Troyano "camuflado" tras un supuesto vídeo
[15-06-01]
Oxygen3 24h-365d, por Panda Software
Madrid, 15 de Junio, 2001 - Hace unos días en Oxygen3 24h-365d analizábamos como cada vez más los creadores de virus recurren a la Ingeniería Social para engañar a los usuarios e infectar sus ordenadores. Hoy vamos a referirnos al caso más reciente, protagonizado por un fichero que contenía el troyano SubSeven y empleaba como reclamo el vídeo de la ejecución de Timothy McVeigh, autor del atentado en Oklahoma.
Apenas unas horas después de la muerte de McVeigh -por inyección letal- se anunció por Internet, en algunos canales de charla, un enlace web donde supuestamente podía descargarse un vídeo pirateado de la ejecución. Sin embargo, los usuarios que descargaban y ejecutaban el fichero que supuestamente contenía el vídeo instalaban, en realidad, el troyano SubSeven que abre una puerta trasera en su ordenador.
SubSeven es un troyano del tipo backdoor que consta de dos programas: un módulo servidor -que debe instalarse en el sistema que quiere controlarse-, y un módulo cliente que permite al atacante acceder al ordenador de la víctima. En la práctica, para conseguir que el usuario instale el módulo servidor en su ordenador -para así poder entrar en él-, los atacantes deben "engañarle". Por tal motivo "disfrazan" el módulo servidor haciéndolo pasar por una aplicación de interés para la víctima que, en el caso del troyano que hoy mencionamos, es un supuesto vídeo.
Cuando la víctima ejecuta el módulo servidor, SubSeven realiza las modificaciones necesarias para activarse cada vez que se arranque el sistema, y abre un puerto de comunicaciones a través del cual puede escuchar las peticiones de servicios que lleguen desde el programa cliente. Por defecto el puerto utilizado es el TCP 27374 en SubSeven.22, si bien puede variar ya que es configurable.
Cuando el atacante se comunica con el módulo servidor de SubSeven puede realizar una amplia serie de acciones sobre el equipo de la víctima, entre las que destacan el acceso a las contraseñas del usuario y a información de la configuración; el control del teclado y del ratón, o la apertura de una sesión de chat.
El supuesto vídeo, empleado en esta ocasión como "señuelo" para
introducir un troyano en los ordenadores de los usuarios, vuelve a poner de manifiesto la necesidad de extremar las precauciones al descargar ficheros desde Internet, especialmente cuando se trata de ejecutables y el servidor de origen no es de confianza.
Artículos de actualidad ...
Archivo de artículos ...
|
