R2D2 más invasivo de lo que se creía - Kaspersky Labs

10/26/2011 07:50:00 p. m. No Comment
Hemos estado siguiendo los pasos del troyano alemán, conocido como “0zapftis”, “Bundestrojaner” o "R2D2", desde que el grupo Chaos Computer Club (CCC) lo hizo publico hace ya dos semanas, véase los artículos "Posible programa espía gobernamental" y "El escándalo por espiar a ciudadanos en Alemania y otros países".


Al parecer, según informa Kaspersky Lab, el análisis del troyano revela y demuestra que la amenaza es mucho más invasiva de lo que se pensaba, hasta el momento.

Si recordamos brevemente las capacidades de este Malware:
  1. Capacidad de "keylogger" personalizado para ciertas aplicaciones como son: Firefox, Skype, ICQ y MSN Messenger, entre otras.
  2. Capturar pantallas (screenshot) y enviarlas a un servidor controlado por los supuestos creadores del malware.
  3. Capaz de grabar las conversaciones realizadas a través de Skype y enviarlas por Internet a un servidor remoto.
  4. Capacidad de actualización remota, y autodrestrucción para no dejar rastro en el equipo.
  5. Por supuesto, la capacidad de tomar el control del PC de forma remota.


Se ha descubierto, tras los análisis, que el troyano no sólo espía las comunicaciones por Skype como había anunciado el CCC, sino que también puede vigilar y registrar las acciones del usuario, en más de 15 aplicaciones / programas.

Analisis del troyano revela la lista de procesos monitorizados.
 La lista completa de aplicaciones que son monitorizadas por el troyano en busca de información son:


  • explorer.exe
  • firefox.exe
  • icqlite.exe
  • lowratevoip.exe
  • msnmsgr.exe
  • opera.exe
  • paltalk.exe
  • simplite-icq-aim.exe
  • simppro.exe
  • sipgatexlite.exe
  • skype.exe
  • skypepm.exe
  • voipbuster.exe
  • x-lite.exe
  • yahoomessenger.exe



Además, el programa dropper que descarga al troyano espía puede detectar si el ordenador afectado opera en un sistema de 32 o 64 bits, y descarga un archivo de instalación del troyano compatible con el sistema que está atacando. 

¿Qué permisos necesita el troyano?

Lo cierto es que se ha descubierto que el programa de 64 bits está firmado por “Goose Cert”, una autoridad de certificación inexistente que Windows no considera de confianza

Es importante conocer que debido a que el certificado no es de confianza, el usuario tiene que confirmar que quiere instalarlo y ejecutarlo

Entonces, 

¿Cómo se logra instalarse en el equipo?

Esto no es ningún obstáculo si es que la policía lo instala en las intervenciones policiales y revisiones fronterizas, como se cree que pasa. 

Resumen

A menos que "presuntamente" la policía te instale en tu ordenador el troyano trás una intervención policial, y remarco "presuntamente", estaríamos a salvo del mismo.

Tags
Julian J. Gonzalez

Telecommunication Engineer specialized in Networks and Computer Security. Professor of the Master IT Security at the University of Seville since 2013 (http://trajano.us.es/seguridadtic/). Develop skill #Python #DevSecOps #Golang check my Github.

0 comentarios:

Publicar un comentario

Designed with by Way2themes | Distributed by Blogspot Themes