INSTALACION Y DETECCION DEL LITHIUM 1.02

Descomprimimos el *.ZIP y vemos 4 ficheros *.EXE. Lithium.exe es el módulo cliente (ordenador del lammer) y LithiumServer.exe es el servidor, el cual podemos editar desde el ServerEdit.exe. El SiN.exe es para el escaneo de puertos para detectar ordenadores infectados con el servidor.

Los *.DLL no se instalan con el módulo servidor, ni el SiN.exe, con lo que su detección por los antivirus en este ZIP es intrascendente. En la versión anterior sí que acompañaban al módulo servidor, pero no con el nuevo LITHIUM 1.2.

El módulo servidor podemos configurarlo. Estos son los valores por defecto, pero en cuanto sea detectado y conocido cambiarán seguramente.

Vemos que el puerto por defecto es el 31415 y que el nombre que adoptará el servidor es el de Shell32.exe. Puede iniciarse de distintas formas. Hasta puede generar un mensaje de error para ocultar su instalación inicial. E incluso que permanezca oculto para el W98/ME.

Una vez que lo instalamos con esa configuración por defecto, tenemos la ventana de error y el servidor con el nuevo nombre Shell32.exe, instalado al lado del fichero del windows SHELL32.DLL.

Y lo del KERNEL32.dll es llamativo. Siempre hemos preconizado que si el kernel o núcleo del windows quiere comunicarse, negárselo por defecto. Un monopuesto no debería necesitarlo normalmente, pero si se da el caso de su necesidad lo permitiremos, teniendo en cuenta los consejos y reglas del cortafuegos KERIO 2.

En W2000/XP seguramente se instalará en la carpeta \SYSTEM32, que es donde está el auténtico del windows.

Para comprobar qué procesos están residentes podríamos utilizar el Ctl Alt Supr, pero vemos que tal vez no funcione en Windows 9*, así que lo mejor será recurrir a una utilidad gratuita MUY RECOMENDABLE, PRCVIEW, que nos permite conocerlos y obtener mucha información sobre ellos.

En mi caso tengo 14 procesos residentes más otros 2 corriendo en ese momento: PRCVIEW y el IRFANVIEW (para captura de pantallas). Es decir, si al iniciarse el sistema tengo más de 14 + PRCVIEW, sospecharía inmediatamente. Es aconsejable ir coonociendo los procesos. Al menos debemos retener el número.

De los procesos activos podemos obtener mucha información. Pero aquí nos centraremos en el uso más habitual, el de MATAPROCESOS (Kill), como en los sistemas UNIX. Esta función es realmente muy útil

Si ejecutamos el MSCONFIG.EXE del W98 podremos decidir qué procesos se inician. En W2000/XP no tenemos tal herramienta, tendremos que ir a PANEL DE CONTROL / HERRAMIENTAS DE ADMINISTRACION / SERVICIOS. O ejecutar otra utilidad gratuita, de idéntico interfaz y de mismo nombre MSCONFIG.EXE, preparado para motores NT.

Otra utilidad gratuita muy interesante y gratuita, es el TWEAK IU 1.33 de M$, que nos permite modificar el sistema.

Gracias al REGEDIT.EXE podremos editar el registro y buscar Shell32. También podríamos deshabilitarlo o borrrarlo desde aquí, para que no se inicie.

El cortafuegos software gratuito KERIO nos permite ver también qué programas quieren comunicarse, más cómodamente que con el NETSTAT. Ahí lo vemos, agazapado, escuchando sigilosamente (listening). Pero si antes no lo teníamos, viéndolo ahí deberíamos sospechar. Sí, el puerto es el 31415.

Veamos si es cierto que sólo se instala el módulo servidor y ningún otro fichero más en el ordenador infectado. Para ello utilizaremos el System File Checking (SFC) del W98 integrado en INFORMACION DEL SISTEMA.

Lo hemos configurado adecuadamente y pasado antes y después de la instalación del módulo servidor, para que quede claro qué se instala en este momento:

Ahí lo tenemos, el módulo servidor instalado en la carpeta correspondiente y con el nombre cambiado. El segundo fichero siempre se actualiza al iniciarse el windows, así que tranquilos, es propio del windows.

Confirmado, sólo se instala el módulo servidor, así que ningún antivirus lo ha detectado correctamente. Por lo que el artículo aparecido en VSANTIVIRUS es correcto. No hay nada como probar las cosas personalmente.

Se nos puede colar fácilmente como un fichero adjunto pegado a otro programa (por supuesto, con un nombre menos evidente). Esto ha quedado claramente reflejado en la excelente comparativa de antivirus y antitroyanos como detectores de troyanos de ENLACES de SEGURIDAD (web administrada por AGIKA y COBURN).

Veamos cómo funciona ahora el módulo cliente que está en el ordenador del lammer (cualquiera que lo tenga instalado, no necesariamente quien nos lo coló!!!).

Como el KERIO está residente, BIEN CONFIGURADO, con reglas de máxima seguridad, detecta el intento de acceso a Internet (bueno, he permitido la creación de nuevas reglas para poder hacer la captura). Por defecto utiliza el LOOPBACK, es decir, la dirección IP reservada para comunicaciones internas, el 127.0.0.1, con lo que una vez autorizado se conectará con el módulo cliente.

Así puede comprobarse el correcto funcionamiento y configurarlo antes de liberarlo. En tal caso, se buscarán direcciones de víctimas infectadas, substituyendo la del LOOPBACK por las de los servidores encontrados.

Si ejecutamos el SiN.exe desde el ordenador del lammer, haremos un escaneo remoto de puertos. Buscaremos respuesta en tal puerto. De ahí que se aconsejable navegar por internet con la mayor invisibilidad posible, no respondiendo a estos escaneos, no basta con sólo negar acceso -indicaríamos nuestra presencia-, mejor permanecer mudos.

Las listas de ordenadores infectados acaban corriendo por distintos sitios en la RED.

Al ejecutar el módulo cliente podemos apreciar su potencia. Tiene puesta la dirección IP de prueba. Vemos que se ha tenido éxito en las comunicaciones, salvo una vez (ERROR: Unable to connect ... ) ya que se creó manualmente una regla para impedir la comunicación al Shell32.exe.

Al utilizar el LOOPBACK nos saltamos el cortafuegos internamente, como con el PROXOMITRON y los navegadores o con el módulo POP3SCAN del antivirus NOD. Las comunicaciones internas no son las peligrosas, el problemas son las otras.

Recordemos que en tal caso, sólo necesitábamos la regla para el PROXOMITRON para poder navegar normalmente (no en modo seguro https), y ninguna para los navegadores OPERA, MOZILLA o CRAZY BROWSER (interfaz gratuito con pestañas para el INTERNET EXPLORER, que además nos permite evitar el TOOLEAKY famoso).

Es decir, el PROXOMITRON equivale al cliente y los navegadores al servidor, de ahí la ausencia de regla. Pero eso no es lo habitual. El KERIO debiera detectar y parar el escaneo de puerto.

Sí, efectivamente hay comunicación entre los dos módulos. OJO, si somos la máquina infectada, las calaveras no aparecerán. En este caso, al estar los módulos funcionando en el mismo sistema, sí. Fijémonos en el 6º y en el último. Se han comunicado. También podríamos ver el número y tipo de los paquetes enviados, mirando las estadísticas del KERIO, como se hizo con los LEAKTEST (aplicaciones de prueba que traspasan los cortafuegos software).

Las posibilidades de interacción de este troyano o R.A.T. (cómo les gusta llamarlo a sus creadores) son muy numerosas. Arriba se ha abierto el File Explorer y hemos ido a la carpeta del antivirus NOD, cuyo módulo AMON saltó al ejecutar el cliente, ya que éste requería las DLL que detecta el antivirus!!!. DLL que están el ordenador del lammer, no en el infectado.

- ANTIVIRUS y BICHOS -             - Artículos Varios -