|
VSantivirus No. 352 - Año 5 - Lunes 25 de junio de 2001
Nombre: IRC.Mimic
Tipo: Caballo de Troya
Fecha: 6/jun/01
Alias: W32.Mimic, Backdoor.IRC.Mimic, IRC/Mimic.
Se trata de un script para el cliente de IRC (1)
mIRC, cuya principal acción es hacer participar a la computadora infectada en un ataque distribuido de negación de servicio
(DDoS)(2)(3). Note que aunque usted no posea instalado este programa cliente de chat, el atacante puede combinar su uso con algún troyano que permita la descarga y ejecución del cliente
mIRC, el cuál es instalado y ejecutado, sin conocimiento de la víctima.
Un ataque de este tipo (DDoS por sus siglas en inglés: Distributed Denial of Service), permite realizar ataques remotos a determinados servidores, desde varias computadoras (cientos o hasta miles), las que son controladas remotamente por el hacker malicioso, generalmente sin el conocimiento de quienes participan. Lo único que el atacante debe hacer, es acceder de algún modo a las computadoras que participarán del ataque, por medio de un caballo de Troya.
Uno de los métodos más comunes, es crear páginas en sitios de dudosa reputación, con el script necesario para descargar y activar el troyano en las máquinas de quienes visitan esas páginas.
También se utiliza el correo electrónico (mensajes con formato HTML distribuidos como SPAM), o a través de grupos de noticias de Usenet.
Los canales de IRC (chat), y los programas de mensajería instantánea
(ICQ, Messenger, AOL, etc.) también suelen ser los vehículos utilizados para la propagación de estos troyanos.
Una vez que el troyano es descargado, se ejecuta en la máquina de la víctima. Esta acción muchas veces pasa desapercibida por el usuario, aunque la mayoría de las veces se hace mediante engaños, haciéndole creer está instalando alguna utilidad, o abriendo alguna supuesta imagen o animación.
Cuando el troyano es ejecutado, el mismo puede notificar al atacante por correo electrónico o a través de programas del tipo
ICQ, Messenger, etc..
A partir de ese momento, cada vez que la víctima se conecta a Internet, el atacante podría acceder a su computadora en forma remota, y a partir de allí, hacerla participar en ataques DDoS.
IRC.Mimic permite realizar estas acciones. Primero descarga en la máquina infectada, y luego ejecuta, un archivo en formato autoextraíble, capaz de construir el resto de programas necesarios (Packet Builder).
Al ejecutarse ese archivo, se copian y luego se ejecutan en la PC infectada, otros dos programas, el software de cliente del
mIRC, y una aplicación que esconderá la presencia del
mIRC, para que se ejecute sin mostrar sus ventanas. Por lo tanto, aunque el usuario no tuviera instalado el
mIRC, estaría conectándose a la red a través del IRC.
Luego de ello, el atacante podrá bajar el script que controlará este software cliente vía remota.
Con estas acciones, la PC atacada, se convierte en un servidor de ataque DDoS, o sea en una máquina "zombie"
(4), preparada para realizar los ataques que el hacker que la controla desee.
Básicamente, el proceso es muy sencillo. Un solo atacante, a través del IRC, puede controlar decenas o cientos de computadoras zombies, haciendo que todas ellas (o las que respondan), realicen un ataque simultáneo a un determinado servidor en determinado momento y periodo de tiempo.
En la máquina infectada, el IRC.Mimic espera la orden del atacante para lanzar este ataque de DDoS. Esta orden, cuando llega, incluye los siguientes parámetros:
- La dirección IP de la víctima.
- El número del puerto de la víctima.
- Tamaño de los paquetes.
- Tiempos de demora entre los paquetes.
- Duración del ataque.
- Tipo de ataque DDos.
Este tipo de ataque consiste en un bombardeo a un mismo servidor, al que se le envía grandes cantidades de paquetes ICMP
(5)
(PING)(6), UDP
(7), e IGMP
(8).
Un gran número de paquetes UDP, apuntados a los puertos de diagnóstico en la red del servidor atacado, ocasiona un tipo de ataque específico, conocido con el nombre de ataque
"Pepsi", el cuál suele causar que los dispositivos de la red del servidor que los recibe, consuman una excesiva cantidad de recursos y tiempo de CPU al tratar de responder a estos paquetes. Pero básicamente cualquiera de los otros ataques causan un excesivo consumo de recursos y ancho de banda, que ocasionan la caída del servidor atacado, o al menos la imposibilidad de acceder a él.
Obvio es decir entonces, que este tipo de ataque puede tener un gran impacto en cualquier red o sitio Web, si los mismos son realizados desde un gran número de máquinas al mismo tiempo.
El aumento de usuarios conectados utilizando servicios de conexión de 24 horas y banda ancha, aumenta la peligrosidad de este tipo de técnica (ver
"VSantivirus No. 331 - Año 5 - Lunes 4 de junio de 2001,
Los nuevos guerreros. ¿Una guerra perdida?"). En el caso relatado en dicho artículo, se contabilizaron
474 computadoras involucradas, las que en los numerosos ataques realizados, llegaron a enviar, más de
2.4 billones de paquetes maliciosos.
Para limpiar un sistema infectado.
Primero, asegúrese de no estar conectado a Internet. Si es necesario, desconecte físicamente su computadora del cable telefónico o del cable de la tarjeta de red.
Luego, ejecute uno o dos antivirus al día, y borre todos los archivos involucrados con este troyano.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000,
Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión de cualquier troyano con Internet.
Glosario:
(1) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
(2) D.o.S - Un ataque de D.o.S (Denial of Service, o negación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.
(3) D.D.o.S (Distributed Denial of Service) - Ataques de negación de servicio distribuidos. En lugar de una sola computadora, se utilizan cientos o hasta miles de ellas, todas actuando al mismo tiempo contra una misma víctima.
(4) ZOMBIE - Una computadora generalmente infectada con un troyano de acceso remoto, capaz de recibir ordenes externas, y de actuar, generalmente en actividades maliciosas, sin el conocimiento de sus dueños.
(5) ICMP (Internet Control Message Protocol) - Protocolo de mensajes de control de Internet. Se trata de un protocolo de mensajes de error y de control utilizado por TCP/IP
(9). Permite generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con IP (Internet Protocol). Básicamente, se usa para comprobar la existencia de la máquina consultada.
(6) PING (Packet INternet Groper) - Comando usado para comprobar las conexiones a uno o más hosts remotos. Emplea paquetes ICMP
(5)
de petición de eco y respuesta de eco para determinar si un sistema IP concreto de una red es funcional. Es útil para diagnosticar fallos IP de la red o del enrutador.
(7) UDP (Universal Data Packet) - Protocolo de transporte de datagramas, o sea de los pequeños paquetes que forman la información que se transfiere de y hacia nuestra computadora a través de Internet.
(8) IGMP (Internet Group Management Protocol) - Protocolos de control implementados en la serie de protocolos TCP/IP, para manejo de grupos.
(9) TCP/IP (Transmission Control Protocol/Internet Protocol) - Básicamente describe dos mecanismos de software empleados para posibilitar la comunicación libre de errores entre múltiples computadoras. TCP/IP es el lenguaje común de Internet, el que permite que diferentes tipos de computadoras utilicen la red y comuniquen unas con otras, indiferentemente de la plataforma o sistema operativo que usen. Aunque menciona implícitamente solo a dos, en realidad está formado por más de 100 protocolos de comunicaciones de bajo nivel (TCP, IP, ICP, UDP, ICMP, PPP, SLIP, RARP, SMTP, SNMP, etc.).
Artículos relacionados:
VSantivirus No. 331 - 4/jun/01
Los nuevos guerreros. ¿Una guerra perdida?
VSantivirus No. 336 - 9/jun/01
DoS.Storm.Worm. Ataques zombies contra Microsoft
VSantivirus No. 177 - 1/ene/01
¿Está seguro que su computadora no es un ZOMBIE?
VSantivirus No. 151 - 6/dic/00
NAPTHA, todos los sistemas, menos Win2K son vulnerables
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
VSantivirus No. 222 - 15/feb/01
Trojan.MircAbuser. Convierte a nuestro PC en un zombie
Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy
|
|