PEST Remote Keylogger: nuestros datos al descubierto


Un keylogger es un programa que permite recoger toda la actividad de un teclado en un determinado momento. Es una herramienta de espionaje muy potente porque puede rebelar las contraseñas más prolijas en sólo unos segundos. Lo único necesario es que la víctima teclee antes la contraseña. A partir de ese momento la misma habrá quedado almacenada en un archivo secreto del ordenador que el propio keylogger ha creado, hasta que el atacante decida escudriñar en su contenido.





Por Marcos Rico (*)
marcos@videosoft.net.uy

Como digo, el keylogger puede sustituir a los mejores crackeadores de contraseñas porque es mucho más rápido y eficiente. Muchos usuarios creen que están muy seguros detrás de esos programas que encriptan documentos con algoritmos muy fuertes. Ésta es una falsa percepción de seguridad que se esfuma si tenemos subrepticiamente un keylogger instalado en nuestro ordenador. ¿De qué le sirve a Ud. una contraseña segura si cada vez que la teclea el keylogger la recoge y se la envía a un atacante?.

Otros usuarios redactan en su ordenador documentos privados que luego encriptan para que nadie los pueda leer. Pues bien, con un keylogger este procedimiento no servirá para nada porque irá grabando en tiempo real las pulsaciones del teclado, independientemente de que luego encriptemos el documento o no.

Los primeros keyloggers eran accesibles sólo desde el propio ordenador infectado. Básicamente lo que hacían era volcar la información tecleada sobre un archivo de texto (en la mayoría de las ocasiones estaba codificado para que la víctima no pudiera leer accidentalmente el contenido) que se ubicaba en cualquier directorio escondido del ordenador.

Este método, como digo, tenía el inconveniente de que el atacante había de tener un acceso físico al ordenador de la víctima, es decir, tenía que sentarse delante del ordenador para espiarlo y esto tenía poco sentido.

Los keyloggers en esencia eran programas orientados hacia el espionaje de un director en la oficina donde trabajan sus empleados, o hacia la labor de seguimiento de un padre ante las posibles actividades ilegales o poco éticas de su hijo ante el ordenador (qué páginas visita, con quién se comunica en los chats, etc.).

Los keyloggers son legales y hay empresas que los comercializan legítimamente como cualquier otro programa.

He aquí los nombres de algunos keyloggers legales que se pueden encontrar en Internet: PC Activity Monitor Net, Spector Keylogger, Starr Pro, Spy Agent, Red Hand, Invisible Keylogger Stealth, etc.

Por supuesto con los keyloggers pasa lo mismo que con los spywares: si hay keyloggers, también hay anti-keyloggers. El primero de estos programas (y tal vez el mejor) es Flagship Software Application Anti-keylogger? (www.anti-
keyloggers.com).

Su autor nos asegura que si somos osados de mostrarles un keylogger que no sea capaz de detectar su producto, nos regalará una licencia para poder usarlo sin pagar nada. Pues acabo de enviarle un correo electrónico mostrándole que PEST Remote Keylogger pasa inadvertido a su producto. Veamos ahora como reaccionan.

Hoy día los keyloggers se han sofisticado bastante y no requieren ni siquiera la presencia física del espía ante el ordenador espiado. Pueden perfectamente guardar offline los datos en un archivo secreto codificado y luego, cuando la víctima esté online, enviar secretamente todos los datos logueados a una dirección de correo electrónico. Espiar es tan fácil como leer nuestro correo electrónico.

En algunos casos estos programas son detectados por los antivirus y en otros casos no. Generalmente la política seguida por las compañías antivirus es acertada porque atienden a las intenciones del programador del keylogger.

Un keylogger se considera legítimo cuando se sobreentiende que alguien debe acceder físicamente al ordenador espiado para instalarlo. Aún así el keylogger nunca debe instalarse silenciosamente, sino que debe advertir de su presencia en el momento de la instalación. Obviamente después debe funcionar silente en el ordenador haciendo su trabajo.

Cuando en cambio el keylogger emula la manera de instalación silenciosa de un troyano, entonces las compañías antivirus tienden a detectarlo y eliminarlo.

Creemos que el nuevo keylogger llamado PEST Remote posee todas las características de una amenaza para nuestra privacidad porque su instalación es silenciosa y abre un puerto en nuestro ordenador exactamente igual que lo haría un troyano. Es más, viene acompañado de un cliente para conectar con el propio keylogger.

De esta manera el atacante conectará con el keylogger (equivalente al servidor de un troyano) y éste se activará para recoger todas las pulsaciones del teclado: es la única función que posee, por ello no podemos considerarlo estrictamente un troyano. En la pantalla del cliente aparecerá en modo auto-scroll todo lo tecleado por la víctima.

Desde luego antes de catalogar a PEST Remote como un keylogger ilegítimo que los antivirus deberían detectar, lo he sometido a una prueba en mi propio ordenador.

Lo primero que me llama la atención es que PEST Remote Keylogger no deja ningún método de autoarranque en mi ordenador (Windows ME). Cuando he realizado una comparativa de entradas de registro y archivos modificados tras la instalación del keylogger, esto es lo que he obtenido:

Valores añadidos:

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion
ExplorerUserAssist{75048700-EF1F-11D0-9888-
006097DEACF9}CountHRZR_EHACNGU:P:Zvf
qbphzragbfGrfg IvehfFreire.rkr: 18 00 00 00 06 00 00 00 C0
99 F5 A4 40
4D C2 01

Valores modificados:

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion
ExplorerUserAssist{75048700-EF1F-11D0-9888-
006097DEACF9}CountHRZR_EHACNGU:
18 00 00 00 0B 04 00 00 E0 BB DA 87 40 4D C2 01
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion
ExplorerUserAssist{75048700-EF1F-11D0-9888-
006097DEACF9}CountHRZR_EHACNGU:
18 00 00 00 0C 04 00 00 C0 99 F5 A4 40 4D C2 01

Archivos modificados:

C:WINDOWSUSER.DAT
C:WINDOWSWIN386.SWP
C:WINDOWSAPPLOGAPPLOG.ind
C:WINDOWSInternet LogsIAMDB.RDB
C:WINDOWSInternet LogsCOOL.ldb
C:WINDOWSInternet LogsZALog.txt

Como podemos observar, todo es normal. Ni siquiera ha creado un archivo, así que el propio server.exe actúa de keylogger sin necesidad de crear otro archivo como sucede en muchos troyanos.

Después de este comportamiento he decidido comprobar si el keylogger realmente funciona. He conectado entonces vía Internet con mi propia IP y ciertamente funciona. El puerto que abre es el 112 y he logrado recoger en el cliente (puerto 32840) un texto escrito en mi ordenador infectado.

He de destacar que al no poseer ningún método de autoarranque, el keylogger se desactivará cuando apaguemos el ordenador y no se volverá a activar hasta que no hagamos otra vez doble clic sobre el archivo infectado. Es pues, muy poco indicado para realizar un seguimiento continuo de nuestras actividades.

También escapa inadvertido a Anti-keylogger porque no deja ningún archivo logueado, simplemente lo vuelca todo en tiempo real al cliente (si éste está offline, no habrá posibilidad de recoger los datos tecleados).

El riesgo de infección es bajo y su peligrosidad, como vemos, es mínima. La mejor recomendación pasa por actualizar a la mayor brevedad nuestro antivirus y disponer de un buen cortafuegos.


Fuente:VSAntivirus

Otras noticias de interés:

Publicada el primer número de una revista hecha en Honduras, enfocada a GNU/Linux y Software Libre.
Su nombre es Informática Libre y aunque parece que será editada en papel para su venta, han liberado su primera edición en PDF y está lista para ser descargada....
Los riesgos empresariales con los dispositivos móviles
Según una reciente encuesta, más de la mitad de las personas, suelen almacenar archivos relacionados con sus trabajos, tales como correo electrónico y documentos confidenciales, en medios no seguros, ignorando los riesgos que esto puede traer a la...
Nueva versión WattOS Alpha2
wattOS, una nueva distribución GNU/Linux basada en Ubuntu y recomendada para equipos de muy bajos recursos acaba de lanzar sus segunda Alpha....
Nueva versión de Tuquito 2.0 Beta
Nuestros amigos tucumanos de Tuquito anunciaron la versión 2 (Beta) de su cada vez más reconocida distribución LiveCD. ...
WebCast Microsoft-Hispasec sobre malware y soluciones
Bajo el título Defensa en profundidad contra software malintencionado (Virus) se celebrará el próximo 26 de enero un seminario virtual y gratuito a través de Internet impartido por Microsoft e Hispasec....
Ocho fabricantes se alían para llevar Linux al mercado de electrónica de consumo
En un movimiento que podría acercar Linux a las masas, seis grandes fabricantes de electrónica han formado una alianza para promover el desarrollo del sistema de código abierto para dispositivos digitales de audio, vídeo y telefonía móvil. Este...
Cualquiera puede pinchar las conversaciones móviles
O cualquiera que invierta tan solo 1.000 dólares de equipo con el que romper el cifrado de cualquier conexión GSM, según demostró una nueva técnica presentada en la conferencia Black Hat que se ha celebrado en Washington....
Pakistán ofrece software gratuito para bloquear la pornografía en la red
El país asiático planea ofrecer software informático gratis con el fin de filtrar las websites que contengan material pornográfico, considerado antiético y ofensivo por la nación musulmana, según ayer revelaron fuentes oficiales. ...
Salen a la luz algunos detalles del futuro chip G5 para Power Mac
El fabricante de Mac ha dejado entrever algunos detalles de lo que será la nueva línea de ordenadores que contendrán el esperado chip G5. La nueva línea de Power Macs funcionarán mucho más rápido que los actuales, de una velocidad aproximada d...
Cómo descargar vídeos de Yahoo! Launch
A continuación expondremos un pequeño tutorial multiplataforma para descargar vídeos de Yahoo! Launch (tanto del sitio español como del internacional)....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • datos
  • debian
  • descubierto
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • keylogger
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuestros
  • opensource
  • pest
  • pgp
  • php
  • remote
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra