Institution FWB 1.1 Un troyano que atraviesa cortafuegos


Hace unos días José Luis López de VSAntivirus nos advertía de un troyano que se dio a conocer en la conferencia anual de hackers llamada DefCon 10 (en una de las anteriores conferencias se presentó el troyano Sub7 DefCon como la versión más avanzada en aquel momento de un troyano).





En DefCon todo es extraño, casi paranoico. El pasado año
incluso en la convención anual DefCon 9, siete representantes
del gobierno norteamericano se descubrieron (no obstante, en
DefCon existe una especie de "juego" llamado Met The Fed,
averigua quiénes son los federales, para "invitarles" a
abandonar el recinto) y solicitaron la colaboración de
algunos de los mejores hackers que asistían a la célebre
convención anual.

Que duda cabe que todo lo que se dice (y se prueba) en DefCon
es el presagio inmediato de nuevas técnicas de ataque. Por
ello cuando decían que no publicarían el nuevo troyano
(Setiri) que traspasa cortafuegos, ello no nos tranquilizaba
porque otros programadores a la mayor brevedad posible
desarrollarían la idea y la publicarían.

Parece que ya tenemos el primer troyano (al menos en
apariencia) que es capaz de desarrollar la tecnología que
traspasa cortafuegos, FWB (FireWall Bypassing), y está
publicado en Internet.

El gran problema de este tipo de troyanos es que son capaces
de camuflarse perfectamente en otro proceso legítimo del
ordenador para que así permanezcan ocultos a cualquier
programa que nos detalle todos los procesos que se oculten a
Control + Alt + Supr en Win9x. Incluso se podrían esconder de
los cortafuegos.

Aún es éste un troyano muy limitado en sus funciones. Parece
que su autor ha querido anticipar la novedad de la técnica
antes que programar realmente un troyano funcional y
peligroso. Pero, repito, este troyano posee en teoría (habría
que ver cómo se comporta en la práctica) las características
más avanzadas de un troyano en la actualidad en cuanto a
capacidad de intrusión.

No es mi intención de momento en este artículo someterlo a un
exhaustivo análisis técnico, sino simplemente informar a
nuestros lectores de su existencia. Es tan novedoso que aún
no he podido probarlo en redes LAN protegidas por
cortafuegos, routers, proxies, etc.,. Es por ello que todas
estas palabras deben Uds. ponerlas en una razonable duda.

Básicamente Institution FWB 1.1 es un troyano que maneja
archivos, es decir, introduce y extrae archivos del ordenador
donde está instalado el servidor. Su autor asegura que puede
traspasar los proxies y los routers de las redes LAN con una
tecnología muy similar a la que usa el troyano Assa*Sin*.

El servidor se genera a partir del cliente (que a su vez
también es un editor). El archivo que deja en nuestro
ordenador una vez instalado es elegido por el atacante (por
defecto no encontramos ningún nombre). Éste también elige si
decide comprimirlo con UPX o no (por defecto siempre es
comprimido).

La única función del troyano es la transferencia de archivos.
Esto podría ser usado para extraer información de la víctima
o para introducir en su ordenador otros virus y troyanos.

También usa un método de notificación mediante IP estática o,
en su defecto, IP dinámica asociada a una DNS fija (el mismo
método de Assa*Sin* para las conexiones salientes o Outgoing
Connections).

He sometido Institution FWB 1.1 a la acción de algunos
antivirus y estos son los resultados (18/08/2002):

KAV: Detecta tanto el cliente como el servidor del troyano.
El nombre que le da al troyano es BackDoor.Institon.11.

Dr. Web: Detecta el archivo client.exe como BackDoor Aphex,
pero no podemos admitir la detección como válida porque no es
capaz de detectar el servidor que client.exe genera, que es a
la postre el archivo que infecta los ordenadores, es decir,
el servidor del troyano (server.exe).

McAfee: No detecta nada.

Norton: Ningún archivo es detectado.

Per Antivirus: No detecta client.exe ni server.exe.

Panda Antivirus: No detecta ni el cliente ni el servidor.

NOD32: No detecta ningún archivo.

Anti-Trojan: No detecta nada.

Tauscan: Ningún archivo detectado.

The Cleaner: No detecta ningún archivo.

Hasta la fecha de mi análisis (18/8/2002) sólo AVP (KAV) en
la actualización del 18 de agosto es capaz de detectar su
código. El troyano también escapa al motor heurístico de
todos los antivirus y antitroyanos probados, incluido el
potente motor heurístico de troyanos de McAfee.

Nota Redacción: Otros antivirus han agregado este troyano a
sus bases luego del envío de la muestra, o lo agregarán en
las próximas horas (entre ellos Panda, Per Antivirus, Norton,
F-Secure, Norman, F-Prot, etc.). Por ejemplo, al momento de
la publicación de este artículo nos han confirmado la
detección estos antivirus):

The Hacker 5.3: lo detecta como w32/Inst11.trojan desde las
5:05 de Uruguay.

La posibilidad de infección es baja y su peligro moderado.
Una vez más los administradores de redes LAN son los que más
precaución deben tener con un troyano como Institution FWB
1.1, debido a que está pensado para atravesar todo tipo de
protecciones en esos sistemas.

Vuelvo a insistir en que me parece un troyano más digno de
mencionar por la idea que ha manejado su programador que por
el peligro real que supone para todos, que más bien es
pequeño.

El sentido común a la hora de bajar archivos de direcciones
dudosas de Internet y no aceptar nada de un desconocido, es
básico para protegernos de estas amenazas. Veremos también
cómo reaccionan las empresas que programan cortafuegos.

(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits, y colaborador de VSAntivirus.com.


Otras noticias de interés:

Google advierte de una infección de malware
Google está utilizando su motor de búsquedas para advertir a los usuarios que podrían tener sus equipos infectados con un software que interceptaría su conexión a Google.com y otros sites....
Los certificados SSL, en entredicho
La Electronic Frontier Foundation ha mostrado que los certificados SSL, utilizados en el protocolo HTTPS para conexiones web seguras, están siendo utilizados sin verificación. Esta empresa ha publicado una investigación que muestra que el sistema ...
Alemania no firmará el ACTA
Alemania no secundará la normativa anti-piratería internacional conocida como ACTA (Anti-Counterfeiting Trade Agreement), firmada el pasado 1 de octubre....
CHINA ENVIÓ A PRISIÓN A VARIOS WEBMASTERS
Cuatro webmasters chinos han sido condenados a largas penas de prisión por delito de subversión. La corte pekinesa sentenció al geólogo Jin Haike, de 27 años de edad, y a Xu Wei, periodista de 28, a diez años de prisión. Los otros acusados, un...
Grupo Vaslibre presente en las Jornadas de Software Libre en la UNEFA
El próximo sábado 11 de Julio 2009 Fundacite Carabobo realizará unas Jornadas en la UNEFA (Universidad Nacional Experimental Politécnica de la Fuerza Armada) que esta ubicada en Naguanagua - Estado Carabobo...
Ingeniería inversa en parche crítico de Microsoft
Investigadores del proveedor de administración de vulnerabilidades Qualys Inc. descubrieron esta semana como hacer ingeniería inversa de un parche de Microsoft para realizar un ataque de denegación de servicio en el servidor DNS de Windows....
Hacker obtiene los archivos del diseño de la lanzadera de la NASA
Dan Verton, reportero de ComputerWorld, recibió los documentos electrónicos pertenecientes al diseño de la una lanzadera de la NASA. Estos documentos fueron enviados por un hacker, para probar que había accedido a los ordenadores del centro. ...
OJO: Facebook te vigila
Facebook está vigilando las actualizaciones en muro y las conversaciones que los usuarios mantienen a través de su chat, supuestamente, con el fin de localizar actividades criminales y notificárselas a la policía....
Nueva vulnerabilidad afecta el Samsung Galaxy S3
Los clientes del Samsung Galaxy S3 parecen no tener tranquilidad. A las graves vulnerabilidades que ya afectaban al dispositivo interno ahora se ha sumado una reciente. Un cliente ha hallado una reciente variante del exploit que deja saltarse la pant...
Día internacional de "Weblogger"
Hoy se celebra en todo el mundo el II día Internacional del Weblogger....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • atraviesa
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cortafuegos
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • fwb
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • institution
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra