Lithium v1.02: Nueva versión aún indetectable


Los programadores de Lithium odian a los Lammers. Ni siquiera quieren llamar a sus programas como Troyanos (Trojans). Creen que son lo suficientemente serios para llamarlos R.A.T. (Remote Administration Tools: Herramientas de Administración Remota).





Por Marcos Rico (*)
marcos@videosoft.net.uy

No hay más que instalar el cliente de Lithium para apercibirnos de que estamos ante un troyano distinto. El diseño es impecable y aparentemente muy profesional. Ésta es la versión 1.02 Final y ha mejorado muchas funciones respecto a las anteriores.

Aún no es detectado este troyano por ningún antivirus del mundo porque acaba de salir a Internet con fecha 19 de julio
de 2002. Hago una llamada de atención a las compañías antivirus para que estudien su código lo antes posible con el fin de proveer una vacuna para todos los internautas.

Los antivirus actualizados reconocen algunas librerías, pero todavía no el cliente].

Pero entremos en detalles. Primero he de advertirles que sólo he tenido unas horas para probarlo, así que posiblemente me pase inadvertida alguna función importante de Lithium.

1. Puede controlar desde el cliente el servidor instalado en el ordenador de la víctima con funciones como Cerrar el Servidor, Eliminar el Servidor, Reiniciar el Servidor, Clientes Conectados al Servidor, Control de los Plugins para aumentar la potencia de control de remoto, Nueva Configuración del Servidor (en caso de que el atacante quiera variar sus valores desde su propio ordenador sin necesidad de que el Editor y el Servidor se encuentren en el mismo ordenador) y Cuentas del Servidor (para configurar la entrada al mismo).

2. En la función "Files" puede explorar archivos en el ordenador de la víctima, así como hacer búsquedas por tipos de archivos (por ejemplo, *.mp3) e incluso ejecutar archivos en la máquina de la víctima con el consabido riesgo que conlleva.

3. Posee un potente Explorador del Registro que permite buscar entradas y modificarlas, detalla la Lista de Procesos pudiendo acabar con ellos en cualquier momento (función "Terminate") o establecer un rango de prioridad (función "Change Priority"), detalla los archivos compartidos en red, muestra mensajes de alerta en la pantalla de la víctima (mensajes que el propio atacante puede configurar desde el cliente del troyano con la función "Message Box"), posee un potente Keylogger que registra todas las teclas pulsadas en el ordenador de la víctima (con posibilidad de volcar los datos robados a un archivo de texto) y otra función llamada Remote Shell.

4. Puede transformarse también en un Web Downloader controlable desde el mismo cliente. Sólo hay que especificar la URL para descargar el archivo en el ordenador de la víctima.

5. Posee Captura de Pantallas con dos algoritmos de compresión: LZH y LZRW1/KH.

6. Provee al atacante de información básica sobre el sistema que infecta Sistema Operativo, CPU, memoria disponible, etc.). También posee una función (Cached Passwords) que le comunica al atacante todas las claves guardadas en el ordenador de la víctima.

7. Posee muchas "funciones divertidas" (Fun Stuffs le llaman en Lithium). He de destacar que estas funciones no aportan nada al trabajo profesional de una herramienta de control remoto (R.A.T.), por lo que la supuesta profesionalidad de este troyano tal vez se vea mancillada por este pequeño matiz. Aún así, pasemos a describir algunas de estas funciones lúdicas:

Puede mostrar o esconder iconos del Escritorio (así como el botón de inicio y el reloj), abre y cierra el CD-ROM, esconde y muestra el cursor, inhabilita teclas, controla el ratón, elimina Control + Alt + Del y Alt + Tab, etc.

8. Escanea rangos de IPs en busca de ordenadores infectados.

9. Captura el sonido del micrófono (primer troyano que conozco al que le funciona esta función), captura las imágenes de la Web Cam y graba las imágenes en un archivo.

Si alguien resultara infectado con este troyano, convendría saber que por defecto el nombre del archivo del servidor en el ordenador de la víctima es Shell32.exe. El puerto que utiliza por defecto es el 31415 y la clave que deja en el registro es Shell32. Puede configurarse el editor para correr en Run (Local Machine), en Run (Current User), en RunServices (Local Machine) y en RunServices (Current User).

