Institution FWB 1.1 Un troyano que atraviesa cortafuegos


Hace unos días José Luis López de VSAntivirus nos advertía de un troyano que se dio a conocer en la conferencia anual de hackers llamada DefCon 10 (en una de las anteriores conferencias se presentó el troyano Sub7 DefCon como la versión más avanzada en aquel momento de un troyano).





En DefCon todo es extraño, casi paranoico. El pasado año
incluso en la convención anual DefCon 9, siete representantes
del gobierno norteamericano se descubrieron (no obstante, en
DefCon existe una especie de "juego" llamado Met The Fed,
averigua quiénes son los federales, para "invitarles" a
abandonar el recinto) y solicitaron la colaboración de
algunos de los mejores hackers que asistían a la célebre
convención anual.

Que duda cabe que todo lo que se dice (y se prueba) en DefCon
es el presagio inmediato de nuevas técnicas de ataque. Por
ello cuando decían que no publicarían el nuevo troyano
(Setiri) que traspasa cortafuegos, ello no nos tranquilizaba
porque otros programadores a la mayor brevedad posible
desarrollarían la idea y la publicarían.

Parece que ya tenemos el primer troyano (al menos en
apariencia) que es capaz de desarrollar la tecnología que
traspasa cortafuegos, FWB (FireWall Bypassing), y está
publicado en Internet.

El gran problema de este tipo de troyanos es que son capaces
de camuflarse perfectamente en otro proceso legítimo del
ordenador para que así permanezcan ocultos a cualquier
programa que nos detalle todos los procesos que se oculten a
Control + Alt + Supr en Win9x. Incluso se podrían esconder de
los cortafuegos.

Aún es éste un troyano muy limitado en sus funciones. Parece
que su autor ha querido anticipar la novedad de la técnica
antes que programar realmente un troyano funcional y
peligroso. Pero, repito, este troyano posee en teoría (habría
que ver cómo se comporta en la práctica) las características
más avanzadas de un troyano en la actualidad en cuanto a
capacidad de intrusión.

No es mi intención de momento en este artículo someterlo a un
exhaustivo análisis técnico, sino simplemente informar a
nuestros lectores de su existencia. Es tan novedoso que aún
no he podido probarlo en redes LAN protegidas por
cortafuegos, routers, proxies, etc.,. Es por ello que todas
estas palabras deben Uds. ponerlas en una razonable duda.

Básicamente Institution FWB 1.1 es un troyano que maneja
archivos, es decir, introduce y extrae archivos del ordenador
donde está instalado el servidor. Su autor asegura que puede
traspasar los proxies y los routers de las redes LAN con una
tecnología muy similar a la que usa el troyano Assa*Sin*.

El servidor se genera a partir del cliente (que a su vez
también es un editor). El archivo que deja en nuestro
ordenador una vez instalado es elegido por el atacante (por
defecto no encontramos ningún nombre). Éste también elige si
decide comprimirlo con UPX o no (por defecto siempre es
comprimido).

La única función del troyano es la transferencia de archivos.
Esto podría ser usado para extraer información de la víctima
o para introducir en su ordenador otros virus y troyanos.

También usa un método de notificación mediante IP estática o,
en su defecto, IP dinámica asociada a una DNS fija (el mismo
método de Assa*Sin* para las conexiones salientes o Outgoing
Connections).

He sometido Institution FWB 1.1 a la acción de algunos
antivirus y estos son los resultados (18/08/2002):

KAV: Detecta tanto el cliente como el servidor del troyano.
El nombre que le da al troyano es BackDoor.Institon.11.

Dr. Web: Detecta el archivo client.exe como BackDoor Aphex,
pero no podemos admitir la detección como válida porque no es
capaz de detectar el servidor que client.exe genera, que es a
la postre el archivo que infecta los ordenadores, es decir,
el servidor del troyano (server.exe).

McAfee: No detecta nada.

Norton: Ningún archivo es detectado.

Per Antivirus: No detecta client.exe ni server.exe.

Panda Antivirus: No detecta ni el cliente ni el servidor.

NOD32: No detecta ningún archivo.

Anti-Trojan: No detecta nada.

Tauscan: Ningún archivo detectado.

The Cleaner: No detecta ningún archivo.

Hasta la fecha de mi análisis (18/8/2002) sólo AVP (KAV) en
la actualización del 18 de agosto es capaz de detectar su
código. El troyano también escapa al motor heurístico de
todos los antivirus y antitroyanos probados, incluido el
potente motor heurístico de troyanos de McAfee.

Nota Redacción: Otros antivirus han agregado este troyano a
sus bases luego del envío de la muestra, o lo agregarán en
las próximas horas (entre ellos Panda, Per Antivirus, Norton,
F-Secure, Norman, F-Prot, etc.). Por ejemplo, al momento de
la publicación de este artículo nos han confirmado la
detección estos antivirus):

The Hacker 5.3: lo detecta como w32/Inst11.trojan desde las
5:05 de Uruguay.

La posibilidad de infección es baja y su peligro moderado.
Una vez más los administradores de redes LAN son los que más
precaución deben tener con un troyano como Institution FWB
1.1, debido a que está pensado para atravesar todo tipo de
protecciones en esos sistemas.

Vuelvo a insistir en que me parece un troyano más digno de
mencionar por la idea que ha manejado su programador que por
el peligro real que supone para todos, que más bien es
pequeño.

El sentido común a la hora de bajar archivos de direcciones
dudosas de Internet y no aceptar nada de un desconocido, es
básico para protegernos de estas amenazas. Veremos también
cómo reaccionan las empresas que programan cortafuegos.

(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits, y colaborador de VSAntivirus.com.


Otras noticias de interés:

Microsoft confirma los primeros ataques contra una brecha de día cero en XP
Microsoft ha confirmado que los hackers han empezado a explotar la vulnerabilidad de día cero en Windows hecha pública la semana pasada por un ingeniero de Google....
Desbordamiento de búfer en Microsoft Exchange 5.5
Existe una vulnerabilidad de seguridad en Microsoft Exchange 5.5 debido a un desbordamiento de búfer en el código de Internet Mail Connector (IMC) al generar la respuesta al comando EHLO....
Actualización de seguridad de IE (Javaprxy.dll)
Microsoft acaba de publicó una actualización de seguridad para la vulnerabilidad en el objeto COM de Javaprxy.dll...
Facebook elimina las aplicaciones para ver quién visita tu perfil
Parece ser que Facebook ha bloqueado y eliminado todas las aplicaciones que decían poder saber quien visitaba tu perfil en la red social....
Porno con troyano para Android
Clasificado como Trojan-SMS, se ha descubierto un nuevo malware en los móviles basados en la plataforma de Google que hace que llamen a números Premium sin el consentimiento del usuario....
Nuevo troyano secuestra DNS en masa
Investigadores han identificado un nuevo troyano que puede interferir con una amplia gama de dispositivos en una red local, con un exploit que les envía para falsear sitios web aún si se tratan de máquinas aseguradas, completamente emparchadas o q...
Actualización de Java instala un scan McAfee
Los usuarios de Windows que instalen los últimos parches de seguridad Java pueden terminar con algo más de seguridad de la que desean, al menos es un riesgo que corren si no prestan suficiente atención al proceso de instalación. Desde el mes pasa...
MS parchea EMET, su herramienta de seguridad empresarial
Microsoft ha parcheado EMET, una herramienta de seguridad empresarial que ha impedido que algunas copias de Chrome se actualicen....
Perdidas de información ¿y ahora que hago?
Esta es una de las expresiones más comunes cuando descubres que por un fallo humano, de software o hardware, esos datos tan valiosos y de los que no tenemos copias de seguridad han desaparecido. Por supuesto si tuviéramos copias de seguridad de tod...
El perfil tiene un precio en las redes sociales
La información es poder y cuanta más información, mayor será el poder, económico sí, pero no único. ¿Qué cuesta a los usuarios de las redes sociales que entiendan y comprendan que cuanta más información hagan pública, ya sea de su persona...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • atraviesa
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cortafuegos
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • fwb
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • institution
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra