Lithium v1.02: Nueva versión aún indetectable


Los programadores de Lithium odian a los Lammers. Ni siquiera quieren llamar a sus programas como Troyanos (Trojans). Creen que son lo suficientemente serios para llamarlos R.A.T. (Remote Administration Tools: Herramientas de Administración Remota).





Por Marcos Rico (*)
marcos@videosoft.net.uy

No hay más que instalar el cliente de Lithium para apercibirnos de que estamos ante un troyano distinto. El diseño es impecable y aparentemente muy profesional. Ésta es la versión 1.02 Final y ha mejorado muchas funciones respecto a las anteriores.

Aún no es detectado este troyano por ningún antivirus del mundo porque acaba de salir a Internet con fecha 19 de julio
de 2002. Hago una llamada de atención a las compañías antivirus para que estudien su código lo antes posible con el fin de proveer una vacuna para todos los internautas.

Los antivirus actualizados reconocen algunas librerías, pero todavía no el cliente].

Pero entremos en detalles. Primero he de advertirles que sólo he tenido unas horas para probarlo, así que posiblemente me pase inadvertida alguna función importante de Lithium.

1. Puede controlar desde el cliente el servidor instalado en el ordenador de la víctima con funciones como Cerrar el Servidor, Eliminar el Servidor, Reiniciar el Servidor, Clientes Conectados al Servidor, Control de los Plugins para aumentar la potencia de control de remoto, Nueva Configuración del Servidor (en caso de que el atacante quiera variar sus valores desde su propio ordenador sin necesidad de que el Editor y el Servidor se encuentren en el mismo ordenador) y Cuentas del Servidor (para configurar la entrada al mismo).

2. En la función "Files" puede explorar archivos en el ordenador de la víctima, así como hacer búsquedas por tipos de archivos (por ejemplo, *.mp3) e incluso ejecutar archivos en la máquina de la víctima con el consabido riesgo que conlleva.

3. Posee un potente Explorador del Registro que permite buscar entradas y modificarlas, detalla la Lista de Procesos pudiendo acabar con ellos en cualquier momento (función "Terminate") o establecer un rango de prioridad (función "Change Priority"), detalla los archivos compartidos en red, muestra mensajes de alerta en la pantalla de la víctima (mensajes que el propio atacante puede configurar desde el cliente del troyano con la función "Message Box"), posee un potente Keylogger que registra todas las teclas pulsadas en el ordenador de la víctima (con posibilidad de volcar los datos robados a un archivo de texto) y otra función llamada Remote Shell.

4. Puede transformarse también en un Web Downloader controlable desde el mismo cliente. Sólo hay que especificar la URL para descargar el archivo en el ordenador de la víctima.

5. Posee Captura de Pantallas con dos algoritmos de compresión: LZH y LZRW1/KH.

6. Provee al atacante de información básica sobre el sistema que infecta Sistema Operativo, CPU, memoria disponible, etc.). También posee una función (Cached Passwords) que le comunica al atacante todas las claves guardadas en el ordenador de la víctima.

7. Posee muchas "funciones divertidas" (Fun Stuffs le llaman en Lithium). He de destacar que estas funciones no aportan nada al trabajo profesional de una herramienta de control remoto (R.A.T.), por lo que la supuesta profesionalidad de este troyano tal vez se vea mancillada por este pequeño matiz. Aún así, pasemos a describir algunas de estas funciones lúdicas:

Puede mostrar o esconder iconos del Escritorio (así como el botón de inicio y el reloj), abre y cierra el CD-ROM, esconde y muestra el cursor, inhabilita teclas, controla el ratón, elimina Control + Alt + Del y Alt + Tab, etc.

8. Escanea rangos de IPs en busca de ordenadores infectados.

9. Captura el sonido del micrófono (primer troyano que conozco al que le funciona esta función), captura las imágenes de la Web Cam y graba las imágenes en un archivo.

Si alguien resultara infectado con este troyano, convendría saber que por defecto el nombre del archivo del servidor en el ordenador de la víctima es Shell32.exe. El puerto que utiliza por defecto es el 31415 y la clave que deja en el registro es Shell32. Puede configurarse el editor para correr en Run (Local Machine), en Run (Current User), en RunServices (Local Machine) y en RunServices (Current User).

