Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Trojan: Troj_IRCkill. Ataques a usuarios del IRC
|
|
VSantivirus No. 160 - Año 4 - Viernes 15 de diciembre de 2000
Nombre: Troj_IRCkill
Tipo: Trojan
Alias: Flooder.IRCKill, IRCKILL
Sistema: Windows
Tamaño: 251,904 bytes
Se trata en realidad de una colección de herramientas de IRC (Internet Relay Chat), usadas para desconectar usuarios de los canales de IRC. Agrupa funciones como
FLOODING, el uso de BOTS, y técnicas de FLASH, un tipo de "flooding" utilizado generalmente en ambientes UNIX.
Pero antes de explicar estas utilidades, es conveniente aclarar algunos términos. Por ejemplo, se le llama
CLON a una copia del usuario en el mismo canal de IRC. Esto puede conseguirse conectándose varias veces al mismo servidor (o red) de IRC con el mismo programa por ejemplo (los más comunes son el mIRC y el Pirch). Sin embargo, su utilidad es generalmente reducida a un uso individual (estar con varios "nicks" en el mismo canal por ejemplo).
NICK es el nombre de usuario que nos identifica en un canal de IRC.
Un BOT es parecido a un CLON, pero con la diferencia que está generado casi siempre por un programa, y está preparado para responder ciertos comandos que se les envía, de modo de lograr múltiples acciones en forma simultánea, y sin nuestra intervención directa.
Y finalmente, FLOODING, que literalmente significa "inundar", es sin dudas la más vieja de las técnicas usadas en las denominadas IRC WAR'S (guerras de IRC), y consiste en enviar tanta información basura al servidor de modo que el usuario termina siendo desconectado del mismo.
En concreto, este trojan utiliza conocidas vulnerabilidades ("exploits") del IRC. Para ello combina cuatro utilidades:
FLASH, MCB, FLOOD BOTS y SUMO BOTS, en un mismo paquete. Agrega una interface gráfica para estos programas, los que están basados en un entorno MS-DOS.
El trojan permite desconectar usuarios "logeados", o sea unidos a la red de servidores de IRC, o desconectarlos incluso de Internet.
El "exploit" denominado FLASH, es utilizado para la desconexión directa del módem. Esta puede ser lograda mediante una sucesión de diferentes "pings" a la dirección IP del usuario, con una secuencia específica de datos, los que pueden ser interpretados como comandos de desconexión por el módem. Sin embargo no todos los módems soportan o responden a este tipo de ataque.
El ataque llamado MCB (Multiple Collide BOTs), o múltiples choques de BOTS, permite que bajo ciertas circunstancias, como la falla momentánea de un servidor de IRC al tratar de sincronizarse con otro (el llamado "net split"), se pueda configurar un BOT para duplicar los "nicks" de los usuarios infectados, de modo que cuando los servidores vuelven a sincronizarse, estos usuarios son desconectados de la red de IRC.
Y finalmente, los ataques FLOOD BOTS y SUMO BOTS, son capaces de generar múltiples usuarios con nombres al azar (llamados BOTS). Esto "inunda" (flood) o satura el canal o al propio usuario, enviando demasiado información, y saturando su ancho de banda. Además, el servidor de IRC acaba desconectándolo.
Fuente: Trend Micro
|
|
|