|
Junto con los i-worms, verdaderos protagonistas del mundillo vírico desde la anterior comparativa antivirus de PCActual, cabe destacar también la proliferación de los backdoors, una subespecie de los troyanos que también aprovecha la infraestructura de Internet, en esta ocasión para abrir una puerta trasera por donde es posible el acceso a las máquinas infectadas.
Si bien no se ha producido ningún avance especialmente relevante en el campo técnico desde la aparición de BackOrifice y NetBus, especímenes que marcaron un antes y un después en esta especialidad, el número de troyanos ha crecido notablemente.
Puestos a destacar un backdoor en particular, no podemos olvidar a "Qaz", quién saltaría a los medios de comunicación por ser supuestamente la herramienta utilizada en una intrusión a la mismísima red de Microsoft.
"Qaz" es un ejecutable Win32, escrito en Visual C++. Cuando se ejecuta, busca una copia del fichero NOTEPAD.EXE (Bloc de Notas de la carpeta Windows) y lo renombra como NOTE.COM, a continuación "Qaz" se copia con el nombre de NOTEPAD.EXE. Ésto provoca que, cada vez que se intente lanzar el Bloc de Notas en un sistema infectado, primero se ejecuta el troyano, y éste a su vez llama a NOTE.COM, por lo que el usuario no percibe a primera vista ninguna irregularidad.
Para asegurar su ejecución en cualquier caso, "Qaz" se lanza cada vez que el sistema se inicia, para conseguirlo modifica el registro de Windows con la siguiente entrada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
StartIE=C:\WINDOWS\notepad.exe qazwsx.hsq
El troyano es capaz de propagarse a través de las unidades compartidas de las redes locales, donde intenta localizar la carpeta de Windows, buscando la cadena "WIN", y realiza con NOTEPAD.EXE la misma operación ya descrita. El hecho de que no disponga de otro método de propagación a través de Internet, cómo por ejemplo autoenviarse a través de correo electrónico, limita el ámbito de actuación de este espécimen como gusano. Así mismo, en el terreno de los virus, tan sólo podría catalogarse como «virus de compañía», ya que tampoco puede infectar a otros ficheros, por lo que aun merma más su capacidad de expansión.
Por último, destaca en "Qaz" su funcionalidad como backdoor, envía la dirección IP de los ordenadores infectados a su autor vía correo electrónico (a buzones localizados en China), y abre una puerta trasera en el puerto TCP 7597, por el cual el autor del virus puede acceder de forma remota al sistema de sus víctimas.
Los comandos soportados como backdoor comprenden la ejecución de programas, la posibilidad de enviar ficheros al sistema infectado, y la desactivación de "Qaz". Aunque muy básicos, estos comandos permiten el poder instalar herramientas más sofisticadas para controlar de forma remota los sistemas, o introducir nuevos virus.
|
