La toma de posesión del Troyano de mIRC

La toma de posesión del Troyano de mIRC "winhelper"

versión original de Melinda Thompson conocida tambien como Habit ima@badhabit.org
versión original en http://www.irchelp.org/irchelp/mirc/trojan.txt
Traducción en Griego en http://w4u.eexi.gr/~shadow/irc/trojan.txt

Actualizado 1/17/98

¿QUE ES LO QUE ES?

Comenzando alrededor de enero 10 de 1998, muchos utilizadores del cliente del IRC de mIRC para Windows han sufrido de tomas de posesión del canal como resultado un nuevo programa del Troyano (un fichero que finge ser algo bueno cuando no es realmente). Una vez que esté infectado, el cliente pueda ser forzado hacer cualquiera o todo el siguiente:

        1. Invitar un maleante a cualquier canal donde usted está operador,
        2. Hacer un deop total de todo el resto de ops,
        3. Dar el Op status al malaente
        4. Hacer un DeOp a ud mismo y hacerlo salir del IRC
Esto pasa como resultado de la toma de posesión, el cual no requiera explotar el timestamp del servidor (TS), splits, o cualquier otro hack .

¿CÓMO CONSEGUÍ INFECTARME?

La hazaña se nombra útil como algo que pudo ser deseable, por ejemplo un screensaver, un crack, o algún otro fichero de .exe (los ejemplos incluyen spoof.exe, land.exe, etc.) Usted puede conseguirla dentro del IRC usando el DCC GET, o usted puede ser que lo descargue por WWW o el ftp . No importa como, usted necesita conseguirlo activamente de en alguna parte o de alguien (a menos que usted haga lo absurdo de poner automatico el DCC de mIRC's, en el cual caso cualquiera puede enviarle cualquier cosa en cualquier momento).
Cuando usted procura ejecutar el Troyano se diseña para dar un mensaje de error o aparecer que ha sido una transferencia fallada, mientras que realmente altera win.ini y escribe 2 otros ficheros. Usted asume probablemente que la transferencia corrompió el fichero y boto el archivo original lejos o que se dio para vencido en ello. Sin embargo para este tiempo la hazaña está instalada ya. El fichero falsificado de mIRC.ini se pone en el nivel de la raíz de su disco duro (C: \ generalmente) y por esta localización de un nivel más alto el fichero falso del ini se carga evidentemente más bien que el fichero correcto del ini que está en el subdirectory del mirc.

¿CÓMO TRABAJA?

El malechor se mantiene fuera en un canal especial señalado y espera muestras que ud esta infectado. Usted notará un /notice del control del canal cuando usted entra el IRC, el cambio del apodo o nick, y probable cuando usted se hace un chanop. Los malechores o maleantes después vienen a su canal y a fuerza lo hacen que les ceda o rinda el canal a ellos (véase 4 pasos de progresión arriba). Los comandos al infectado se hacen por /msg <command> el cuál el script le bloquea a ud en ver que pasa. Usted hace la entrega del canal, todo sin siempre ver que están siendo mandados o dados con estos comandos.

¿CUÁL ES LA CURACIÓN?

La curación es como sigue: quite el fichero winhelper.exe, de C: \ la versión de mIRC.ini y suprime una línea de win.ini que se refiera a winhelper.exe... es decir una línea en win.ini que diga algo sobre ejecutar c:\windows\system\winhelper.exe, o quizás: run=C:\windows\winhelper.exe. No seguro del formato o location exacta de la línea en win.ini pero se refiere definitivamente al fichero winhelper.exe. Ahora hay muchas variantes del Troyano original pero tienden actuar la misma manera: creando o modificando ficheros de lanzamiento del comienzo de la computadora por defecto tales como mirc.ini, win.ini, o script.ini.

MORALEJA DE LA HISTORIA

* NUNCA * reciba o baje ficheros de la transferencia directa (por DCC, WWW, FTP, u otras maneras) de una persona o de un Web site que usted no es familiar con, no importa cómo tentativos o ficheros normales se parecen ser. Hay demasiada muchas gente maleante afuera quiénes estan impacientes de aprovecharse de usted, y las consecuencias pueden extenderse relativamente inofensivo, como tomas de posesión del IRC, al relativamente peligroso, como tener su disco duro accesado/borrado, y su conexión comprometida, o peor. Vea por ejemplo: http://www.irchelp.org/irchelp/mirc/si.html para otro Troyano popular para mIRC. Esto no es una táctica del susto - estas cosas realmente suceden cada día!