lunes, junio 18, 2007

Cuidado con las Ratas

Las RATs en inglés, además de ser esos animales que viven por las alcantarillas en la ciudad de Gotham, son las Remote Administration Tools, es decir, las herramientas para administrar remotamente equipos. Este concepto tan técnico, recoje en muchos casos al conjunto de troyanos que circulan por Internet.

Unos de los "peores troyanos", o debo decir, de los "mejores troyanos", es Posion Ivy, "Hiedra venenosa". Tiene varias características que hacen de él una pieza de ingeniería única para lo que son los troyanos RAT, como son:

- Conexión reversa: Es decir, es él equipo troyanizado el que se conecta a la máquina del atacante, lo que le permite saltarse firewalls, NATs, etc...

- Cifrado de comunicaciones y transferencia de ficheros: Para saltarse IDS, Sniffers, etc...

- Gestión completa remota de ficheros, servicios, registro, wireless, aplicaciones instaladas, aplicaciones corriendo, etc...

- Robo de hashes de cuentas y de Wireless Zero Configuration.

- Shell Remota, Keylogger, Screen Recorder, sound recorder y Webcam recorder.


Consola de Administración Remota

Vamos, el amigo de los niños si te lo introducen en tu equipo. El nivel de peligrosidad de este troyano es altísimo, pues no solo sus características, sino además lo extendido que está, obligan a preocuparse por él, pero...¿realmente se preocupan por él?

La última versión, la 2.3.0 lleva ya más de una semana circulando por Internet y hoy he decidio ver, después de esos días que lleva rodando por el mundo de Internet, cuantos motores de antivirus se han preocupado por él, así que he hecho un troyano y he configurado el servidor con las opciones por defecto.

Consola de Creación del Servidor

Y lo he subido a Virustotal,como no, para ver cuantos, de los 31 motores de antivirus que tienen hoy en día integrados, lo detectaban.

Resultados en Virus Total

12 motores. Lo preocupante no es que lo detecten 12, lo preocupante es que sólo 12 motores detectan un troyano sobradamente conocido, con una larga historia, que se ha publicado por todo Internet y del que circulan montones de manuales para que cualquiera pueda hacer lo que desee con él.

¿Tan saturadas están las compañías Anti-Malware? ¿Hay dejadez?

8 comentarios:

Dani dijo...

Que lástima ver cosas como ésta, supongo que la gente aún sigue pensando que la seguridad no es importante, como a ellos no les pasa nada...

La era del siguiente, siguiente y la despreocupación :P

Cuanta conciencia necesita el mundo tecnológico del usuario todavía!

Saludos maligno! :D

ANELKAOS dijo...
Este comentario ha sido eliminado por el autor.
ANELKAOS dijo...

Si lo mas preocupante no es que solo 12 AV lo detecten (no hace falta decir que los basados en firmas no sirven para nada) si no que cualquier niñato se lo configura en 5 minutos obteniendo una potentisima herramienta. La mayoria de los que lo utilizan, ni saben como funciona, ni les interesa como está programado, ni si lleva puerta trasera para el autor o no, solo quieren que funcione.

Cuando la consultora Gartner vaticinaba que en el 2007 mas del 75% de las empresas seran infectadas sin detectarlo... sigo pensando que se quedaron cortos.

Teneis mas detalles del bichito en:
https://foro.elhacker.net/index.php/topic,167732.0.html

PD:me comí un link X) mierda de Opera

Asfasfos dijo...

Lo que mas me jode de este troyano es que cualquier chaval que no tenga ni puta idea lo puede configurar en 2 minutos o 3 y puede dar por saco muchísimo sin tener ni puta idea de como va la cosa. La verdad es que es muy triste que solo 12 antivirus lo pillen.

macmarc dijo...

Maligno has leido esto y felicidades por tu cumple, por cierto buen consejo el de las inglesas, es verdad k no muerden.

alex dijo...

Maligno, probaste a cambiarle la firma para ver cuantos lo detectan...??? ;)

Un saludo maj0

Anónimo dijo...

Que bonitos son los RATs ! Hay muchos con la estética del poison ivy:
http://img161.imageshack.us/img161/2734/shl40zd1.png
http://shark-project.net/dev/pics/filemgr3.png

Y algunos con rootkit incorporado como Bifrost 1.2.1

Es una pena que algunos los usen para espiar por la webcam a la vecina del 2º.
Se debería endurecer las penas a los que usen estas herramientas para otros fines que no sea la administración remota de un equipo de su propiedad.
Y las heurísticas de los antivirus deberían empezar a hacer algo (llevan años anunciando lo buenas que son y mira que patata...)

Maligno dijo...

Hola a todos!!

no hice más pruebas que esa, por defecto y parriba y ya visteis.

Lo tremendo es que si con algo así, anunciado a los 7 mares, está la cosa de esta forma, ¿qué pasará con lo que se hace de tapadillo?

Respecto a lo del congreso, de momento No comment.

Entradas populares