Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Fun Factory 1.0: Un troyano parlante
 
VSantivirus No. 794 - Año 6 - Martes 10 de setiembre de 2002

Fun Factory 1.0: Un troyano parlante
http://www.vsantivirus.com/funfact10.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy



¿Se imaginan un troyano que les insulte verbalmente?. ¿Puede hablarnos un troyano?. Sí, hoy día con la tecnología TTS (Text-To-Speech) es factible el troyano parlante.

En realidad no es algo novedoso. Sabemos que existe un curioso plugin para el troyano Sub7 que lo transforma en un troyano parlante. El problema es nunca llegó a funcionar bien y entonces los atacantes desecharon la posibilidad de implementar esa función en el troyano más famoso de todos los tiempos.

Ahora un programador que responde al alias de LOM supuestamente ha creado el troyano parlante más funcional. Huelga comentar que un troyano de este tipo no es una herramienta seria de espionaje. Por tanto, está más destinado a la broma que al espionaje real.

En el mundo de los troyanos es muy común encontrarnos con este tipo de herramientas más aptas para su uso lúdico que para realmente hacer daño a otro usuario. En realidad Fun Factory 1.0 es muy simple y no tiene funciones que podríamos llamar "peligrosas". La única curiosidad la encontramos en la característica de troyano parlante.

Me sorprende no encontrar ningún editor en el troyano. Esto significa que no se puede personalizar el servidor con los datos del atacante para una posible notificación.

En realidad Fun Factory 1.0 es simplemente para hablar con la víctima a través de Internet mediante comandos de script. Para ello LOM ha introducido al menos cuatro ejemplos de scripts que, por supuesto, el atacante puede variar y editar a su libre albedrío. 

Aquí va el contenido del primero de ellos llamado "Astreal script 1 of 2":

CREATE^Peedy^^
MOVE^80^80^
SHOW^^^
PAUSE^1000^^
SPEAK^hellooo...!^^
PAUSE^2000^^
ACTION^Greet^^
PAUSE^3000^^
ACTION^Surprised^^
PAUSE^2000^^
ACTION^Uncertain^^
PAUSE^1000^^
SPEAK^I want you to bye me a cracker....!^^
PAUSE^4000^^
SPEAK^will you bye me one ?^^
PAUSE^3000^^
ACTION^Sad^^
PAUSE^2000^^
ACTION^StartListening^^
PAUSE^2000^^
SPEAK^whaaat ?^^
PAUSE^3000^^
SPEAK^you wont bye me a cracker ?^^
PAUSE^4000^^
ACTION^Surprised^^
PAUSE^2000^^
SPEAK^yo are a motherfucking skroutz....^^
PAUSE^4000^^
ACTION^Sad^^
PAUSE^2000^^
SPEAK^ok^^
PAUSE^1000^^
SPEAK^lets count how many desctop icons can i eat ....^^
PAUSE^3000^^
MOVE^400^500^
PAUSE^2000^^
ACTION^Surprised^^
PAUSE^2000^^
ACTION^Wave^^
PAUSE^3000^1^
SPEAK^ououou nice lots of food...^^
PAUSE^2000^^
SPEAK^so many icons. do you need all of them ?^^
PAUSE^2000^^
SPEAK^i will leave some left for u, dont worry...^^
PAUSE^2000^^
ACTION^Greet^^
PAUSE^1000^^
SPEAK^\Chr="Whisper"\byye^^
PAUSE^2000^^
HIDE^^^
PAUSE^8000^^
UNLOAD^^^

Aquí está el segundo ejemplo de script llamado "Astreal script 2 of 2":

CREATE^Wartnose^^
MOVE^80^80^
SHOW^^^
PAUSE^2000^^
ACTION^confused^^
PAUSE^1000^^
SPEAK^uuupsss what m i doing here^^
PAUSE^3000^^
ACTION^surprised^^
PAUSE^3000^^
GESTURE^50^30^
PAUSE^2000^^
SPEAK^actually i like it, do u want me to stay here with you forever ?^^
PAUSE^6000^^
ACTION^announce^^
PAUSE^3000^^
ACTION^explain^^
PAUSE^2000^^
SPEAK^sorryyy^^
PAUSE^500^^
ACTION^wave^^
PAUSE^1000^^
SPEAK^i had beans yestarday and i feel my stomach really heavy...^^
PAUSE^6000^^
SPEAK^will u bye me a soda ?^^
PAUSE^3000^^
MOVE^50^50^
SHOW^^^
PAUSE^2000^^
ACTION^surprised^^
PAUSE^2000^^
SPEAK^almost i forgot it...^^
PAUSE^1500^^
GESTURE^50^100^
PAUSE^2500^^
SPEAK^dont you want to watch some porn ?^^
PAUSE^5000^^
URL^www.peelover.com^^
ACTION^wave^^
PAUSE^2000^^
ACTION^surprised^^
PAUSE^2000^^
SPEAK^ouuuuuuuu, i wanna cooooome wank it, wank it baby......^^
PAUSE^6000^^
SHOW^^^
PAUSE^2000^^
ACTION^Greet^^
PAUSE^2000^^
HIDE^^^
PAUSE^3000^^
UNLOAD^^^

Gobo, el famoso programador de troyanos como Fraggle Rock, también ha aportado su script:

CREATE^Merlin^^
MOVE^80^80^
SHOW^^^
PAUSE^200^^
PAUSE^2000^^
ACTION^Congratulate^^
PAUSE^2000^^
SPEAK^Congratulations. You got Owned !^^
PAUSE^2000^^
SPEAK^I am just going to steal your passwords.^^
PAUSE^2000^^
ACTION^Write^^
PAUSE^4000^^
SPEAK^bear with me a moment^^
PAUSE^2000^^
ACTION^WriteContinued^^
PAUSE^2000^^
SPEAK^Thats great. Thanks a lot !^^
ACTION^Blink^^
PAUSE^7000^^
ACTION^Blink^^
PAUSE^5000^^
ACTION^Idle3_1^^
PAUSE^1000^^
SPEAK^Fuck this. I'm off !^^
PAUSE^2000^^
SPEAK^Later.^^
PAUSE^3000^^
ACTION^wave^^
PAUSE^2000^^
HIDE^^^
PAUSE^2000^^
UNLOAD^^^

Por último, el propio LOM ha incluido el LOM script:

CREATE^Merlin^^
MOVE^80^80^
SHOW^^^
PAUSE^1000^^
SPEAK^Hello I like to shag little donkeys^^
PAUSE^2000^^
GESTURE^30^50^
PAUSE^2000^^
SPEAK^You Want to See porn?^^
PAUSE^2000^^
URL^http://www.yahoo.com^^
ACTION^Greet^^
PAUSE^2000^^
ACTION^wave^^
PAUSE^2000^^
SPEAK^My granny has a huge cock^^
PAUSE^4000^^
ACTION^surprised^^
PAUSE^2000^^
SPEAK^I love you, you love me, lets go spank a small monkey^^
PAUSE^4000^^
HIDE^^^
PAUSE^2000^^
UNLOAD^^^

Como vemos los parámetros pueden ser perfectamente configurables. Un atacante, por ejemplo, puede cambiar los parámetros de SPEAK y colocar la frase que desee, así como los demás. También observamos que el contenido de los scripts es más adecuado para gastar bromas (algunas incluso pesadas) a cualquier conocido.

Si tuviéramos alguna vez este troyano instalado en nuestro ordenador, veríamos al mago Merlín en la parte superior izquierda de nuestro monitor. Él nos diría frases que aparecerían sobreimpresas, tal y como pasaría en un cómic. 

El troyano también viene acompañado de archivos como Agentsvr.exe, spchapi.exe y tv_enua.exe que permiten la transformación Text-To-Speech (de texto a voz). La víctima también habría de tener esos archivos instalados para poder escuchar la voz que activan los scripts del servidor. Otra razón por la que sospecho que Fun Factory 1.0 nunca será un troyano realmente operativo.

Como aún no he encontrado ningún análisis de las compañías antivirus sobre este curioso troyano parlante, me he dispuesto a instalarlo en mi ordenador.

El primer dato curioso es que el propio archivo server.exe (el servidor del troyano) actúa realmente de servidor una vez ejecutado, cuando lo más lógico es que cree otro archivo que sea a posteriori el que realmente se active en el inicio de Windows.

En realidad el troyano no va aparejado de ningún archivo adicional salvo, claro está, si incluimos éste:

C:\WINDOWS\APPLOG\SERVER.3.LGC

Una vez activo el servidor en el ordenador de la víctima, abre el puerto 8799. En el cliente del troyano se abre el puerto 49355. El servidor está comprimido con UPX 1.20 y tiene un tamaño de 172 Kb.

El troyano es tan "inofensivo" que ni siquiera crea un sistema de autoarranque en el inicio de Windows. Esto quiere decir que si queremos librarnos de él, simplemente deberemos reiniciar el ordenador y luego borrar el archivo que nos infectó. Así de sencillo.

En resumen podemos decir que Fun Factory 1.0 es un troyano más apto para gastar una broma que para hacer realmente daño a un ordenador. Es más lo que algunos llaman un Joker que un Backdoor. Aún pasa inadvertido para algunos antivirus. 

KAV reconoce el servidor (no así el cliente) de Fun Factory 1.0 como Backdoor.Delf.ci. Ésta es una variante del célebre troyano Delf, pero en teoría Fun Factory 1.0 no tiene nada que ver con Delf.

¿Un error de detección que en realidad se convierte en un acierto?. No lo sé, pero si es un error de nomenclatura, tampoco es importante puesto que a los usuarios les interesa que su antivirus les proteja, y esa función la cumple KAV.

Una vez más la mejor recomendación pasa por actualizar sus antivirus a la mayor brevedad y proveerse de un buen cortafuegos para evitar intrusiones.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS