Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troyanos, ventanas invisibles y cortafuegos
 
VSantivirus No. 761 - Año 6 - Jueves 8 de agosto de 2002

Troyanos, ventanas invisibles y cortafuegos
http://www.vsantivirus.com/08-08-02.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Una nueva tecnología revelada esta semana en DefCon, la conferencia anual de seguridad que reúne a hackers, profesionales de la seguridad e investigadores de crímenes cibernéticos, parece terminar con la protección que brindan los cortafuegos a nuestras computadoras.

La técnica, revelada por tres investigadores sudafricanos, básicamente disfraza a un troyano, haciéndolo pasar por el Internet Explorer, habilitando de este modo conexiones que para el cortafuegos son legales (el Internet Explorer es habilitado por defecto por un cortafuegos, porque de lo contrario no podríamos navegar por los distintos sitios Web).

Según los especialistas, esto se ha estado advirtiendo desde hace más de dos años, enmarcándolo como un inevitable próximo paso en técnicas avanzadas de intrusión, y hoy es un hecho. El pasado domingo, en DefCon, una demostración de este troyano, llamado 'Setiri', no fue detectada por ningún cortafuegos conocido.

Sus creadores aseguraron que no sería liberado para el uso de terceros, pero ya se contactaron con Microsoft para que cambie las características del IE que permiten esta acción.

El troyano puede llegar a la computadora de la víctima como cualquier otro troyano, virus o gusano, por ejemplo encubierto como adjunto en un mensaje de correo electrónico, o descargado mediante engaños de un sitio Web, o CD, etc.

La principal diferencia de esta clase de troyano, es que no contiene comandos ejecutables que bloqueen con su acción al cortafuegos activo.

En lugar de ello, el programa lanza una ventana invisible del Internet Explorer que se conecta secretamente a un servidor Web a través de un proxy anónimo llamado Anonymizer.com.

Este sitio está pensado para permitir la navegación en forma anónima a un usuario, sin embargo Setiri lo utiliza para ejecutar comandos en nuestro PC sin nuestro conocimiento.

Estos comandos incluyen la descarga de programas que capturen lo tecleado por la víctima y el envío de sus claves y otros datos confidenciales capturados de este modo, a un sitio Web determinado.

Debido a que los datos así robados pasan a través del proxy anonimizador, es imposible localizar la ubicación de la computadora del atacante.

El troyano hace uso de una característica estándar del Internet Explorer que permite que éste cree y utilice una ventana invisible para conectarse a Internet.

La ventana del IE se abre en segundo plano, y no es visible en el escritorio. Por otra parte, al visualizar las tareas en ejecución solo se muestran como una tarea normal (IEXPLORE.EXE), como la de cualquier otra ventana del Internet Explorer, lo que hace muy difícil que pueda llegar a causar alguna sospecha.

Ni siquiera requiere modificar de forma alguna la instalación del cortafuegos. Para este es el navegador que se está ejecutando (de hecho lo es), y esto es una situación normal.

Internet Explorer utiliza las ventanas invisibles para propósitos legítimos, como el enviar información de registración a la red.

Y no solo los productos de Microsoft son culpables. El programa de correo Eudora, también hace uso de las ventanas invisibles del navegador para descargar imágenes en el correo electrónico.

Según los investigadores que realizaron la demostración, una de las maneras de evitar el uso de esta técnica, sería deshabilitar la función que hace invisible una ventana del explorador, pero ello acabaría con muchas de las posibilidades usadas por varias aplicaciones.

Por ahora, la única manera de evitar la acción de este troyano, es configurar el cortafuegos para negar el acceso al sitio Anonymizer.com. Otra opción (para uso en computadoras domésticas), podría ser emplear una utilidad como Proxomitron, recomendada por VSAntivirus para bloquear el acceso a mucho código maligno en scripts y páginas HTML, que también puede bloquear el acceso a determinados sitios.

Pero los investigadores advierten que alguien podría realizar variantes de este troyano, utilizando diferentes sitios, incluso algunos creados premeditadamente por un cracker.

Incluso luego de la demostración, en DefCon se mencionó que ya alguien había creado un troyano diferente, pero que se valía de las mismas características aquí descriptas del Internet Explorer.

Por su parte Microsoft, está examinando el problema. Una posible solución sería bloquear el uso de las ventanas invisibles a determinadas acciones, por ejemplo las potencialmente peligrosas.

Las precauciones más lógicas para un usuario común, como siempre, es no abrir ni ejecutar ningún archivo no solicitado, ni descargado de sitios que no han sido debidamente comprobados.


Relacionados

VSantivirus No. 646 - 14/abr/02
Proxomitron. Una protección imprescindible para navegar
http://www.vsantivirus.com/proxomitron.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS