Unos de los "peores troyanos", o debo decir, de los "mejores troyanos", es Posion Ivy, "Hiedra venenosa". Tiene varias características que hacen de él una pieza de ingeniería única para lo que son los troyanos RAT, como son:
- Conexión reversa: Es decir, es él equipo troyanizado el que se conecta a la máquina del atacante, lo que le permite saltarse firewalls, NATs, etc...
- Cifrado de comunicaciones y transferencia de ficheros: Para saltarse IDS, Sniffers, etc...
- Gestión completa remota de ficheros, servicios, registro, wireless, aplicaciones instaladas, aplicaciones corriendo, etc...
- Robo de hashes de cuentas y de Wireless Zero Configuration.
- Shell Remota, Keylogger, Screen Recorder, sound recorder y Webcam recorder.
Consola de Administración Remota
Vamos, el amigo de los niños si te lo introducen en tu equipo. El nivel de peligrosidad de este troyano es altísimo, pues no solo sus características, sino además lo extendido que está, obligan a preocuparse por él, pero...¿realmente se preocupan por él?
La última versión, la 2.3.0 lleva ya más de una semana circulando por Internet y hoy he decidio ver, después de esos días que lleva rodando por el mundo de Internet, cuantos motores de antivirus se han preocupado por él, así que he hecho un troyano y he configurado el servidor con las opciones por defecto.
Consola de Creación del Servidor
Y lo he subido a Virustotal,como no, para ver cuantos, de los 31 motores de antivirus que tienen hoy en día integrados, lo detectaban.
Resultados en Virus Total
12 motores. Lo preocupante no es que lo detecten 12, lo preocupante es que sólo 12 motores detectan un troyano sobradamente conocido, con una larga historia, que se ha publicado por todo Internet y del que circulan montones de manuales para que cualquiera pueda hacer lo que desee con él.
¿Tan saturadas están las compañías Anti-Malware? ¿Hay dejadez?
Que lástima ver cosas como ésta, supongo que la gente aún sigue pensando que la seguridad no es importante, como a ellos no les pasa nada...
ResponderEliminarLa era del siguiente, siguiente y la despreocupación :P
Cuanta conciencia necesita el mundo tecnológico del usuario todavía!
Saludos maligno! :D
Este comentario ha sido eliminado por el autor.
ResponderEliminarSi lo mas preocupante no es que solo 12 AV lo detecten (no hace falta decir que los basados en firmas no sirven para nada) si no que cualquier niñato se lo configura en 5 minutos obteniendo una potentisima herramienta. La mayoria de los que lo utilizan, ni saben como funciona, ni les interesa como está programado, ni si lleva puerta trasera para el autor o no, solo quieren que funcione.
ResponderEliminarCuando la consultora Gartner vaticinaba que en el 2007 mas del 75% de las empresas seran infectadas sin detectarlo... sigo pensando que se quedaron cortos.
Teneis mas detalles del bichito en:
https://foro.elhacker.net/index.php/topic,167732.0.html
PD:me comí un link X) mierda de Opera
Lo que mas me jode de este troyano es que cualquier chaval que no tenga ni puta idea lo puede configurar en 2 minutos o 3 y puede dar por saco muchísimo sin tener ni puta idea de como va la cosa. La verdad es que es muy triste que solo 12 antivirus lo pillen.
ResponderEliminarMaligno has leido esto y felicidades por tu cumple, por cierto buen consejo el de las inglesas, es verdad k no muerden.
ResponderEliminarMaligno, probaste a cambiarle la firma para ver cuantos lo detectan...??? ;)
ResponderEliminarUn saludo maj0
Que bonitos son los RATs ! Hay muchos con la estética del poison ivy:
ResponderEliminarhttp://img161.imageshack.us/img161/2734/shl40zd1.png
http://shark-project.net/dev/pics/filemgr3.png
Y algunos con rootkit incorporado como Bifrost 1.2.1
Es una pena que algunos los usen para espiar por la webcam a la vecina del 2º.
Se debería endurecer las penas a los que usen estas herramientas para otros fines que no sea la administración remota de un equipo de su propiedad.
Y las heurísticas de los antivirus deberían empezar a hacer algo (llevan años anunciando lo buenas que son y mira que patata...)
Hola a todos!!
ResponderEliminarno hice más pruebas que esa, por defecto y parriba y ya visteis.
Lo tremendo es que si con algo así, anunciado a los 7 mares, está la cosa de esta forma, ¿qué pasará con lo que se hace de tapadillo?
Respecto a lo del congreso, de momento No comment.