Una vez que instalamos el servidor, por defecto nos aparecerá este mensaje:

Unable to load SHELL16.DLL, exiting

Por último, este troyano permite la notificación por CGI. En este caso el Script elegido por defecto es:

/cgi-bin/serverlist
/serverlist.pl?display=notify&access=%ACCESS%&version=
%VERSION%&serverid=%SERVERID%&cpu=%CPUSPEED%&os=
%OS%&port=%PORT%&iplist=%IPLIST%

En definitiva un troyano completo con pocos errores que puede funcionar perfectamente para espiar ordenadores ajenos. Todos los datos por defecto son susceptibles de cambio según las necesidades del atacante, lo que haría más complicada su desinfección.

El cliente funciona con la ayuda de varias librerías DLL. Algunas de estas librerías son ya conocidas por los antivirus, así que las detectarán sin el menor problema:

SRV_PORTSCAN.DLL y SRV_MULTIMEDIA.DLL.

Otras que aún pasan inadvertidas son: SRV_CAPTURE.DLL, SRV_FUNSTUFF.DLL,
CLI_CAPTURE.DLL y SRV_PWINFO.DLL.

La detección del archivo lithium102.zip donde están todos los archivos del troyano es bastante capciosa, pues en realidad sólo detecta las DLL indicadas pero no el troyano en sí. He de decirles que las DLL detectadas no forman parte del servidor sino del cliente, por lo que no tendrá ningún efecto sobre la detección en el ordenador infectado.

Finalmente he de advertir que existen dos versiones de este troyano: la primera versión está comprimida (así pensada para
su uso rápido) y la segunda versión contiene todos los archivos sin comprimir. Esto permitiría manejar mejor el troyano para hacerlo indetectable cuando los antivirus detecten su código.

Una vez más el mejor consejo ante un troyano que de momento es indetectable es desconfiar de todo archivo que nos llegue de una procedencia dudosa y proveernos de un buen cortafuegos como ZoneAlarm o el Tyni.

En pocos días (e incluso horas) tendremos la vacuna para
Lithium V1.02 Final. De momento cuídense de este peligroso
troyano.



Otras noticias de interés:

Boletines de seguridad de la Fundación Mozilla
La Fundación Mozilla ha publicado diez boletines de seguridad (del MFSA2011-19 al MFSA2011-28) para solucionar 17 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey)....
HP y Microsoft anunciaron procesamiento de operaciones más rápido del mundo
HP (NYSE:HPQ) y Microsoft Corp. (Nasdaq:MSFT) anunciaron el resultado más rápido del mundo en una prueba TPC-C (OLTP) en un solo sistema: 658.277 operaciones por segundo. La prueba TPC-C fue realizada en un servidor HP Superdome con el sistema Wind...
¿Qué falla en Linux? Según Shuttleworth, la usabilidad
Mark Shuttleworth, creador de Canonical y responsable del desarrollo de la distribución Ubuntu, participó en las conferencias LinuxCon para hablar de los problemas que afectan a la adopción del sistema operativo Linux en el escritorio....
La virtualización se consolida y el cloud computing comienza a despegar
Según un estudio de Forrester Research cada vez más compañías adoptan estas tendencias, sobre todo los servidores virtualizados. Forrester Research ha llevado a cabo una encuesta a más de 2.600 tomadores de decisiones dentro del ámbito tecnoló...
Nueva Edición TuxInfo #27
Está disponible para su descarga. el número 27 de la revista en formato digital Tuxinfo....
Tenicas de Hack con Condon
Hackear con condón - Esto significa que cuando quieras hackear algun sistema usando Telnet y FTP pongas barreras entre tu y el sistema objetivo. En el siguiente diagrama se muestra un hacker sin proteccion:...
Revista Hackers & Developers
Hackers & Developers es un Magazine digital de distribución libre y gratuita, sobre Software Libre, Hacking y Programación. Se distribuye mensualmente bajo una licencia Creative Commons....
Internet es controlado por industria corrupta
En una carta, publicada a finales del pasado enero, se fueron con todo contra Hollywood y la industria cinematográfica....
Comienza el cerco a la barra libre en Internet
Era demasiado bonito para ser cierto. Llegar a casa, encender el ordenador y ver o descargar tu vídeo favorito sin pagar un euro. Un repertorio audiovisual casi infinito que abarcaba desde el programa de televisión que nos perdimos ayer, la casposa...
Ejecución de código remoto en Samba
Se ha anunciado una grave vulnerabilidad en Samba que podría permitir la ejecución remota de código como usuario root a través de una conexión anónima (sin autenticar)....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aun
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • indetectable
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lithium
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • version
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra