|
VSantivirus No. 395 - Año 5 - Martes 7 de agosto de 2001
Los virus y el IRC
por Ignacio M. Sbampato(*) - 05 de Agosto del 2001
El IRC es una de las formas de comunicación por internet más utilizada del momento. Conocido vulgarmente como chat, permite que dos o más personas mantengan una conversación o intercambien archivos, de manera sencilla. En la actualidad existen miles de servidores de IRC utilizados por millones de personas de todo el mundo, y esta popularidad hace que el IRC sea otro de los tantos blancos de los ataques de los programadores de virus informáticos.
Existen muchos virus, troyanos y gusanos que utilizan distintos programas de chat, como el mIRC o el Pirch, dos aplicaciones muy difundidas, para propagarse a través del IRC. Éstos aprovechan las capacidades de automatización mediante scripting que tienen estas aplicaciones para enviarse en forma automática a otros usuarios que se encuentren en el mismo canal, sala o servidor que un usuario infectado.
Para ello, los virus modifican los archivos de configuración propios de las aplicaciones de chat, aprovechándose de algunas vulnerabilidades en ellas, y logran de esta manera realizar todo tipo de acciones durante la sesión de IRC que el usuario afectado mantenga.
El IRC o chat también es utilizado por muchos usuarios maliciosos para distribuir manualmente, entre personas conocidas o no, troyanos con capacidades de puerta trasera (backdoors) que les permitirán tener acceso en forma remota al equipo de quien los ejecute.
Pero los virus no pueden pasearse por el IRC libremente. Además de que los antivirus los reconocen, algunos derivados del mIRC, como el IRCap o el X.-CriPt, poseen funcionalidades de protección contra este tipo de programas maliciosos permitiendo a los usuarios tener algunas herramientas para defenderse de los ataques de los virus.
Algunos ejemplos de virus de IRC
Uno de los más conocidos de estos códigos replicantes es el SCRIPT.INI. En sí, es un archivo de script del programa mIRC, capaz de afectar a éste y a cualquiera de los programas basados en él, que aún hoy sigue circulando en muchas de las redes de IRC del mundo. Contiene comandos que permiten a personas remotas controlar las sesiones de IRC del usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, como, por ejemplo, terminar una conversación o sesión.
El mismo se reproduce reenviándose a través de una transferencia DCC, y toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.
El SCRIPT.INI puede realizar, entre otras cosas, lo siguiente:
- Redireccionar todos los mensajes enviados por el usuario, en forma abierta o privada, a otro canal.
- Cuando otra persona ejecuta un comando determinado, interrumpir la sesión de IRC.
- Al enviar un usuario remoto otro comando predefinido, permitirle acceso total al disco duro del usuario afectado a través de algún tipo de aplicación como el fserve.
- Bloquear o alterar mensajes procedentes de la víctima.
- Enviarse en forma automática a otros usuarios.
No puede ser considerado un virus, dado que no se replica en forma automática. Es, en realidad, un código malicioso con capacidades de troyano y gusano, al poder reenviarse en forma automática. Existen varias versiones de este gusano que afecta el mIRC.
También conocido como LifeStages, es un gusano muy complejo, que entre sus distintos métodos de propagación, utiliza el mIRC y el Pirch para enviarse vía DCC como un archivo de nombre LIFE_STAGES.TXT.SHS.
Al ejecutar este archivo, el usuario verá un documento de texto plano conteniendo una broma sobre las distintas etapas de la vida del hombre y la mujer. Mientras tanto, el gusano se instalará en el sistema, y comenzará con su propagación por correo electrónico. También modificará los archivos de configuración del mIRC y el Pirch para enviarse a través de una transferencia DCC.
Actualmente es uno de los más difundidos en el IRC hispanohablante.
Algo más simple que el VBS/Stages, es otro de los gusanos de mayor propagación en el IRC de habla castellana. Camuflado como un protector de pantalla con el nombre de netol.scr, este gusano se distribuye utilizando el mIRC a través de una transferencia DCC a todos aquellos usuarios que se encuentren en el mismo canal o salón que el usuario afectado.
Al ejecutarlo, muestra un mensaje de error para hacer creer al usuario que el mismo no pudo abrirse correctamente, como el siguiente:
Brain ProtecToR
Este protector de pantalla solo funciona con DirectX 8.5 Alpha
Crea un archivo MIRC.HST en el directorio de este programa, que contiene los comandos que necesita para reproducirse. También posee capacidad para realizar ciertas acciones en el equipo infectado según los comandos que reciba a través del IRC en forma remota.
- NetBus, BackOriffice y SubSeven
Aunque no son los únicos, estos tres son los troyanos más difundidos de la actualidad. Sus capacidades permiten a un usuario tener acceso a un sistema remoto y realizar todo tipo de acciones en él, que van desde la subida o bajada de archivos, eliminación de información, instalación de programas, modificación de la configuración del equipo, etc.
Normalmente son utilizados por usuarios maliciosos, quienes los distribuyen a través del IRC, correo electrónico ú otros medios de comunicación por internet. Existen utilidades que permiten adosarlos a cualquier otro ejecutable para que, cuando un usuario los ejecute, vea otra cosa mientras que el troyano se instala en su sistema.
La defensa
Prevenirse de este tipo de virus y troyanos que afectan el IRC es una tarea simple, si se lleva a cabo con responsabilidad. Si el usuario no realiza prácticas de computación segura (safe computing), es muy difícil que se encuentre preparado para enfrentar cualquier tipo de virus.
Principalmente, un usuario debe seguir los siguientes consejos al utilizar el IRC:
- Nunca aceptar transferencias de archivos que no han sido solicitadas.
- Contar con un antivirus para revisar los archivos recibidos, sean solicitados o no.
- Actualizar periódicamente el antivirus para poder detectar cualquier nuevo virus que sea descubierto.
Más específicamente relacionado con el IRC, si el usuario utiliza el mIRC, es importante que tenga en cuenta lo siguiente:
-
Deshabilitar la recepción automática de transferencias DCC
Esta funcionalidad del mIRC, aunque muy útil para automatizar la recepción de archivos, es potencialmente peligrosa, como cualquier opción que permita que un usuario remoto pueda copiar archivos en nuestro disco duro sin nuestro conocimiento.
Para deshabilitar esta opción, es necesario hacer lo siguiente, una vez dentro del mIRC:
-
Bajo el menú DCC, elegir Opciones, y luego la ficha titulada Send.
-
En donde dice "On Send request", seleccionar la opción "Show Get Dialog".
Esto permitirá que cuando un usuario desee enviarle algún archivo vía DCC, una ventana de confirmación se abrirá, ofreciendo la opción de aceptar o no la transferencia. Si Ud. no solicitó el archivo, puede seleccionar en esa ventana la opción Cancelar y la transferencia será interrumpida. En cambio, si el archivo fue requerido por Ud. y desea recibirlo, basta con seleccionar Aceptar (Ok).
-
Enviar archivos potencialmente peligrosos a un directorio especial
El mIRC permite ser configurado para que, dependiendo de la extensión del archivo que se está recibiendo, el mismo sea guardado en un directorio alternativo. Esto es una buena medida de seguridad dado que de esta manera el usuario puede luego revisar dicho directorio con un antivirus para corroborar que los archivos son seguros.
Las extensiones de archivos potencialmente peligrosas son aquellas relacionadas con programas ejecutables, documentos que puedan contener macros y algunas otras. Una lista de las extensiones más utilizadas por los virus se detalla a continuación:
-
EXE: Archivo ejecutable.
-
PIF: Acceso directo a un programa
- BAT: Archivo de procesamiento por lotes de MS-DOS.
-
VBS: Visual Basic Script.
-
JS: Javascript.
- SHS: Recorte.
-
SCR: Protector de pantalla.
-
INI: Archivo de configuración inicial.
- DOC: Documento de Word.
-
XLS: Planilla de Excel.
-
PPT: Presentación de PowerPoint.
-
COM: Aplicación MS-DOS.
Es importante dejar en claro que esta lista no es estática y que los gusanos, troyanos y virus pueden llegar a utilizar otros tipos de archivos en el futuro.
Para hacer que los archivos con las extensiones antes mencionadas sean guardados en un directorio alternativo, seguir estos pasos, dentro del mIRC:
-
Bajo el menú DCC, elegir Opciones, y luego la ficha titulada Dirs.
-
Oprimir el botón Add.
-
Escribir las extensiones antes mencionadas en el primer cuadro agregándole un asterisco y un punto al principio y separando cada una de ellas mediante comas. Por ejemplo, *.exe, *.pif, *.bat
-
Seleccionar el directorio oprimiendo el botón debajo de la leyenda "Into this Directory". El directorio debe haber sido creado con anterioridad.
Conclusión
Los virus informáticos en el IRC son una real amenaza, por eso lo más importante es estar consciente del alcance que pueden tener, y cómo es posible estar prevenido ante ellos. Siguiendo los pasos antes mencionados, su equipo se encontrará seguro ante cualquier virus o troyano capaz de utilizar el IRC para propagarse.
Su amplia proliferación se debe en gran parte a que los usuarios desconocen o ignoran este tipo de medidas de prevención, indispensables para cualquier persona que utilice el IRC. Mientras que lo sigan haciendo, los virus que utilizan este medio de comunicación seguirán existiendo.
Algunas referencias
Descripción del VBS Stages
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=205
Virus: VBS/Stages.A (VSantivirus No. 110 - 19/jun/00)
http://www.vsantivirus.com/stages.htm
Descripción del IRC/Netol
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=289
(*) Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de LasNoticias.Org
Virus Attack! © 1999-2000. Ignacio M. Sbampato. Todos los derechos
reservados - http://www.virusattack.com.ar
|
|