IwAnywhere v1.1: Nuevo troyano indetectable


Ap0calaps es un desconocido programador de troyanos en Nueva Zelanda. IwAnywhere v1.1 es su nuevo troyano que acaba de editar en Internet a través de su Web con fecha de 20 de julio de 2002.





En una primera prueba con algunos antivirus conocidos, es indetectable en el momento de escribir este artículo (con sumo gusto rectificaré si alguien me demuestra que algún antivirus lo detectaba en la fecha de mi análisis).

Lo he sometido a antivirus como AVP, NOD32, Norton (con base de virus actualizada el 19 de julio), y Panda. También lo he probado con programas específicos antitroyanos como Anti-
Trojan y el excelente Tauscan. En cualquier caso la respuesta es negativa.

El único antivirus que advierte de su presencia en el Servidor (no así en el Editor) es McAfee. Pero quiero dejar bien claro que la configuración por defecto de ese antivirus no detecta inicialmente el troyano. Habría que configurarlo para efectuar un análisis heurístico profundo. Normalmente casi nadie varía (bien por desconocimiento o bien por comodidad) esos datos en un antivirus, por lo que su detección es más bien problemática.

IwAnywhere v1.1 no está en la base de virus de ningún antivirus (incluido McAfee que lo detecta como New BackDoor 2 en un análisis heurístico)

Cabría preguntarnos la razón por la que McAfee no ofrece el análisis heurístico profundo por defecto para que la detección de virus sea más segura. Es posible que la respuesta se halle en los falsos positivos que desde luego desacreditarían a un antivirus.

Lo primero que nos llama la atención en este programa es la ausencia del Cliente. Sabemos que todo troyano se basa en la conocida arquitectura Cliente-Servidor, donde el Cliente es el que instala el atacante en su ordenador y el servidor está instalado mediante engaños en la máquina de la víctima.

A priori es inconcebible un troyano sin Cliente porque entonces el Servidor se queda sin control aparente. Pues bien, IwAnywhere v1.1 soluciona el imponderable con un pequeño ardid consistente en utilizar un navegador de Internet como Cliente.

Esto no es original de Ap0calaps. Recuerdo otros troyanos que utilizaban esta técnica como AckCmd, Back End, CGI Backdoor, Executor, Hooker y RingZero (posiblemente haya más troyanos de este tipo que ahora no recuerdo).

En cualquier caso lo que parece una ventaja inicial, puede convertirse en un inconveniente a la hora de cambiar el puerto de escucha del Servidor.

Todos sabemos que nuestros navegadores de Internet están
configurados para conectarse al puerto 80 de los servidores.
Si a IwAnywhere v1.1 le cambiamos el puerto (algo
perfectamente factible desde el Editor), tendríamos que
adaptar los cambios al navegador, por lo que complicaría su
uso conjunto como Cliente del troyano y como Navegador.

Es por esta razón que creo que este troyano siempre va a
abrir el puerto 80 (HTTP) de los ordenadores que infecte.

Entremos en detalles. ¿Qué funciones tiene IwAnywhere v1.1?

IwAnywhere v1.1 ha mejorado bastante desde su anterior
versión (v1.0). Ha pasado de ser un simple y sencillo
servidor Web que corría silente en el ordenador de la
víctima, a contar con funciones adicionales que lo acercan a
los troyanos más comunes.

IwAnywhere v1.0 era un simple "File Manager" (Administrador
de Archivos). Simplemente permitía al atacante ver cualquier
archivo del ordenador infectado, así como ejecutarlo y subir
otros ficheros. No tenía más funciones. Ni siquiera era
editable el Servidor, por lo que no permitía notificaciones
de ningún tipo y su configuración era invariable. Era un
pésimo troyano que nunca debió preocupar a nadie.

Ahora IwAnywhere v1.1 viene mejorado con respecto a aquel
primer esbozo. En primer lugar destaco la incorporación del
Editor. ¿Qué puede hacer un atacante con él?.

1. Editar el puerto de escucha del Servidor (por defecto el
puerto 80).

2. Configurar el nombre del Servidor una vez instalado en el
ordenador de la víctima. El nombre por defecto es Server.exe,
aunque lógicamente imaginamos que el atacante cambiará ese
nombre por otro menos llamativo.

3. Puede usar una contraseña para el Servidor que le permita
el acceso sólo a él. Si otro atacante quisiera acceder al
mismo Servidor, tendría que crackear el Password, algo
bastante complicado para un usuario normal porque el Servidor
se puede proteger con una contraseña de hasta 16 caracteres.

4. Permite notificación por ICQ. He de destacar no obstante
que este sistema de notificación cada vez se torna más
inestable e inseguro para los atacantes porque ICQ está
utilizando (según se comenta en algunos foros) un sistema de
filtrado de los ICQ Pagers cuando sospecha que alguien
utiliza este servicio de manera fraudulenta. Me parece una
medida acertada que desgraciadamente también se puede eludir
con un pequeño ardid que aquí obviamente no comentaré. Si el
atacante no edita el número de ICQ o UIN, el que está por
defecto en el troyano es 61953894.

5. Puede borrar el Servidor después de la instalación. Una
medida que otros programadores de troyanos están usando para
dificultar más su detección.

6. Permite tres métodos de autoinicio en Windows: Win.ini,
System.ini y en el Registro de Windows (con este último
método no ha funcionado el autoinicio en el ordenador, un
Windows ME, que he utilizado de prueba).

En cuanto a las funciones propias del troyano destaco las
siguientes:

1. Obtención de contraseñas guardadas en el ordenador de la
víctima (Cached Password Grabber),

2. Captura de pantallas (Grab Screen).

3. Información general del ordenador infectado (Sistema
operativo, CPU, etc.).

4. Administrador de procesos corriendo en Windows (Process
Manager).

5. Administrador de archivos en el ordenador de la víctima
(File Manager).

6. Funciones lúdicas como abrir y cerrar el CD-ROM, apagar y
encender el monitor, etc.

Como vemos, es un troyano con escasas funciones y de poca
importancia. Es cierto que ha mejorado con respecto a su
versión anterior, la v1.0, que era tan limitada en funciones
y estaba tan llena de bugs, que ni siquiera he encontrado
análisis realizados en Internet sobre esa versión. Si a esto
añadimos que el troyano no funciona en Windows NT y Windows
2000 (y muy probablemente tampoco en Windows XP), tenemos los
argumentos necesarios para considerar su amenaza como muy
baja.

En definitiva un troyano cuyo único interés radica en que aún
pasa inadvertido para la mayoría de los antivirus y alguien
puede utilizarlo para infectar sin ser detectado. Ante esta
posibilidad desde VSANTIVIRUS damos constancia de su
existencia, instando a las compañías antivirus para que
detecten su código a la mayor brevedad (Nota de Redacción:
Fueron enviadas muestras a las respectivas casas de
antivirus).

Una vez más insistimos en la conveniencia de reforzar la
seguridad de los antivirus con el blindaje de cortafuegos
como ZoneAlarm (en su versión standard es gratuito).


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits



Otras noticias de interés:

7 parches de Microsoft Windows para el día 14/02/2006
Microsoft, como de costumbre, ha publicado una nota para adelantar lo que supondrá su actualización mensual de febrero. A grandes rasgos, anuncia que el martes día 14 publicará siete parches de seguridad que ...
Utilidad para vigilar el uso del Modo Protegido de IE
El modo protegido de Internet Explorer es, en realidad, el uso de control de integridad aplicado al navegador de Microsoft. Una especie de sandbox. Esta funcionalidad aporta una medida extra de seguridad a Internet Explorer, además de ser, junto a C...
Varios sitios webs caen víctimas de una nueva oleada de ataques
Piratas infromáticos han lanzado una campaña masiva de ataques Web, poniendo links maliciosos sobre miles de servidores, según ha advertido Kaspersky....
Fallos de seguridad en plugins para WordPress
Alex Concha, de Buayacorp, ha examinado la seguridad de los cuatro plugins ganadores del concurso Weblog Tools Collection y afirma haber encontrado vulnerabilidades en todos ellos....
Spam Falsos positivos
Es posible que en estos días, muchos administradores de sitios web o de redes corporativas, reciban quejas de que sus correos son catalogados de Spam o sencillamente son devueltos. Conozco a más de un IT que ha pasado horas tratando de resolver el...
Estafan 33.000 dólares a través de ransomware a diario
Los cibercrimales están haciendo de su actividad todo un arte. Ya no se trata de notoriedad, ni siquiera de ponerse a buscar vulnerabilidades que dejen nuestros secretos al alcance del mejor postor. Y es que extorsionar por Internet se ha convertido...
Inteco alerta de troyano que envía órdenes a otros pc
El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha catalogado - Mdmbot. A -, un virus que tiene funcionalidades de puerta trasera, de forma que, cuando infecta un equipo, un atacante puede conectarse con ese computador para enviarl...
WMF, conspiraciones y Windows Vista
Steve Gibson ha publicado una, cuando menos, curiosa teoría. La famosa vulnerabilidad de los Windows MetaFile (WMF) que ha supuesto una pesadilla para Microsoft (obligándola, quizás por presiones externas, a romper su ciclo...
Múltiples navegadores vulnerables a ataques XSS
Una vulnerabilidad del tipo XSS (cross-site scripting), ha sido reportada en múltiples navegadores. La misma puede ser explotada por atacantes remotos para ejecutar scripts (archivos de comandos), de forma arbitraria....
Microsoft lo admite: No hemos seguido los estándares Web
Los estándares son importantes, admitió Frank Arrigo, añadiendo que si observamos IE6, en realidad no seguimos todos los estándares, pero son importantes... IE7 es un ejemplo de que estamos tratando de resolver el problema. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • indetectable
  • informatica
  • internet
  • isos
  • iwanywhere
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra