Un nuevo fallo en el famoso mIRC, en su versión 5.5, convierte
a este programa en una entrada potencial para troyanos.
Entre las opciones de este cliente de IRC podemos encontrar,
como es normal, que soporta comandos DCC. Esta particularidad es
la que nos permite, entre otras cosas, enviar y recibir ficheros,
así como realizar chats directos a través de este protocolo.
El traspaso de ficheros a través de DCC es utilizado de manera
regular para introducir troyanos. Hasta la fecha entre los
recursos más utilizados nos encontrábamos con la Ingeniería
Social, es decir, engañar al usuario a través de la conversación
para conseguir que aceptara el troyano. La víctima aceptaba y
ejecutaba el programa creyendo que se trata de software
inofensivo.
El DCC también ha servido como vía de contagio para los
virus-scripts de mIRC, que aprovechaban que por defecto los
ficheros aceptados por DCC se almacenaban en el directorio junto
con los ficheros de scripts. Esta particularidad hacía posible
que al enviar un fichero de script adecuadamente nombrado se
suplantara el original con el script que llevaba el código
maligno al escribirse encima. Hoy día, las nuevas versiones
de mIRC, incorporan un directorio aparte donde guarda los ficheros
aceptados por DCC, protegiendo así a los scripts.
Esta nueva versión del cliente de IRC, mIRC 5.5, introduce modificaciones
en su servidor de ficheros DCC. El problema esta vez viene dado
porque esta revisión no filtra determinados caracteres, como son
«.» y «\», en los nombres de los ficheros que se reciben. Esta
particularidad hace posible enviar un fichero y modificar el
directorio donde va a ser alojado en la máquina remota, evitando
la carpeta por defecto del mIRC.
Construyendo el nombre del fichero con «\..\..\..\» iríamos
subiendo directorios hasta llegar al raíz, después solo quedaría
indicar el path completo donde queremos dejar el fichero. Por
ejemplo, en el caso de un troyano, la carpeta de Inicio de
Windows95/98 sería ideal, ya que nos asegura que el programa se
ejecutará de forma automática cada vez que se inicie el sistema.
Para evitar posibles entradas de troyanos por esta vía, y hasta
que aparezca una nueva versión que lo corrija, lo más cómodo es
asegurarse de que tenemos el servidor DCC desactivado mediante
el comando «/dccserver off», con lo que cerrará el puerto 59 y
la posibilidad de un ataque.
Deja una respuesta