Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Institution FWB 1.1 Un troyano que atraviesa cortafuegos
 
VSantivirus No. 772 - Año 6 - Lunes 19 de agosto de 2002

Institution FWB 1.1 Un troyano que atraviesa cortafuegos
http://www.vsantivirus.com/institutionfwb11.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy


Hace unos días José Luis López de VSAntivirus nos advertía de un troyano que se dio a conocer en la conferencia anual de hackers llamada DefCon 10 (en una de las anteriores conferencias se presentó el troyano Sub7 DefCon como la versión más avanzada en aquel momento de un troyano). 

En DefCon todo es extraño, casi paranoico. El pasado año incluso en la convención anual DefCon 9, siete representantes del gobierno norteamericano se descubrieron (no obstante, en DefCon existe una especie de "juego" llamado Met The Fed, averigua quiénes son los federales, para "invitarles" a abandonar el recinto) y solicitaron la colaboración de algunos de los mejores hackers que asistían a la célebre convención anual.

Que duda cabe que todo lo que se dice (y se prueba) en DefCon es el presagio inmediato de nuevas técnicas de ataque. Por ello cuando decían que no publicarían el nuevo troyano (Setiri) que traspasa cortafuegos, ello no nos tranquilizaba porque otros programadores a la mayor brevedad posible desarrollarían la idea y la publicarían.

Parece que ya tenemos el primer troyano (al menos en apariencia) que es capaz de desarrollar la tecnología que traspasa cortafuegos, FWB (FireWall Bypassing), y está publicado en Internet.

El gran problema de este tipo de troyanos es que son capaces de camuflarse perfectamente en otro proceso legítimo del ordenador para que así permanezcan ocultos a cualquier programa que nos detalle todos los procesos que se oculten a Control + Alt + Supr en Win9x. Incluso se podrían esconder de los cortafuegos.

Aún es éste un troyano muy limitado en sus funciones. Parece que su autor ha querido anticipar la novedad de la técnica antes que programar realmente un troyano funcional y peligroso. Pero, repito, este troyano posee en teoría (habría que ver cómo se comporta en la práctica) las características más avanzadas de un troyano en la actualidad en cuanto a capacidad de intrusión.

No es mi intención de momento en este artículo someterlo a un exhaustivo análisis técnico, sino simplemente informar a nuestros lectores de su existencia. Es tan novedoso que aún no he podido probarlo en redes LAN protegidas por cortafuegos, routers, proxies, etc.,. Es por ello que todas estas palabras deben Uds. ponerlas en una razonable duda.

Básicamente Institution FWB 1.1 es un troyano que maneja archivos, es decir, introduce y extrae archivos del ordenador donde está instalado el servidor. Su autor asegura que puede traspasar los proxies y los routers de las redes LAN con una tecnología muy similar a la que usa el troyano Assa*Sin*.

El servidor se genera a partir del cliente (que a su vez también es un editor). El archivo que deja en nuestro ordenador una vez instalado es elegido por el atacante (por defecto no encontramos ningún nombre). Éste también elige si decide comprimirlo con UPX o no (por defecto siempre es comprimido).

La única función del troyano es la transferencia de archivos. Esto podría ser usado para extraer información de la víctima o para introducir en su ordenador otros virus y troyanos.

También usa un método de notificación mediante IP estática o, en su defecto, IP dinámica asociada a una DNS fija (el mismo método de Assa*Sin* para las conexiones salientes o Outgoing Connections).

He sometido Institution FWB 1.1 a la acción de algunos antivirus y estos son los resultados (18/08/2002):
  • KAV: Detecta tanto el cliente como el servidor del troyano. El nombre que le da al troyano es BackDoor.Institon.11.
  • Dr. Web: Detecta el archivo client.exe como BackDoor Aphex, pero no podemos admitir la detección como válida porque no es capaz de detectar el servidor que client.exe genera, que es a la postre el archivo que infecta los ordenadores, es decir, el servidor del troyano (server.exe).
  • McAfee: No detecta nada.
  • Norton: Ningún archivo es detectado.
  • Per Antivirus: No detecta client.exe ni server.exe.
  • Panda Antivirus: No detecta ni el cliente ni el servidor.
  • NOD32: No detecta ningún archivo.
  • Anti-Trojan: No detecta nada.
  • Tauscan: Ningún archivo detectado.
  • The Cleaner: No detecta ningún archivo.

Hasta la fecha de mi análisis (18/8/2002) sólo AVP (KAV) en la actualización del 18 de agosto es capaz de detectar su código. El troyano también escapa al motor heurístico de todos los antivirus y antitroyanos probados, incluido el potente motor heurístico de troyanos de McAfee. 

Nota Redacción: Otros antivirus han agregado este troyano a sus bases luego del envío de la muestra, o lo agregarán en las próximas horas (entre ellos Panda, Per Antivirus, Norton, F-Secure, Norman, F-Prot, etc.). Por ejemplo, al momento de la publicación de este artículo nos han confirmado la detección estos antivirus):

  • The Hacker 5.3: lo detecta como w32/Inst11.trojan desde las 5:05 de Uruguay.

La posibilidad de infección es baja y su peligro moderado. Una vez más los administradores de redes LAN son los que más precaución deben tener con un troyano como Institution FWB 1.1, debido a que está pensado para atravesar todo tipo de protecciones en esos sistemas.

Vuelvo a insistir en que me parece un troyano más digno de mencionar por la idea que ha manejado su programador que por el peligro real que supone para todos, que más bien es pequeño.

El sentido común a la hora de bajar archivos de direcciones dudosas de Internet y no aceptar nada de un desconocido, es básico para protegernos de estas amenazas. Veremos también cómo reaccionan las empresas que programan cortafuegos.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.


Referencias:

Troyanos, ventanas invisibles y cortafuegos
http://www.vsantivirus.com/08-08-02.htm

Troj/Backdoor.Assasin. Acceso remoto y borrado de AV
http://www.vsantivirus.com/back-assasin.htm

ASSA*SIN* v1.1: Nueva versión de un troyano innovador
http://www.vsantivirus.com/mr-assasin11.htm

ASSA*SIN*: ¿Nace una nueva generación de troyanos?
http://www.vsantivirus.com/mr-assasin.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS