Por Enciclopedia Virus
http://www.enciclopediavirus.com/
Las computadoras asaltadas, que son escogidas por los piratas entre aquellas con
mayor velocidad de conexión a Internet, reciben clandestinamente un troyano
capaz de convertirlas en emisarias de páginas de publicidad pornográficas,
incluyendo formularios para inscribir en esos servicios a posibles clientes.
Un usuario común, o aquél sin la preparación adecuada, muy probablemente no
notará esta actividad extra en su PC. El programa solo descarga brevemente el
material pornográfico en la computadora usurpada, y su acción es invisible al
dueño del equipo. No causa daños en la máquina ni perturba su funcionamiento.
Los piratas informáticos operan un verdadero anillo de computadoras asaltadas, y
pueden dirigir el tráfico a cada una de éstas, solo unos pocos minutos por vez,
antes de cambiar rápidamente a otras.
Por ejemplo, cuando se visita una página porno o con publicidad pornográfica,
los enlaces que se abren a otros sitios condicionados, pueden estar hospedados
durante diez minutos en cada una de las computadoras tomadas por asalto.
La idea permite dividir el tráfico pesado entre miles de máquinas, y el número
puede aumentar rápidamente. Además, hace prácticamente imposible que un
proveedor de servicio pueda bloquear las páginas, porque su origen cambia
constantemente. Esta técnica permite también usar los equipos invadidos, como
generadores de correo basura (spam), amparados por las mismas "habilidades" para
permanecer encubiertos.
Richard M. Smith, un investigador independiente, publicó la semana pasada estas
afirmaciones en conocidas listas de seguridad. "Hay gente que está en el negocio
de la pornografía, sin saberlo", afirma en relación a los usuarios infectados
por este troyano. Para Smith, el origen del anillo de computadoras, podrían ser
spammers de origen ruso. Los últimos análisis parecen desechar esta teoría.
De este modo, los emisores de esta publicidad o del spam, pueden ocultar su
identidad, y resolver uno de los grandes problemas para los proveedores de
pornografía y correo basura, impedir que cierren sus sitios por denuncias, En
este caso, el usuario común (usted mismo), sería el denunciado, o al menos su
propio proveedor de acceso a Internet.
Hace poco se comentó la acción de un troyano que permite manejar una red
distribuida y oculta de escaneo (http://www.vsantivirus.com/ev-stumbler.htm).
Aunque parece no estar relacionado, la idea puede tener cosas en común.
Según las últimas investigaciones de Smith, habrían por lo menos 2,000
computadoras hogareñas secuestradas por esta técnica.
El troyano funciona como un proxy, sirviendo de "anonimizador" inverso, para
habilitar el acceso a estas páginas pornográficas (las páginas están en otras
máquinas, ocultas de un rastreo desde la red al buscarse el origen).
Cómo estos sitios están activos periódicamente, en intervalos de solo diez
minutos, es muy dificultoso, por no decir imposible, bloquearlos. El pirata solo
debe tener instalados servidores DNS para estos dominios (servidores que
mantienen la lista de nombres de sitios y su dirección IP asociada). Estos
servidores están en otras computadoras también bajo su control. Desde allí se
puede automatizar que cada par de nombre de dominio y dirección IP, cambie cada
10 minutos.
El pasado 4 de julio, algunos de estos servidores fueron usados para el envío
masivo de mensajes solicitando las contraseñas y números de tarjetas de crédito
a incautos usuarios de PayPal, el sitio de Internet que permite el pago de
servicios on-line.
Algunos de los nombres de dominio usados por el troyano hasta el momento, son
los siguientes:
onlycoredomains.com
pizdatohosting.com
bigvolumesites.com
wolrdofpisem.com
arizonasiteslist.com
nomorebullshitsite.com
linkxxxsites.com
Smith ha monitoreado, tan solo desde el 5 de julio a la fecha, más de 2,000
direcciones IP únicas como hosts para cada uno de estos dominios. La mayoría
pertenecen a ISP (proveedores de servicios de Internet), usados por usuarios
domésticos. El más usado es AOL.COM.
El troyano realiza un test de velocidad enviando información basura al sitio de
Microsoft, y los resultados son enviados al servidor principal del pirata, el
cuál solo selecciona las computadoras con mayor velocidad (cable o conexión DSL
por ejemplo), para usarlas en el anillo.
La forma de instalación de este troyano podría ser a través de algún gusano, de
los que descargan actualizaciones de Internet, como el Sobig, pero hasta el
momento solo es una teoría. Es muy probable que tanto las redes de intercambio
de archivos, como los canales de chat y las aplicaciones de mensajería
instantánea, hayan sido uno de los vehículos.
Una de las muestras del troyano, tiene como fecha de compilación de su código,
el 8 de julio, lo que hace suponer que dicho troyano es continuamente modificado
y actualizado por el pirata.
Aunque los antivirus ya tienen muestras de este troyano (denominado "Migmaf"), y
ya es identificado por la mayoría de los productos actualizados, hay que tener
en cuenta su habilidad de ser modificado, por lo que se recomienda utilizar por
lo menos algún cortafuegos personal, y tomar las mayores precauciones posibles
ante cualquier ejecutable recibido o descargado de Internet, sobre todo con
aquellos no solicitados, o provenientes de fuentes no comprobadas.
Por lo pronto, la versión actual del troyano, puede ser identificada por la
aparición en la clave HKLM o HKCU Software \Microsoft \Windows \CurrentVersion \Run,
del valor "Login Service".
El ejecutable parece instalarse en la carpeta de Windows \System32\ con el
nombre de "wingate.exe".
Busque la clave "Login Service" con el editor del registro (REGEDIT) y bórrela
si la tiene. También busque y borre el archivo "wingate.exe" en
\Windows\System32.
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=200