Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

PEST Remote Keylogger: nuestros datos al descubierto
 
VSantivirus No. 780 - Año 6 - Martes 27 de agosto de 2002

PEST Remote Keylogger: nuestros datos al descubierto
http://www.vsantivirus.com/pestkey.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy


Un keylogger es un programa que permite recoger toda la actividad de un teclado en un determinado momento. Es una herramienta de espionaje muy potente porque puede rebelar las contraseñas más prolijas en sólo unos segundos. Lo único necesario es que la víctima teclee antes la contraseña. A partir de ese momento la misma habrá quedado almacenada en un archivo secreto del ordenador que el propio keylogger ha creado, hasta que el atacante decida escudriñar en su contenido.

Como digo, el keylogger puede sustituir a los mejores crackeadores de contraseñas porque es mucho más rápido y eficiente. Muchos usuarios creen que están muy seguros detrás de esos programas que encriptan documentos con algoritmos muy fuertes. Ésta es una falsa percepción de seguridad que se esfuma si tenemos subrepticiamente un keylogger instalado en nuestro ordenador. ¿De qué le sirve a Ud. una contraseña segura si cada vez que la teclea el keylogger la recoge y se la envía a un atacante?.

Otros usuarios redactan en su ordenador documentos privados que luego encriptan para que nadie los pueda leer. Pues bien, con un keylogger este procedimiento no servirá para nada porque irá grabando en tiempo real las pulsaciones del teclado, independientemente de que luego encriptemos el documento o no.

Los primeros keyloggers eran accesibles sólo desde el propio ordenador infectado. Básicamente lo que hacían era volcar la información tecleada sobre un archivo de texto (en la mayoría de las ocasiones estaba codificado para que la víctima no pudiera leer accidentalmente el contenido) que se ubicaba en cualquier directorio escondido del ordenador.

Este método, como digo, tenía el inconveniente de que el atacante había de tener un acceso físico al ordenador de la víctima, es decir, tenía que sentarse delante del ordenador para espiarlo y esto tenía poco sentido.

Los keyloggers en esencia eran programas orientados hacia el espionaje de un director en la oficina donde trabajan sus empleados, o hacia la labor de seguimiento de un padre ante las posibles actividades ilegales o poco éticas de su hijo ante el ordenador (qué páginas visita, con quién se comunica en los chats, etc.).

Los keyloggers son legales y hay empresas que los comercializan legítimamente como cualquier otro programa.

He aquí los nombres de algunos keyloggers legales que se pueden encontrar en Internet: PC Activity Monitor Net, Spector Keylogger, Starr Pro, Spy Agent, Red Hand, Invisible Keylogger Stealth, etc.

Por supuesto con los keyloggers pasa lo mismo que con los spywares: si hay keyloggers, también hay anti-keyloggers. El primero de estos programas (y tal vez el mejor) es Flagship Software Application Anti-keylogger? (www.anti-keyloggers.com).

Su autor nos asegura que si somos osados de mostrarles un keylogger que no sea capaz de detectar su producto, nos regalará una licencia para poder usarlo sin pagar nada. Pues acabo de enviarle un correo electrónico mostrándole que PEST Remote Keylogger pasa inadvertido a su producto. Veamos ahora como reaccionan.

Hoy día los keyloggers se han sofisticado bastante y no requieren ni siquiera la presencia física del espía ante el ordenador espiado. Pueden perfectamente guardar offline los datos en un archivo secreto codificado y luego, cuando la víctima esté online, enviar secretamente todos los datos logueados a una dirección de correo electrónico. Espiar es tan fácil como leer nuestro correo electrónico.

En algunos casos estos programas son detectados por los antivirus y en otros casos no. Generalmente la política seguida por las compañías antivirus es acertada porque atienden a las intenciones del programador del keylogger.

Un keylogger se considera legítimo cuando se sobreentiende que alguien debe acceder físicamente al ordenador espiado para instalarlo. Aún así el keylogger nunca debe instalarse silenciosamente, sino que debe advertir de su presencia en el momento de la instalación. Obviamente después debe funcionar silente en el ordenador haciendo su trabajo.

Cuando en cambio el keylogger emula la manera de instalación silenciosa de un troyano, entonces las compañías antivirus tienden a detectarlo y eliminarlo.

Creemos que el nuevo keylogger llamado PEST Remote posee todas las características de una amenaza para nuestra privacidad porque su instalación es silenciosa y abre un puerto en nuestro ordenador exactamente igual que lo haría un troyano. Es más, viene acompañado de un cliente para conectar con el propio keylogger.

De esta manera el atacante conectará con el keylogger (equivalente al servidor de un troyano) y éste se activará para recoger todas las pulsaciones del teclado: es la única función que posee, por ello no podemos considerarlo estrictamente un troyano. En la pantalla del cliente aparecerá en modo auto-scroll todo lo tecleado por la víctima.

Desde luego antes de catalogar a PEST Remote como un keylogger ilegítimo que los antivirus deberían detectar, lo he sometido a una prueba en mi propio ordenador.

Lo primero que me llama la atención es que PEST Remote Keylogger no deja ningún método de autoarranque en mi ordenador (Windows ME). Cuando he realizado una comparativa de entradas de registro y archivos modificados tras la instalación del keylogger, esto es lo que he obtenido:

Valores añadidos:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Explorer\UserAssist\[identificación usuario]
\Count\HRZR_EHACNGU:P:\Zvfqbphzragbf\Grfg Ivehf
\Freire.rkr: 18 00 00 00 06 00 00 00 C0 99 F5 A4 40 4D C2 01

Valores modificados:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Explorer\UserAssist\[identificación usuario]
\Count\HRZR_EHACNGU: 18 00 00 00 0B 04 00 00 E0 BB DA 87 40 4D C2 01

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Explorer\UserAssist\[identificación usuario]
\Count\HRZR_EHACNGU: 18 00 00 00 0C 04 00 00 C0 99 F5 A4 40 4D C2 01

Archivos modificados:

C:\WINDOWS\USER.DAT
C:\WINDOWS\WIN386.SWP
C:\WINDOWS\APPLOG\APPLOG.ind
C:\WINDOWS\Internet Logs\IAMDB.RDB
C:\WINDOWS\Internet Logs\COOL.ldb
C:\WINDOWS\Internet Logs\ZALog.txt

Como podemos observar, todo es normal. Ni siquiera ha creado un archivo, así que el propio server.exe actúa de keylogger sin necesidad de crear otro archivo como sucede en muchos troyanos.

Después de este comportamiento he decidido comprobar si el keylogger realmente funciona. He conectado entonces vía Internet con mi propia IP y ciertamente funciona. El puerto que abre es el 112 y he logrado recoger en el cliente (puerto 32840) un texto escrito en mi ordenador infectado.

He de destacar que al no poseer ningún método de autoarranque, el keylogger se desactivará cuando apaguemos el ordenador y no se volverá a activar hasta que no hagamos otra vez doble clic sobre el archivo infectado. Es pues, muy poco indicado para realizar un seguimiento continuo de nuestras actividades.

También escapa inadvertido a Anti-keylogger porque no deja ningún archivo logueado, simplemente lo vuelca todo en tiempo real al cliente (si éste está offline, no habrá posibilidad de recoger los datos tecleados).

El riesgo de infección es bajo y su peligrosidad, como vemos, es mínima. La mejor recomendación pasa por actualizar a la mayor brevedad nuestro antivirus y disponer de un buen cortafuegos como ZoneAlarm.


Nota de VSAntivirus:
hemos enviado muestras del keylogger a los fabricantes de antivirus, ya que hasta el 26 de agosto, ninguno de los probados por Marcos lo identificaba. A la hora de emisión de este boletín, al menos el antivirus ‘The Hacker’ ya lo tenía en su base de datos, identificado como Troj/PestKey.srv y Troj/PestKey.cli.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS