Troyanos pillados en acción dando datos de conexión en canales de IRC
Investigando viejos fantasmas el pasado con mi MC (script mIRC que versioné del matachinches que utilizaban algunos opers del hispano) extraigo una pequeña muestra de que la inseguridad en Internet es permanente y constante.
Al grano. Un año atrás, mientras perdía el tiempo operando en el IRC-Hispano, iba mejorando cada detalle de mi "MC" que era una gran revolución para tener el control de la red frente a ataques de clones, por muy diversos que sean. Investigando me encontré con un patrón de bots, que en un principio pensé que eran clones para atacar (eran mi objetivo) pero estos eran distintos.
Consultando y probando descubrí que no hacian nada salvo estar conectados 24h, y intermitentemente entran y salen a unos canales aparentemente aleatorios pero que pude comprobar que tenian una lista común interna de unos 10. Cada vez que entraban a un o de estos canales dejaban un mensaje... sorpresa!
> Optix_Pro_v1.32_Server_Online:_{Ip_address:_[192-168-0-2]} {Computer_Name:_PUESTO1} {Current_User_Name:_Maquina1} {Identification_name:_Katabatic} {Installed_Trojan_Port:_3410} {Installed_Trojan_Password:_400400} {Windows_Version:_Windows_XP_5.1_2600_Service_Pack_2} {Webcam:_No}
> Optix_Pro_v1.3_Server_Online:_{Ip_address:_[192-168-1-5]} {Computer_Name:_CASA-2F5VM1VE5T} {Current_User_Name:_antonio} {Identification_name:_Ahí_lo_llevas} {Installed_Trojan_Port:_3410} {Windows_Version:_Windows_XP_5.1_2600_Service_Pack_1} {Webcam:_Yes}
> Optix_Pro_v1.3_Server_Online:_{Ip_address:_[192-168-0-128]} {Computer_Name:_PORTATIL} {Current_User_Name:_ROVIRA} {Identification_name:_Ahí_lo_llevas} {Installed_Trojan_Port:_3410} {Windows_Version:_Windows_XP_5.1_2600_Service_Pack_2} {Webcam:_No}
> Optix_Pro_v1.3_Server_Online:_{Ip_address:_[192-168-1-65]} {Computer_Name:_CASA}{Current_User_Name:_aa} {Identification_name:_Ahí_lo_llevas} {Installed_Trojan_Port:_3410} {Windows_Version:_Windows_XP_5.1_2600_Service_Pack_2} {Webcam:_No}
Emm, está claro: son Troyanos.
El bicho parece llamarse Optix ¿? y estos canales de IRC son el medio utilizado para reportar al atacante los datos para poder acceder a estas máquinas. La dirección IP, el puerto y información extra para identificar cada máquina como el nombre del equipo, nombre de usuario, versión del Windows... y la guinda del pastel: ¿Webcam? Yes
Recuerdo que, cuando era mi menester, vigilaba estos raros y desconocidos canales en espera del supuesto atacante en busca de recolectar sus fechorías. Recuerdo pillar a más de uno anecdóticamente, pero resulta que ninguno sabia nada de los troyanos y que entró en estos canales aleatorios por casualidad. Claro.
| Twittear |
|
Artículos relacionados:
-
+0
DidE 2006-11-23 17:08:29
Sip, si mal no recuerdo hasta el Sub7 tiene la opcion de generar un bot para IRC y que informe cuando encuentra una victima en su escaneo masivo.
-
+1
GONZO 2006-12-16 13:20:56
#1 efectivamente, tenía una opcion para notificar cuando se infecta entrando a un canal de IRC y chivandose... jejeje es verdad, vaya mito el Sub7.
-
+0
kuny_dj 2007-02-22 19:30:32
No se si es el lugar mas adecuado, pero el motivo de mi mensaje es denunciar el uso que da el irc-hispano a _antispam en nuestros dias.Ya todos sospechabamos que con la nula efectividad que tenia por que seguia activo,bien pues la respuesta esta aqui: envia a un canal donde este _antispam la palabra "sms" en el general y veras como misteriosamente, incluso dejan unos segundos para que no hagas la asociacion texto-mensaje recibido, te abrira un mensaje sms-fan anunciandote lasmaravillas de los bonos de sms de lleida.net.Antispam usado para hacer spam? Toma ya.
-
+0
Dark 2010-01-18 18:08:20
que mIRC es el de la imagen?
muchas gracias
Artículo escrito por GONZO para Blogs Teoriza.
Troyanos pillados en acción dando datos de conexión en canales de IRC, 928990050