📰 Artículos

InfoChaos descubre red de hacking con troyanos

BocaDePez 12 noviembre 2002 01:43

⋮

Ayer, un integrante de InfoChaos Digital se encontró con un troyano en su ordenador. Más tarde, la busqueda y rastreo de ip's le llevo a un servidor IRC, donde encontró más de 200 victimas más, todas de modo transparente.

Y es que es así como funciona este troyano, se conecta de modo transparente a una red de IRC donde la victima que en ningun momento sabe que está conectada ahí puede ser observada por al gente que controla el sistema, y tambien puede sufrir robo de sus datos.

Recomendamos leer la noticia completa en InfoChaos Digital.

Salu2

Google parece que aún no tiene noticias de ese troyano.

💬 Comentarios

BocaDePez 12 noviembre 2002 03:18

⋮

¿ke tiene de especial ese troyano ke no tengan otros?

---burbujita---

✖

BocaDePez 12 noviembre 2002 03:24

⋮

ha salido en barrapunto y a la gente le impresiona

NoNfree 12 noviembre 2002 03:24

⋮

no entiendo muy bien el codigo, viendo las imagenes del final del articulo, pero me parece de una broma de mal gusto este parrafo.

Si quereis probar todo esto, a día de hoy, podéis utilizar el mIRC, escribir "/server akilled.net 6667" y entraréis al servidor, una vez dentro, escribiendo "/who 0", veréis todos los usuarios hackeados por esta organización (búsca tu IP, si sales, estás infectado). Y más tarde, escribiendo "/join #opers blunted wanksta wanksta Gorilla-Unit QTASKS.exe" entraréis al canal donde están todos los usuarios hackeados (invisibles) y los usuarios de esta organización (visibles).

Sobretodo la frase /join #opers ...... ke yo sepa para entrar en un canal solo hace falta /join [canal], cuando ya juega con añadidos y encima es un fichero ke kuriosamente se llama igual ke el troyano/virus.... me da mala espina.

y ahora mirar un trozo del codigo de la imagen 3, aproximadamente linea 6. pone algo como bluntman v4.20 êÀ@ #opers ... blunted wanksta wanksta Gorilla-Unit QTASKS.exe

ke kereis ke os diga, a mi me da un noseke y kiza este ekivocado, pero no pensais ke no seria un buen sistema de reproduccion troyana, informar de algo ke todavia no existe y abusar de los incautos lectores?

Ademas otro dato ke me parece curioso, es ke dos de los tres comentarios del articulo (en el momento de escirbir este texto) son: un comentario de un "alias" ke le agradecen ayuda en el articulo y segundo, de uno de los componentes del staff. Curioso no?

Lo dixo todo esto es una especulacion, seguro ke estoy ekivocado, pero solo keria informar, alguien me puede convencer de ke este articulo es "inofensivo"?

✖

alskdaf 12 noviembre 2002 07:25

⋮

Al intentar descargar el fichero troyano ese, el Norton ha saltado ipso facto anunciando que es un "IRC Trojan", sin más detalles.

Luke 12 noviembre 2002 08:52

⋮

efectivamente, para entrar en un canal solo hace falta /Join #canal .... suena mu raro lo que pone.

Lo que más me mosquea es que está EL PROPIO TROYANO para descargar en esa página. Por Dios, si quieren evitar que se propague lo peor que pueden hacer es ponerlo para descarga!!! yo ni siquiera me he acercado al enlace.

En fin, eso me parece un ful como una casa.

salu2

Lofter 12 noviembre 2002 09:46

⋮

"Sobretodo la frase /join #opers ...... ke yo sepa para entrar en un canal solo hace falta /join [canal], cuando ya juega con añadidos y encima es un fichero ke kuriosamente se llama igual ke el troyano/virus.... me da mala espina."

Mas q una frase, como han comentado mas abajo el comando join es para entrar a un canal, lo q va detras del nombre del canal es la clave q bloquea el acceso al mismo, no entiendo q sentido tiene proporcionar tantas facilidades para los "incautos"

De todas formas no es nada nuevo, los troyanos con bot d irc existen desde antes incluso q el sub7 (aunq este los puso d moda), a mi m parece q todo esto no es mas q ganas d llamar la atencion por parte d un grupo d elementos q han mejorado un troyano (tristemente los hay a patadas por la red)

BocaDePez 13 noviembre 2002 20:05

⋮

weno no se ke decirte a mos a ver por donde empiezo de primeras ke el unico motivo de este miembro de infochaos solo era el de informar pues no es justo ke los usuarios desconozcan de nuevos troyanos y los añadidos del irc son la clave para porder entrar a el canal en el ke se encuentran los administradores de dicho server de irc y si bien comenta un nick en concreto el de NeWPaSS es por ke si no hubiera sido por el no habria conseguido con tanta facilidad destripar el troyano para poder ver de donde procedia y ke medios utilizaba para conectar los ekipos.

Si bien se pone en descarga dicho troyano ke ademas lo hemos renombrado kon guiones es solo para los ke tenga amplios conocimentos de dichos virus,troyanos o programa de acceso remoto como bien kieras llamarle es para ke indagen sobre el y puedan ver el codigo fuente de dicho troyano

Un saludo de mi parte ByZ NeWPaSS

BocaDePez 15 noviembre 2002 10:51

⋮

Sin animos de ofender cabe decir que eres un ignorante, con todos los respetos, ya que te has puesto a dudar y opinar sin conocimientos del tema que has tocado.

Para empezar lo que ya han dicho muchos, si tras el /join #canal hay otras palabras eso significa que el canal requiere de una clave para entrar, y esas palabras son sus claves o posibles claves. Aun así tambien cabe decir que "/join #opers blunted wanksta wanksta Gorilla-Unit QTASKS.exe" y el hecho de que acabe con el nombre del troyano no significa absolutamente nada, ya que el comando "/join" no hace más que eso, hacerte entrar a un canal, y queda bien claro que las otras palabras no llaman en ningun momento a la recepción de ese ejecutable.

En segundo lugar el hecho de que haya una link directa al troyano no da motivo a perjudicar a nadie, ya que dicen bien claro de que se trata ese ejecutable, y bajarlo y ejecutarlo seria de necios, por lo que la culpa seria de la persona que se lo ha descargado. Tal vez si seria bueno meterlo en un archivo comprimido, o renombrar la extension para no ejecutarlo por error, dado que el que fuese a destriparlo ya sabria de sobras como cambiar una extension.

Sobre el hecho de convencerte de si este articulo es inofensivo o no, solo cabe leerlo de arriba a abajo para que quede bien claro de que trata el tema. Si tras leerlo uno no se descarga el troyano no tiene porque pasarle nada, y si se arriesga a descargarlo sabe de sobras a lo que se expone.

No tengo nada que ver con ninguna de las dos partes, pero me molesta ver como se puede crear una alarma de algo que es sencillamente lo que se puede leer en esa web, sin más ni menos, y espero que esta respuesta te haya solucionado las dudas. Repito una vez más que la palabra ignorante la he utilizado con todos los respetos, y creo que piensas igual que yo en que tengo motivos para usarla.

Respect.

✖

BocaDePez 16 noviembre 2002 11:52

⋮

gracias por la aclaracion majo por lo de el /join y to esas cosas si no se comprimio en zip fue mas que nada por tiempo en el posteo, y no seas tan ligero a la hora de utilizar la palabra ignorante pues si bien sabes ke ignorate significa "desconocimiento del tema al ke se refiere" y yo precisamente no desconozco el tema pues fui el ke se dio cuenta de dicho troyano.

muchas gracias de todas formas por corregirme pues rectificar es de sabios

Byz NeWPaSS

✖

BocaDePez 19 noviembre 2002 14:12

⋮

nono, si el post era referido a NonFree, que dudaba de vuestro post, no iba por ti, ya supongo que tu no eres ningun ignorante, ni mucho menos! xD

BocaDePez 12 noviembre 2002 08:53

⋮

Al tratar de descargar el fichero ejecutable con Mozilla para comprobar si era detectado por Kaspersky AV, éste me avisó de la siguiente amenaza:

Backdoor.Bluntman.420

en la carpeta \WINNT\TEMP (supongo que sería un archivo temporal creado por el navegador mientras decides si quieres o no quieres descargarlo).

En Internet aparecen varias referencias con el nombre arriba citado. No voy a pedir a nadie que confirme si se trata de esa puerta trasera; ya de por sí es bastante arriesgado que el autor de la página ponga tan alegremente enlaces a programas malignos.

ccorderor 12 noviembre 2002 09:29

⋮

Buenas Tardes:

Una cosa sobre los comentarios... si os fijais en ese codigo de join #blabla y lo k viene despues, por propia experiencia cuando entré en la red, es que basicamente ese canal tiene modo +k (password), y esas palabras son el(los) posibles password(s).

Por otra parte, sobre el enlace del programa, en ningún momento ocultamos que sea el troyano, lo ponemos porque infochaos digital es un portal de informatica, y estamos seguros de que le gustará destriparlo a mucha gente.

Que más os puedo decir, simplemente es otro troyano más, salvo que al parecer poco conocido y bastante gente española infectada... por lo que vi en el /who de la red. Por eso hemos enviado la noticia, para informar, y espero que haya gente a la que le haya servido.

Atentamente,

CCorderoR

✖

Luke 12 noviembre 2002 10:04

⋮

me parece bien, pero creo que hay muchos incautos que se bajarán el programilla y sin darse cuenta ala, otro infectado más.

Creo que os deberíais considerar quitar la descarga del archivo de la noticia :P

enga salu2

✖

farrel 12 noviembre 2002 17:13

⋮

he leido un comentario tuyo sobre esta tarjeta, y que tienes un pII 350.yo tengo amd k6 350, y la placa base soporta agp 32 bits,¿me ira bien en mi equipo?

he utlizado esta via pq el comentario es de junio, he pensado que no mirarias "alli",gracias

dogchow 12 noviembre 2002 10:06

⋮

Que mal piensan algunos.

Yo quiero comentaros, que los argumentos tras el comando /join, es el password de entrada al canal #opers de ese servidor, no es ningún comando escrito con mala intención.

Si bien dicho troyano no se extiende por el sistema, llegando a esta conclusión creando un pseudo-código del original; poner el troyano a disposición del público es una gran idea para aquellos curiosos que quieren examinarlo.

Cada cual es libre de pensar lo que quiera.

Saludos.

✖

zarta 28 noviembre 2002 14:13

⋮

este no es un mesaje sobre el troyano, sino que mucha gente parece que no lee los mensajes anteriores, ya que escribe exactamente lo mismo (me da a pensar que han usado las teclas crtl+c y crtl+v ). Ya se que mucah gene domina el IRc pero no se repitan por favor, que si no leer los mensajes se comvierte en una agonia y en vez de ayudar hacen todo lo contraio.

Eso queda dicho.

BocaDePez 12 noviembre 2002 11:56

⋮

klaro ke no hay información, fecha de aparicion 12/11/2002

(link roto)

BocaDePez 12 noviembre 2002 20:08

⋮

Lamento comunicarte que este tipo de troyano tiene bastantes años de existencia(por mala suerte..) :_( solo ha variado su complejidad y su tamaño.. no es necesario que el usuario realmente se baje el fichero en question y lo ejecute .. simplemente mirando una pagina web ( normalmente un 90% de los casos vistas en redes de irc ) con un exploit del internet explorer y ya lo tienes .. dentro y listo. El problema reside en que estos señores tienen que crear su propia red de irc o dirigir estos zombis a redes de irc sin ningun tipo de control por parte de operadores de la red . Y en el caso de tener estos señores una red de irc .. denunciarles o demostrar que estan controlando estos bots a su isp es algo complejo.El mas basico es el gt los mas complejos lo dejo para quien utiliza mal la informacion :))

(link roto)

golcor.tripod.com/gtbot.htm

PD: Si los usuarios no estan educados para tener sus ordenadores actualizados y como minimo un antivirus gratuito instalado.. hasta donde vamos a ir? ( y luego algunos se quejan es que.... )

cesc

irongizon 13 noviembre 2002 03:33

⋮

Parece que Panda también lo pilla comoa Bck/Bluntman