PEST Remote Keylogger: nuestros datos al descubierto


Un keylogger es un programa que permite recoger toda la actividad de un teclado en un determinado momento. Es una herramienta de espionaje muy potente porque puede rebelar las contraseñas más prolijas en sólo unos segundos. Lo único necesario es que la víctima teclee antes la contraseña. A partir de ese momento la misma habrá quedado almacenada en un archivo secreto del ordenador que el propio keylogger ha creado, hasta que el atacante decida escudriñar en su contenido.





Por Marcos Rico (*)
marcos@videosoft.net.uy

Como digo, el keylogger puede sustituir a los mejores crackeadores de contraseñas porque es mucho más rápido y eficiente. Muchos usuarios creen que están muy seguros detrás de esos programas que encriptan documentos con algoritmos muy fuertes. Ésta es una falsa percepción de seguridad que se esfuma si tenemos subrepticiamente un keylogger instalado en nuestro ordenador. ¿De qué le sirve a Ud. una contraseña segura si cada vez que la teclea el keylogger la recoge y se la envía a un atacante?.

Otros usuarios redactan en su ordenador documentos privados que luego encriptan para que nadie los pueda leer. Pues bien, con un keylogger este procedimiento no servirá para nada porque irá grabando en tiempo real las pulsaciones del teclado, independientemente de que luego encriptemos el documento o no.

Los primeros keyloggers eran accesibles sólo desde el propio ordenador infectado. Básicamente lo que hacían era volcar la información tecleada sobre un archivo de texto (en la mayoría de las ocasiones estaba codificado para que la víctima no pudiera leer accidentalmente el contenido) que se ubicaba en cualquier directorio escondido del ordenador.

Este método, como digo, tenía el inconveniente de que el atacante había de tener un acceso físico al ordenador de la víctima, es decir, tenía que sentarse delante del ordenador para espiarlo y esto tenía poco sentido.

Los keyloggers en esencia eran programas orientados hacia el espionaje de un director en la oficina donde trabajan sus empleados, o hacia la labor de seguimiento de un padre ante las posibles actividades ilegales o poco éticas de su hijo ante el ordenador (qué páginas visita, con quién se comunica en los chats, etc.).

Los keyloggers son legales y hay empresas que los comercializan legítimamente como cualquier otro programa.

He aquí los nombres de algunos keyloggers legales que se pueden encontrar en Internet: PC Activity Monitor Net, Spector Keylogger, Starr Pro, Spy Agent, Red Hand, Invisible Keylogger Stealth, etc.

Por supuesto con los keyloggers pasa lo mismo que con los spywares: si hay keyloggers, también hay anti-keyloggers. El primero de estos programas (y tal vez el mejor) es Flagship Software Application Anti-keylogger? (www.anti-
keyloggers.com).

Su autor nos asegura que si somos osados de mostrarles un keylogger que no sea capaz de detectar su producto, nos regalará una licencia para poder usarlo sin pagar nada. Pues acabo de enviarle un correo electrónico mostrándole que PEST Remote Keylogger pasa inadvertido a su producto. Veamos ahora como reaccionan.

Hoy día los keyloggers se han sofisticado bastante y no requieren ni siquiera la presencia física del espía ante el ordenador espiado. Pueden perfectamente guardar offline los datos en un archivo secreto codificado y luego, cuando la víctima esté online, enviar secretamente todos los datos logueados a una dirección de correo electrónico. Espiar es tan fácil como leer nuestro correo electrónico.

En algunos casos estos programas son detectados por los antivirus y en otros casos no. Generalmente la política seguida por las compañías antivirus es acertada porque atienden a las intenciones del programador del keylogger.

Un keylogger se considera legítimo cuando se sobreentiende que alguien debe acceder físicamente al ordenador espiado para instalarlo. Aún así el keylogger nunca debe instalarse silenciosamente, sino que debe advertir de su presencia en el momento de la instalación. Obviamente después debe funcionar silente en el ordenador haciendo su trabajo.

Cuando en cambio el keylogger emula la manera de instalación silenciosa de un troyano, entonces las compañías antivirus tienden a detectarlo y eliminarlo.

Creemos que el nuevo keylogger llamado PEST Remote posee todas las características de una amenaza para nuestra privacidad porque su instalación es silenciosa y abre un puerto en nuestro ordenador exactamente igual que lo haría un troyano. Es más, viene acompañado de un cliente para conectar con el propio keylogger.

De esta manera el atacante conectará con el keylogger (equivalente al servidor de un troyano) y éste se activará para recoger todas las pulsaciones del teclado: es la única función que posee, por ello no podemos considerarlo estrictamente un troyano. En la pantalla del cliente aparecerá en modo auto-scroll todo lo tecleado por la víctima.

Desde luego antes de catalogar a PEST Remote como un keylogger ilegítimo que los antivirus deberían detectar, lo he sometido a una prueba en mi propio ordenador.

Lo primero que me llama la atención es que PEST Remote Keylogger no deja ningún método de autoarranque en mi ordenador (Windows ME). Cuando he realizado una comparativa de entradas de registro y archivos modificados tras la instalación del keylogger, esto es lo que he obtenido:

Valores añadidos:

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion
ExplorerUserAssist{75048700-EF1F-11D0-9888-
006097DEACF9}CountHRZR_EHACNGU:P:Zvf
qbphzragbfGrfg IvehfFreire.rkr: 18 00 00 00 06 00 00 00 C0
99 F5 A4 40
4D C2 01

Valores modificados:

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion
ExplorerUserAssist{75048700-EF1F-11D0-9888-
006097DEACF9}CountHRZR_EHACNGU:
18 00 00 00 0B 04 00 00 E0 BB DA 87 40 4D C2 01
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion
ExplorerUserAssist{75048700-EF1F-11D0-9888-
006097DEACF9}CountHRZR_EHACNGU:
18 00 00 00 0C 04 00 00 C0 99 F5 A4 40 4D C2 01

Archivos modificados:

C:WINDOWSUSER.DAT
C:WINDOWSWIN386.SWP
C:WINDOWSAPPLOGAPPLOG.ind
C:WINDOWSInternet LogsIAMDB.RDB
C:WINDOWSInternet LogsCOOL.ldb
C:WINDOWSInternet LogsZALog.txt

Como podemos observar, todo es normal. Ni siquiera ha creado un archivo, así que el propio server.exe actúa de keylogger sin necesidad de crear otro archivo como sucede en muchos troyanos.

Después de este comportamiento he decidido comprobar si el keylogger realmente funciona. He conectado entonces vía Internet con mi propia IP y ciertamente funciona. El puerto que abre es el 112 y he logrado recoger en el cliente (puerto 32840) un texto escrito en mi ordenador infectado.

He de destacar que al no poseer ningún método de autoarranque, el keylogger se desactivará cuando apaguemos el ordenador y no se volverá a activar hasta que no hagamos otra vez doble clic sobre el archivo infectado. Es pues, muy poco indicado para realizar un seguimiento continuo de nuestras actividades.

También escapa inadvertido a Anti-keylogger porque no deja ningún archivo logueado, simplemente lo vuelca todo en tiempo real al cliente (si éste está offline, no habrá posibilidad de recoger los datos tecleados).

El riesgo de infección es bajo y su peligrosidad, como vemos, es mínima. La mejor recomendación pasa por actualizar a la mayor brevedad nuestro antivirus y disponer de un buen cortafuegos.


Fuente:VSAntivirus

Otras noticias de interés:

Revista Libre GUbuntu.es #1
El 29/05/2009 los amigos de gubuntu.es publicaron la 2da edición de su revista, orientada especificamente a Ubuntu....
Mandriva no pagará a Microsoft por su protección
El equipo francés que está detrás de la distro de Linux ha rechazado públicamente cualquier acercamiento que pueda hacer Microsoft en su plan de acoger a todos los desarrolladores de código abierto....
Cookies: Nos ayudan o nos asaltan?
Sin lugar a dudas, las cookies son herramientas indispensables en la sociedad de la información. Mejoran la experiencia de navegación de los usuarios, mostrándoles contenidos y publicidad afines a ellos, contribuyen a la mejora constante de los se...
Avance de los boletines de seguridad de Microsoft para junio.
Un avance sobre los próximos boletines fue publicado en el sitio web de Microsoft, anunciando las siguientes actualizaciones disponibles después de la segunda semana de junio. ...
RealOne y RealPlayer vulnerables a un ataque
Existen al menos tres graves vulnerabilidades en los populares reproductores de archivos multimedia, RealOne y RealPlayer, que permiten a un atacante ejecutar código en forma remota, comprometiendo la seguridad de la máquina afectada....
Grupo de parches de enero para diversos productos Oracle
Oracle ha publicado un conjunto de cincuenta parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. ...
III Libro blanco del Software Libre.
El III Libro Blanco del Software Libre ha sido presentado en la III Conferencia Internacional del Software Libre celebrada en Badajoz....
El ataque de la señora de la limpieza en Ubuntu y Debian Desktop
Con este simpático nombre han bautizado los chicos de PING Labs a un ataque que afecta a Ubuntu y Debian –y posiblemente a muchas otras distribuciones de GNU/Linux. Este ataque permitiría acceder sin problemas a las sesiones bloqueadas con un sal...
Revista Digital El Derecho Informático Nº 12
Está disponible la edición número 12 de la revista digital El Derecho Informático....
La seguridad en los tiempos del hipervínculo
Hoy día con un simple clic en un hipervínculo podemos disparar un virus, ser víctimas de suplantación de identidad de un banco y, por tanto, sufrir una estafa....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • datos
  • debian
  • descubierto
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • keylogger
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuestros
  • opensource
  • pest
  • pgp
  • php
  • remote
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra