IwAnywhere v1.1: Nuevo troyano indetectable


Ap0calaps es un desconocido programador de troyanos en Nueva Zelanda. IwAnywhere v1.1 es su nuevo troyano que acaba de editar en Internet a través de su Web con fecha de 20 de julio de 2002.





En una primera prueba con algunos antivirus conocidos, es indetectable en el momento de escribir este artículo (con sumo gusto rectificaré si alguien me demuestra que algún antivirus lo detectaba en la fecha de mi análisis).

Lo he sometido a antivirus como AVP, NOD32, Norton (con base de virus actualizada el 19 de julio), y Panda. También lo he probado con programas específicos antitroyanos como Anti-
Trojan y el excelente Tauscan. En cualquier caso la respuesta es negativa.

El único antivirus que advierte de su presencia en el Servidor (no así en el Editor) es McAfee. Pero quiero dejar bien claro que la configuración por defecto de ese antivirus no detecta inicialmente el troyano. Habría que configurarlo para efectuar un análisis heurístico profundo. Normalmente casi nadie varía (bien por desconocimiento o bien por comodidad) esos datos en un antivirus, por lo que su detección es más bien problemática.

IwAnywhere v1.1 no está en la base de virus de ningún antivirus (incluido McAfee que lo detecta como New BackDoor 2 en un análisis heurístico)

Cabría preguntarnos la razón por la que McAfee no ofrece el análisis heurístico profundo por defecto para que la detección de virus sea más segura. Es posible que la respuesta se halle en los falsos positivos que desde luego desacreditarían a un antivirus.

Lo primero que nos llama la atención en este programa es la ausencia del Cliente. Sabemos que todo troyano se basa en la conocida arquitectura Cliente-Servidor, donde el Cliente es el que instala el atacante en su ordenador y el servidor está instalado mediante engaños en la máquina de la víctima.

A priori es inconcebible un troyano sin Cliente porque entonces el Servidor se queda sin control aparente. Pues bien, IwAnywhere v1.1 soluciona el imponderable con un pequeño ardid consistente en utilizar un navegador de Internet como Cliente.

Esto no es original de Ap0calaps. Recuerdo otros troyanos que utilizaban esta técnica como AckCmd, Back End, CGI Backdoor, Executor, Hooker y RingZero (posiblemente haya más troyanos de este tipo que ahora no recuerdo).

En cualquier caso lo que parece una ventaja inicial, puede convertirse en un inconveniente a la hora de cambiar el puerto de escucha del Servidor.

Todos sabemos que nuestros navegadores de Internet están
configurados para conectarse al puerto 80 de los servidores.
Si a IwAnywhere v1.1 le cambiamos el puerto (algo
perfectamente factible desde el Editor), tendríamos que
adaptar los cambios al navegador, por lo que complicaría su
uso conjunto como Cliente del troyano y como Navegador.

Es por esta razón que creo que este troyano siempre va a
abrir el puerto 80 (HTTP) de los ordenadores que infecte.

Entremos en detalles. ¿Qué funciones tiene IwAnywhere v1.1?

IwAnywhere v1.1 ha mejorado bastante desde su anterior
versión (v1.0). Ha pasado de ser un simple y sencillo
servidor Web que corría silente en el ordenador de la
víctima, a contar con funciones adicionales que lo acercan a
los troyanos más comunes.

IwAnywhere v1.0 era un simple "File Manager" (Administrador
de Archivos). Simplemente permitía al atacante ver cualquier
archivo del ordenador infectado, así como ejecutarlo y subir
otros ficheros. No tenía más funciones. Ni siquiera era
editable el Servidor, por lo que no permitía notificaciones
de ningún tipo y su configuración era invariable. Era un
pésimo troyano que nunca debió preocupar a nadie.

Ahora IwAnywhere v1.1 viene mejorado con respecto a aquel
primer esbozo. En primer lugar destaco la incorporación del
Editor. ¿Qué puede hacer un atacante con él?.

1. Editar el puerto de escucha del Servidor (por defecto el
puerto 80).

2. Configurar el nombre del Servidor una vez instalado en el
ordenador de la víctima. El nombre por defecto es Server.exe,
aunque lógicamente imaginamos que el atacante cambiará ese
nombre por otro menos llamativo.

3. Puede usar una contraseña para el Servidor que le permita
el acceso sólo a él. Si otro atacante quisiera acceder al
mismo Servidor, tendría que crackear el Password, algo
bastante complicado para un usuario normal porque el Servidor
se puede proteger con una contraseña de hasta 16 caracteres.

4. Permite notificación por ICQ. He de destacar no obstante
que este sistema de notificación cada vez se torna más
inestable e inseguro para los atacantes porque ICQ está
utilizando (según se comenta en algunos foros) un sistema de
filtrado de los ICQ Pagers cuando sospecha que alguien
utiliza este servicio de manera fraudulenta. Me parece una
medida acertada que desgraciadamente también se puede eludir
con un pequeño ardid que aquí obviamente no comentaré. Si el
atacante no edita el número de ICQ o UIN, el que está por
defecto en el troyano es 61953894.

5. Puede borrar el Servidor después de la instalación. Una
medida que otros programadores de troyanos están usando para
dificultar más su detección.

6. Permite tres métodos de autoinicio en Windows: Win.ini,
System.ini y en el Registro de Windows (con este último
método no ha funcionado el autoinicio en el ordenador, un
Windows ME, que he utilizado de prueba).

En cuanto a las funciones propias del troyano destaco las
siguientes:

1. Obtención de contraseñas guardadas en el ordenador de la
víctima (Cached Password Grabber),

2. Captura de pantallas (Grab Screen).

3. Información general del ordenador infectado (Sistema
operativo, CPU, etc.).

4. Administrador de procesos corriendo en Windows (Process
Manager).

5. Administrador de archivos en el ordenador de la víctima
(File Manager).

6. Funciones lúdicas como abrir y cerrar el CD-ROM, apagar y
encender el monitor, etc.

Como vemos, es un troyano con escasas funciones y de poca
importancia. Es cierto que ha mejorado con respecto a su
versión anterior, la v1.0, que era tan limitada en funciones
y estaba tan llena de bugs, que ni siquiera he encontrado
análisis realizados en Internet sobre esa versión. Si a esto
añadimos que el troyano no funciona en Windows NT y Windows
2000 (y muy probablemente tampoco en Windows XP), tenemos los
argumentos necesarios para considerar su amenaza como muy
baja.

En definitiva un troyano cuyo único interés radica en que aún
pasa inadvertido para la mayoría de los antivirus y alguien
puede utilizarlo para infectar sin ser detectado. Ante esta
posibilidad desde VSANTIVIRUS damos constancia de su
existencia, instando a las compañías antivirus para que
detecten su código a la mayor brevedad (Nota de Redacción:
Fueron enviadas muestras a las respectivas casas de
antivirus).

Una vez más insistimos en la conveniencia de reforzar la
seguridad de los antivirus con el blindaje de cortafuegos
como ZoneAlarm (en su versión standard es gratuito).


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits



Otras noticias de interés:

Facebook, acusada de violar ley de escuchas telefónicas en EEUU
La noticia llega a través de la demanda interpuesta por una mujer en Estados Unidos, la cual acusa a la red social de violar las leyes federales sobre escuchas telefónicas. La mujer argumenta que Facebook ha llevado a cabo un seguimiento de su hist...
Disponible Cotejo #06
Disponible para su lectura y descarga el número 6 de nuestra eZine Cotejo de VaSlibre, la revista digital referente al Software Libre (GNU/Linux). Disfrutenla!. Estan invitados a enviar sus artículos para la edición especial del mes de diciembre....
Operación "array sort" infinita causa DoS en IE y en FireFox
Microsoft Internet Explorer es propenso a una vulnerabilidad que puede ocasionar que el programa deje de responder. El problema se produce cuando el navegador realiza una operación array sort infinita en JavaScript (método para ordenar una matri...
Aunque no lo crea: Internet Explorer primer lugar contra el malware
Internet Explorer puede tener mucha mala fama arrastrada de años atrás, pero la gente de Microsoft está haciendo algunas cosas bien. Según un análisis independiente hecho por la empresa de seguridad NSS Labs [PDF], IE9 es capaz de filtrar casi t...
Rompiendo el protocolo WPA con clave precompartida (PSK) y el protocolo de integridad de clave temporal (TKIP)
Los proveedores de servicios o ISPs que distribuyen puntos de acceso siguen sin tener presente la seguridad como una necesidad, por lo que en el mejor de los casos utilizan el inseguro protocolo WEP....
Phishing para usuarios de Skype y otros engaños
Según nos informa Lostmon, se ha detectado un nuevo phishing que intenta no solo apropiarse de las cuentas de incautos usuarios, sino también de obtener ganancias directas por medio del robo de datos personales relacionados con sitios de pa...
Falsas aplicaciones invaden a Facebook
La curiosidad de descubrir quien visita nuestro perfil de Facebook o saber qué hizo una chica para arruinar su vida en tan sólo un minuto se ha convertido en un gancho cada vez más utilizado para distribuir en spam en la red social....
Estudio acerca de la seguridad en la autenticación de clientes Twitter
INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los cli...
Microsoft anuncia más parches para el próximo martes
Además de la actualización de seguridad publicada de forma adelantada la semana pasada, Microsoft anunció para el próximo martes 10 de abril, 5 nuevos boletines. ...
Safe Creative lanza servicio para certificar el envío de un e-mail
mailstamper.com, un servicio que tiene como objetivo obtener la prueba de envío de un correo electrónico....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • indetectable
  • informatica
  • internet
  • isos
  • iwanywhere
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra