CyberSpy v8.4: Un servidor de Telnet que es un troyano


En un principio, cuando ni siquiera existía la interfaz gráfica amistosa de la World Wide Web que todos conocemos ahora, los ordenadores en la Red se manejaban de una forma similar al MS-DOS, es decir, con líneas de comando.





Por Marcos Rico (*)
marcos@videosoft.net.uy

Eran los tiempos de TELNET. Hoy día los nuevos internautas
poco experimentados ni siquiera saben qué es TELNET.
Sencillamente ha caído en desuso, lo cual no significa que
haya desaparecido por completo.

TELNET básicamente conecta ordenadores en Internet. Es por
tanto una herramienta para el control remoto de ordenadores
que se encuentran físicamente alejados pero conectados a
través de la Red.

Si una dirección normal de Internet (URL) empieza como http:/
/*, en TELNET empezaría de la forma telnet:/ /*.

Sabemos que en TELNET hay clientes (equivalentes a los
navegadores de Internet actuales) y servidores. El ordenador
que contiene el Cliente de TELNET es denominado comúnmente
Terminal. También se acepta por consenso que los Terminales
se conectan con el Host (un ordenador más grande y complejo).

Esta pequeña introducción a TELNET nos sirve para entender el
daño que puede realizar un programa como el que estamos
analizando.

CyberSpy v8.4 es un servidor de TELNET. Ante todo quiero
dejar bien claro que los servidores de TELNET son programas
perfectamente legítimos que incluso podemos descargarnos de
Internet para transformar nuestro ordenador en otro de los
servicios de TELNET que proveen información en la Red.

Sabemos que hay excelentes servidores de TELNET como
Fictional Daemon, Pragma TelnetServer, SLnet, VShell, WAISS,
etc.. Unos son gratuitos y otros son de pago, pero en
cualquier caso son programas legales que cualquiera se puede
bajar de Internet.

Un antivirus jamás detectará uno de esos programas legales,
pero sin embargo sí que debería detectar este servidor de
TELNET que aquí comento. ¿Por qué?

Una vez más la clave está en la forma de instalación del
servidor de TELNET. Si para instalarse el servidor nos pide
acceso en pantalla e incluso permite que lo configuremos,
entonces podemos colegir que las intenciones del programador
son buenas. En cambio, si observamos que el servidor de
TELNET se instala de manera silente sin pedir datos al
usuario, entonces podemos imaginar que las intenciones del
programador del servidor de TELNET son perversas.

Esto último es lo que pasa cabalmente con CyberSpy v8.4. Otro
dato que nos debe hacer desconfiar es que el servidor de
TELNET viene acompañado de un Editor. Con este editor el
atacante puede configurar los datos del Servidor sin
necesidad de hacerlo en la propia máquina de la víctima.

Los antivirus con buen criterio suelen reconocer estos
programas como amenazas. Ya conocemos los casos históricos de
otros Servidores de TELNET como Fire HacKer, Tiny Telnet
Server - TTS y Truva Atl. Todos ellos se consideraron como
código maligno y fueron detectados.

Pero entremos en detalles. ¿Qué podemos decir de CyberSpy
v8.4?

1. El nombre del archivo, una vez ejecutado en el ordenador
de la víctima, es Mswincfg32.exe; aunque es configurable a
elección del atacante.

2. En el Registro de Windows deja la entrada Mswincfg. Una
vez más he de decir que es editable la entrada a voluntad del
atacante.

3. El puerto que utiliza por defecto es el 14194 en vez del
más común para TELNET, 23.

4. Para notificar al atacante utiliza dos sistemas. El más
usado es la notificación por ICQ. También acepta notificación
por E-Mail.

5. Puede generar un falso mensaje de error en el ordenador de
la víctima cuando ejecute el Servidor de TELNET. El mensaje
por defecto (aunque editable) es el siguiente:

Fatal Error
This application requires at least
Microsoft Windows 95 to run!

6. Posee un pequeño Binder para fijar el Servidor a cualquier
otro ejecutable. También es indetectable.

7. Tiene una función muy curiosa que aplaza la ejecución del
Servidor de TELNET hasta la fecha elegida por el atacante.
Por defecto la fecha es 4-6-2003, aunque la función no viene
activada en el Servidor a menos que el atacante lo permita.

8. Para proteger aún más su invisibilidad en el ordenador de
la víctima, sólo abre el puerto de escucha cuando la víctima
está online. Esta función por defecto está desactivada.

9. Puede proteger el Servidor con una contraseña para que
sólo el atacante pueda acceder al ordenador infectado.

10. Por último, otra función curiosa que posee es que puede
falsear los datos del comando Netstat cuando el Cliente de
TELNET entre en conexión con el Servidor. Esto permitiría al
atacante ocultar su IP a la víctima.

Es obvio que para conectar con CyberSpy v8.4 el atacante
necesitará un cliente de TELNET legal. Con él tendrá control
remoto sobre el ordenador de la víctima.

Las últimas pruebas realizadas a las 4:00 AM (horario de
Europa) de hoy 24 de julio sobre la indetectabilidad de
CyberSpy v8.4 mostraban estos resultados:

Dr. Web: Detectable como BackDoor Trojan
McAfee: Detectable como BackDoor NT (tanto el Editor como
el Servidor).
Anti-Trojan: Indetectable.
Tauscan: Indetectable.
Norton: Indetectable.
Panda: Indetectable.
F-PROT: Indetectable.
AVP: Indetectable.
NOD32: Indetectable.

(Nota de Redacción: en el momento de la publicación de este
artículo, la lista de antivirus que habían examinado la
muestra enviada y publicado las actualizaciones ha aumentado,
según se muestra al final).

Al no ser un programa que se autoenvíe por E-Mail, no es de
alto riesgo, pero es nuestra obligación informar de todas las
amenazas que encontremos por Internet.

Una vez más nuestro consejo apunta hacia la instalación de un
buen cortafuegos en espera de la actualización
correspondiente de nuestro antivirus.

(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits

Otras noticias de interés:

El poder de las botnets
Una noticia acaparó la atención de los medios tecnológicos las últimas dos semanas. La cadena internacional de noticias BBC, a través de su programa BBC Click, realizó una tarea de investigación bastante particular respecto al cibercrimen....
Malware hacktivista para Android
blogs.eset-la.com reportam una nueva amenaza que Además de existir campañas en contra de esta aplicación, en esta oportunidad se detectó un código malicioso que inyectado en una versión anterior del video juego (Beta 0.981), presenta una secci...
Microsoft lanza la madre de todos los parches
Microsoft lanzó ayer un nuevo parche para Internet Explorer que promete arreglar seis fallos de seguridad recientemente descubiertos que afectan al navegador. El parche, para IE 5.01, 5.5, y 6.0, incluye la funcionalidad de los que habían salido an...
McAfee: Es necesario mejorar seguridad en infraestructuras críticas
La compañía de seguridad alerta sobre la necesidad de mejorar los sistemas de seguridad en las empresas que gestionan y controlan infraestructuras críticas. McAfee, como otras empresas de seguridad, ha pronosticado un aumento del número y la comp...
La burbuja de VMWare
La virtualización supuso un boom y sin lugar a dudas el mayor protagonista, en cuanto a ganancias económicas y de usuarios fue VMWare. Pasado el boom de la virtualización, con las mejoras introducidas por las compañías de hardware, AMD e Intel e...
Nueva versión VLC 1.1.0
El reproductor multimedia VLC es otro de los claros ejemplos de éxito en software libre. Con él se puede visualizar prácticamente cualquier contenido multimedia del mercado. ...
Adobe Flash Player 9 Beta para Linux: ya disponible
Por fin, tras varios meses de espera, y saltando de la versón 7 del player de Flash directamente a la 9, ya está disponible una versión beta de esta última para el sistema operativo Linux. Adiós a las páginas que indicaban: ...
Denegación de servicio en Monkey HTTP Server
Monkey HTTP Server se ve afectado por una vulnerabilidad de denegación de servicio. Monkey es un servidor Web escrito en C para trabajar bajo sistemas Linux. Se trata de un proyecto OpenSource basado en el protocolo HTTP/1.1. Recientemente se ha dad...
Absurdo: Bolivia quiere imponer multas por insultar a Evo Morales en redes sociales
De acuerdo con el vicepresidente Álvaro García Linera, se multaría a quien hable en términos discriminatorios del mandatario boliviano en redes sociales. Y bueno, ¿cómo se darían cuenta si estoy insultando al presidente? Según el Ministro de ...
Microsoft publicará cinco boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cinco boletines de seguridad. Las cinco actualizaciones afectan a toda la gama de sistemas operativos Microsoft....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cyberspy
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • servidor
  • system
  • tecnologia
  • telnet
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra