domingo, 21 de marzo de 1999

ProMail: troyano en el cliente de correo

ProMail v.1.21 es un nuevo troyano que se nos presenta como un programa
gratuito de correo electrónico para Windows 95/98. En estos momentos
tiene una gran difusión debido a que está siendo distribuido por
importantes sitios, tales como www.simtel.net o www.shareware.com.
El troyano está presente en los principales sitios de distribución de
ficheros bajo el nombre de proml121.zip, con un tamaño de 400kb y fecha
del 22 de febrero de 1999. En nuestro país, por ejemplo, podemos
encontrarlo en el mirror que el FTP de RedIRIS mantiene de simtel.net:

ftp://ftp.rediris.es/mirror/simtelnet/win95/email/proml121.zip

En su tarjeta de presentación el programa se nos presenta bajo el
copyright de SmartWare Inc. Entre sus características podemos destacar
el soporte de múltiples cuentas POP3, la compatibilidad con MIME y UUEncode,
el soporte de los estándares RFC 821/922/1725/1521/1522, e incluso la
opción de interactuar con software antivirus.

Una de las principales características de ProMail es que permite el soporte
de múltiples buzones de correo, lo que a su vez se convierte en el arma
principal del troyano. Cada vez que se crea un nuevo buzón ProMail crea
un fichero "account.ini" que contiene el nombre de usuario, password cifrada,
dirección de correo y resto de información del buzón creado.

El ejecutable, que parece estar creado con Borland Delphi, ha sido comprimido
con Petite, un compresor shareware de ejecutables Win32, lo que dificulta su
desensamblado. Un análisis de paquetes, a través de una red local, ha
permitido descubrir que este programa intenta conectar con un SMTP para
enviar la información recogida en los ficheros "account.ini". El envío se
produce a la cuenta que el supuesto creador del programa mantiene en
NetAddress, un proveedor de buzones de correo gratuito.

En un análisis posterior, ya basándose en un desensamblado, se determina que el
envío de la información es el único aspecto que el programa realiza como troyano,
ya que no se ha encontrado ningún otro indicio de código malicioso. Otra
característica que se ha podido observar es la utilización del fichero
"promail.pml" que no contiene ninguna información. La existencia ó no de este
archivo le indica al programa que una ó más cuentas no fueron enviadas cuando
fueron creadas, como por ejemplo ocurre cuando se hacen sin estar conectados a
Internet, ó cuando no se le da la orden de chequear el correo.

Por último, se ha procedido a crackear la cuenta donde envía la información el
troyano. En el buzón se han podido encontrar más de 80 emails, todos con el
asunto "kirio", que contenían igual número de cuentas, donde destacan las de
sitios tan dispares como Microsoft, la Armada en Michigan ó compañías de
videojuegos entre otras.

Más información:
Aeon Labs: http://cool.icestorm.net/aeon/news.html


Bernardo Quintero



No hay comentarios:

Publicar un comentario en la entrada