troyano que conozco que hace esto), menú de propiedades de un archivo, etc.

Detalla y elimina procesos, muestra y controla plenamente todas las ventanas abiertas en el ordenador remoto, permite ejecutar comandos DOS y selección de las aplicaciones instaladas en el ordenador de la víctima.

Chat/Message:

- Chat w/server abre una ventana para chatear con la víctima.

- Windows messages envía mensajes al servidor que no pueden ser respondidos por la víctima.

Spy:

- Cached passwords muestra en pantalla todas las contraseñas (sólo en Windows 9x).

- Logged passwords baja al atacante el archivo de las contraseñas logueadas offline.

- Ras passwords muestra las contraseñas RAS (servidor de acceso remoto) con nombre de usuario, contraseña, nombre de conexión y número de conexión. En Win9x funciona siempre y en WinNT/WinXP no muestra la contraseña.

- Internet Explorer espía todas las páginas visitadas.

- Keyboard spy loguea todas las teclas pulsadas (función keylogger) y las envía al atacante cuando éste se encuentre online.

- Screen capture captura la pantalla de la víctima y la envía al atacante.

Finalmente he de destacar que el servidor del troyano comprimido con UPX tiene 195 Kb y se puede fusionar con cualquier otro archivo que el atacante desee. También puede cambiar el icono a su gusto con las funciones propias del editor.

Algunos antivirus como KAV y Dr. Web, ya detectan este troyano como Backdoor.Y3KRat.pro.01 o similar.

Desde luego el análisis no deja lugar a la duda: Y3K R.A.T. Pro es un TROYANO (a pesar de sus programadores).

Nuestra recomendación una vez más pasa por actualizar sus antivirus a la mayor brevedad y blindar su ordenador con un cortafuegos como ZoneAlarm.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS