Un aviso alarmista de la empresa Network Security Technologies (NETSEC), en el que se reporta el descubrimiento de un sofisticado troyano, ha provocado que la mayoría de los medios de comunicación se hagan eco de una falsa alerta. Desde Hispasec os invitamos a conocer la verdad sobre ‘Serbian Badman’, un troyano de lo más básico al servicio del marketing de algunas empresas de seguridad y organismos gubernamentales.
Según la versión de NETSEC, una vez descubierto realizan un análisis preliminar del troyano y, debido a la supuesta amenaza global, reportan de inmediato el caso al FBI y NIPC (National Infrastructure Protection Center). En esos momentos comienzan las filtraciones y notas a los medios de comunicación, que se ven fomentadas desde la propia empresa de seguridad, mientras que el FBI confirmaba que se encontraba en plena investigación del caso.
El viernes ya eran varios los medios de prestigio que sacaban la noticia, un troyano, que se distribuía bajo un formato de v¡deo y hab¡a logrado infectar a 2.000 sistemas, estaba a punto de provocar un ataque DoS masivo contra sitios Web y comercios electr¢nicos, lo que con total seguridad ocasionar¡a importantes perdidas econ¢micas. Todos los sistemas infectados, la mayor¡a usuarios dom’sticos con acceso a Internet con m¢dem cable y conexiones permanentes, estar¡an bajo el control de los dos sospechosos cuyos apodos dar¡an nombre al troyano, «Serbian» y «Badman». No tardaron en aparecer otras empresas de seguridad que, a la consultas de los medios, no duraron en subirse en la misma ola para aprovechar el impacto de la alarma.
El estudio del troyano muestra una realidad muy distinta a la versi¢n que estos d¡as ha protagonizado la mayor¡a de las noticias al respecto. Se trata de un simple troyano distribuido como ejecutable ..EXE, sin ningon tipo de sofisticaci¢n, que intenta simular un video-clip a base de utilizar un icono e introducir una supuesta extensi¢n .MPG en el nombre del fichero. De la misma forma que VBS.LoveLetter incluye .TXT antes de la extensi¢n real (.VBS). Este troyano, que no puede autoenviarse ni infectar por si mismo, tiene como misi¢n la descarga v¡a HTTP de un conocido backdoor, «SubSeven», que al igual que BackOrifice o similares es detectado por la inmensa mayor¡a de los antivirus. Adem s, el backdoor dej¢ de estar disponible en el servidor al que «Serbian Badman» apunta, por lo que a d¡a de hoy la infecci¢n resulta imposible aun en los sistemas que no dispongan de antivirus.
Bernardo Quintero
bernardo@hispasec.com
