Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

ELF/Trojan.Typot (Stumbler). Forma una red de escaneo
 
VSantivirus No. 1079 Año 7, Sábado 21 de junio de 2003

ELF/Trojan.Typot (Stumbler). Forma una red de escaneo
http://www.vsantivirus.com/typot.htm

Nombre: ELF/Trojan.Typot
Tipo: Caballo de Troya (Linux)
Alias: 55808, Stumbler, Dubbed Stumbler, Trojan.Linux.Typot, ELF_TYPOT.A, ELF_TYPOT.B
Fecha: 20/jun/03
Plataforma: Linux
Tamaño: 116,580 bytes (A), 456,321 bytes (B)

Este troyano afecta solo a sistemas Linux. Sin embargo, pueden existir variantes para otros Unix. Parece basado en otros troyanos creados originalmente para Windows.

Hasta el momento se han detectado dos variantes, que difieren solo en el tamaño de su código (116,580 bytes la "A" y 456,321 bytes la "B"). El troyano genera paquetes TCP de 55,808 bytes.

Una vez por segundo, el troyano envía paquetes TCP falsos a la red, generando un aumento notorio de tráfico. Las direcciones IP origen y destino de esos paquetes son creadas en forma randómica. Las únicas características fijas de los paquetes parece ser el tamaño de 55,808 bytes.

Adicionalmente, el troyano escudriña el tráfico de la red, interceptando cualquier paquete con el mismo tamaño de ventana que él genera (creados por otros equipos infectados). Cada vez que detecta alguno, agrega la información contenida en el mismo a un archivo llamado "r" en el directorio actual (generalmente "/tmp/.../r").

Cada 24 horas, examina si el archivo "r" existe, y en caso afirmativo se conecta a una dirección IP fija para enviarlo. Esta dirección (12.108.65.76), está especificada en su código (presuntamente un equipo controlado por el autor). Para ello utiliza el puerto TCP/22, normalmente usado también por SSH.

SSH (Secure Shell), es un software cuya principal función es permitir la conexión remota segura a sistemas a través de canales inseguros, aunque también se utiliza para la ejecución de órdenes en ese sistema remoto o transferir archivos desde o hacia él de manera fiable.

El troyano está preparado para recibir un paquete especial que puede contener una sucesión de direcciones IP a las que podría enviar su información, en lugar de la dirección fija, pero ello no está habilitado en esta versión.

Si la conexión falla, el troyano borra el archivo "/tmp/.../a" y se quita él mismo del sistema. El archivo eliminado es el propio ejecutable del troyano.

Si la conexión es exitosa, borra en cambio el archivo "/temp/.../r" y continúa escaneando. Cuando intercepte paquetes con las características ya explicadas, volverá a crear dicho archivo para copiar allí la nueva información, continuando el ciclo.

Utiliza enlaces estáticos a las librerías libnet y libpcap para la captura y falsificación del tráfico de red. El código del troyano esta encriptado con un simple XOR (máscara que opera bit a bit cada byte).


Información para administradores

Se recomienda implementar alguna regla que notifique cualquier conexión con las direcciones mencionadas, por ejemplo:

alert tcp any any -> 12.108.65.76/32 22 (msg:"Stumbler Trojan";)

Otros signos de infección son la existencia de los archivos "/tmp/…/a" y "/tmp/…/r", o que la interface de red se encuentre en modo promiscuo.


Más información:

"Stumbler", una red distribuida y oculta de escaneo
http://www.vsantivirus.com/ev-stumbler.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS