Tras los ya conocidos BackOriffice y NetBus aparece un nuevo troyano con características de administración remota, DeepThroat.
Al igual que con BO y NetBus la herramienta se compone de dos partes claramente diferenciadas, el cliente y el servidor. El cliente que aparce bajo el nombre de RemoteControl, se usa para controlar los ordenadores afectados mientras que el programa Systempatch es el servidor.
DeepThroat (http://hax0r.to/deept/) es una herramienta de administración remota para 95/98. Básicamente es una herramienta freeware con capacidades similares a las que ya disponían NetBus y BO.
El cliente permite acceso a la unidad de CD, abriendo y cerrando la unidad de forma remota, también permite el envío de cajas de mensjaes, ocultar y mostrar la barra de inicio. Al instalar el servidor también se procede a la instalación de un servidor de ftp a través del puerto 21, gracias al que se puede subir y bajar ficheros del ordenador afectado sin ningún problema.
Se puede ver la pantalla del ordenador infectado gracias a la posibilidad de efectuar una captura de pantalla, en formato jpg y de unos 80kb que será enviada de forma automática al cliente. No permite ver la pantalla del ordenador remoto en tiempo real, pero si puede dar una buena idea de que hay «en el otro lado».
Algo que puede llegar a resultar muy molesto es la posibilidad de encender y apagar el monitor remoto. Esta función hace que el monitor pase al estado de ahorro de energía y sólo puede ser restaurada de nuevo de forma remota. Igual de molesta puede resultar la opción de rebotar el ordenador.
Por último DeepThroat incluye un scanner que permite buscar ordenadores con el servidor instalado.
El equipo de I+D de HispaSec investigará y comprobará más a fondo el funcionamiento de DeepThoat esperando seguir informandoos sobre esta nueva herramienta
DeepThoat se suma a la moda de los troyanos
Antonio Ropero
Deja una respuesta