Una vez que instalamos el servidor, por defecto nos aparecerá este mensaje:

Unable to load SHELL16.DLL, exiting

Por último, este troyano permite la notificación por CGI. En este caso el Script elegido por defecto es:

/cgi-bin/serverlist
/serverlist.pl?display=notify&access=%ACCESS%&version=
%VERSION%&serverid=%SERVERID%&cpu=%CPUSPEED%&os=
%OS%&port=%PORT%&iplist=%IPLIST%

En definitiva un troyano completo con pocos errores que puede funcionar perfectamente para espiar ordenadores ajenos. Todos los datos por defecto son susceptibles de cambio según las necesidades del atacante, lo que haría más complicada su desinfección.

El cliente funciona con la ayuda de varias librerías DLL. Algunas de estas librerías son ya conocidas por los antivirus, así que las detectarán sin el menor problema:

SRV_PORTSCAN.DLL y SRV_MULTIMEDIA.DLL.

Otras que aún pasan inadvertidas son: SRV_CAPTURE.DLL, SRV_FUNSTUFF.DLL,
CLI_CAPTURE.DLL y SRV_PWINFO.DLL.

La detección del archivo lithium102.zip donde están todos los archivos del troyano es bastante capciosa, pues en realidad sólo detecta las DLL indicadas pero no el troyano en sí. He de decirles que las DLL detectadas no forman parte del servidor sino del cliente, por lo que no tendrá ningún efecto sobre la detección en el ordenador infectado.

Finalmente he de advertir que existen dos versiones de este troyano: la primera versión está comprimida (así pensada para
su uso rápido) y la segunda versión contiene todos los archivos sin comprimir. Esto permitiría manejar mejor el troyano para hacerlo indetectable cuando los antivirus detecten su código.

Una vez más el mejor consejo ante un troyano que de momento es indetectable es desconfiar de todo archivo que nos llegue de una procedencia dudosa y proveernos de un buen cortafuegos como ZoneAlarm o el Tyni.

En pocos días (e incluso horas) tendremos la vacuna para
Lithium V1.02 Final. De momento cuídense de este peligroso
troyano.



Otras noticias de interés:

Vulnerabilidad de Google podría ayudar al phising
El servicio de correo de Google, GMail, sufre de un fallo de seguridad que hace trivial a los atacantes crear páginas con una estética auténtica para robar los datos de acceso tal y como ha demostrado un experto de seguridad. Otros servicios como ...
Apple y FireFox parchean vulnerabilidades en Java
Tras el incremento de ataques en equipos Mac a través de varias vulnerabilidades presentes en versiones antiguas de Java, Apple ha movido ficha con la liberación de dos actualizaciones de seguridad. Se trata, concretamente, de un parche de Java par...
Redes LAN, WAN, MAN ...
Un muy buen artículo sobre las redes LAN, WAN, MAN ... , lectura recomendada para conocer sobre ella. Elementos comunes en la conexión de oficinas, ciudades e incluso países. En el artículo se describen los elementos básicos de una red de dispos...
Google libera el código fuente de Chrome
Google ha liberado el código fuente de su navegador Chrome bajo una permisiva licencia BSD que le permite ser incorporado en otras aplicaciones tanto abiertas como propietarias (!). ...
Phishing en Yahoo Messenger
Desde el viernes viene circulando un scam que se propaga por Yahoo MSN. Lo hace mediante mensajes instantáneos a quienes estén en la lista de contactos y su finalidad es robar los datos del usuario. ...
Linux y Android de la mano
Linux esta más cerca de Android que nunca. El pasado domingo Linus Torvalds, el creador de Linux, publicó la versión 3.3 del kernel de su sistema operativo. Lo más importante es que incluía la fusión del código de Android en el kernel. Algo qu...
El mayor antivirus público de Internet
VirusTotal es un nuevo servicio de detección de virus, gusanos y malware en general, que permite analizar archivos con múltiples motores antivirus. Cualquier usuario de Internet puede enviar archivos o mensajes sospechosos y obtendrá de forma ...
Internet Explorer 7 versión final, para finales de año
La nueva versión corrige más de 1000 bugs, mejora la gestión de los controles ActiveX y la seguridad en general, y por primera vez podrá ser instalado como una actualización automática....
Vieja vulnerabilidad reaparece en Internet Explorer
Internet Explorer se bloquea si introducimos como dirección la cadena C:AUX o visualizamos una página web que contenga etiquetas HTML con referencias a dicho nombre de archivo, lo que posibilita realizar ataques DoS de forma remota. Una vez más la...
Sigue hambriento. Sigue atolondrado...
Aquí les dejo el discurso que dio Steve Jobs, Director Ejecutivo de Apple Computer y Pixar Animation Studios, el 12 de junio de 2005 en una ceremonia de graduación en la Universidad de Stanford. El discuso está en un...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aun
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • indetectable
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lithium
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • version
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra