![Video Soft BBS](logo.jpg)
Controlado desde el
19/10/97 por NedStat
![](http://es.nedstat.net/cgi-bin/nedstat.gif?name=videosoft)
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Streaming Audio Trojan. ¡Escucha lo que Ud. habla!
|
|
VSantivirus No. 800 - Año 6 - Lunes 16 de setiembre de 2002
Streaming Audio Trojan. ¡Escucha lo que Ud. habla!
http://www.vsantivirus.com/str-audio-troj.htm
Streaming Audio Trojan.
Un nuevo concepto de troyano que "escucha".
Por Marcos Rico (*)
marcos@videosoft.net.uy
Les informo de un nuevo troyano que hasta la fecha es sólo un pequeño boceto de lo que a partir de ahora podremos encontrarnos en el mundo de los backdoors.
La innovación en el terreno de los troyanos es últimamente muy intensa. Después de la generación de NetBus y Back Orifice, llegaron los troyanos con notificación personalizada tipo Sub7. Tras esa generación de troyanos ya parecía que estaba todo inventado. Nada más lejos de la realidad.
Estamos viendo otra generación de troyanos que atraviesan proxies y routers en redes LAN como Assa*SIN*; e incluso hemos asistido en las últimas semanas al lanzamiento de troyanos con tecnología FWB (FireWall Bypassing) que utilizan técnicas de ocultación muy sutiles ante los cortafuegos (un buen ejemplo de ello es el pequeño troyano Institution FWB).
La innovación no se detiene y ahora me he encontrado con este pequeño experimento que se aplicará seguramente a un troyano completo con multitud de funciones. Se llama Streaming Audio Trojan y sólo es un programa que "escucha".
Hace pocos días en VSAntivirus analizábamos un curioso troyano parlante que se basaba en la conocida tecnología TTS (Text-To-Speech). Decíamos entonces que el interés del troyano no se basaba en su peligrosidad y difusión, sino que me interesaba particularmente por la idea que sus programadores habían desarrollado.
Ahora con Streaming Audio Trojan tenemos la otra cara de la moneda, es decir, un troyano que no habla sino que escucha. La única función que posee es recoger todos los sonidos que se produzcan en el ordenador de la víctima y transmitirlos en tiempo real a través de Internet hacia el cliente de Streaming Audio Trojan.
Sabíamos que existían troyanos que podían capturar las imágenes de una Web-Cam en tiempo real e incluso capturar pantallas en el monitor de la víctima, pero no conocíamos el caso de un troyano que capturara el sonido en tiempo real. Ahí radica el único interés de este programa.
Streaming Audio Trojan puede capturar en tiempo real los sonidos producidos por un micrófono conectado al ordenador infectado. Por ejemplo, hay muchas personas que chatean con micrófono: todas sus conversaciones pueden ser escuchadas por el atacante. Pero no sólo lo que la víctima habla; también puede recoger lo que la víctima escucha por los altavoces o los auriculares.
Cualquier archivo de sonido (WAV, MP3, WMA, etc.) que la víctima reproduzca en su ordenador, será escuchado por el atacante. El atacante sólo ha de especificar la IP de la víctima en el cliente (no posee notificador) y el puerto de escucha. Si no se especifica el puerto, por defecto se conectará el cliente al 335.
Este troyano se publicó en Internet el pasado 14 de septiembre y aún no he podido leer ningún análisis de las compañías antivirus. De hecho, a la hora de realizar este artículo aún no había ningún antivirus que lo detectara (esto es lógico puesto que aún no ha transcurrido el tiempo suficiente y además este troyano no es especialmente peligroso).
Por ello he decidido una vez más instalarlo en mi ordenador y probar sus funciones. Una vez más me llama la atención el hecho de que no deja ningún método de autoinicio en Windows. Es decir, Streaming Audio Trojan sólo funcionará mientras el ordenador está encendido. Una vez que lo apagamos y lo volvemos a encender, ya no se activa a menos que hagamos otra vez doble clic sobre el archivo infectado.
El servidor (audiod.exe) de Streaming Audio Trojan está comprimido con UPX y tiene una extensión de 190 Kb. El cliente (Client.exe) también está comprimido con UPX y tiene una extensión de 211kb. Asimismo el cliente escucha por el puerto 32942. El servidor lo hace por el puerto 335.
Según Aphex, el programador de Streaming Audio Trojan, este sistema lo va a aplicar dentro de algunas semanas a su nuevo troyano completo. Es por ello que insisto en la calidad de experimento de este proyecto. No creo que esté realizado para perseguir una infección masiva (aunque algún desaprensivo lo pueda usar de otra manera) sino para experimentar con un sistema hasta ahora inédito.
Streaming Audio Trojan, al no poseer método de autoinicio ni notificador, es un troyano experimental poco peligroso que no debe preocuparnos mucho. Simplemente deseo dejar el testimonio de haber analizado posiblemente el primer troyano que ?escucha? (sonidos, claro). Es ése el único "interés" que posee.
Como en todos los troyanos que analizo, les recomiendo que actualicen sus antivirus y se protejan con un buen cortafuegos como ZoneAlarm.
(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
![](l.gif) ![](u.gif)
|