Migmaf es un curioso troyano cuya presencia puede pasar totalmente inadvertida en los ordenadores infectados ya que no realiza ninguna acción que revele su existencia. Únicamente una comprobación de los servicios TCP/IP presentes en la máquina puede revelar su existencia, ya que el troyano no realiza ningún acción hostil en el sistema donde está instalado: únicamente utiliza su ancho de banda.
El funcionamiento del sistema es relativamente complejo. Las personas que controlan la red disponen de una serie de dominios y asocia la dirección IP de la máquina donde se está ejecutando el troyano con un nombre de sistema dentro de esos dominios. Esto les permite tener asociadas a los nombres utilizados en las URL virtualmente miles de direcciones IP diferentes, en redes diversas y potencialmente distribuidos por todo el planeta.
Cada vez que un ordenador infectado recibe una conexión al puerto 80/tcp (tráfico HTTP), redirecciona esta petición contra el servidor máster. Una vez recibida la respuesta de ese máster, la envía al ordenador que ha realizado la petición. De esta forma, los usuarios que acceden a las páginas web no saben en ningún momento cual es el sistema que realmente les está sirviendo el contenido. Para ellos es el ordenador donde está el troyano. La existencia de varios millares de sistemas con el troyano hace que cualquier intento de bloquear el acceso al contenido del servidor central sea muy difícil.
Adicionalmente, el troyano está escuchando el puerto 81/tcp donde hay un servidor socks de forma que desde el servidor central se puede utilizar esta conexión para, por ejemplo, enviar correo spam de forma que su origen queda totalmente oculto. Una vez más, los receptores del spam consideran que es el sistema víctima quien ha realizado el envío.
Migmaf dispone de algunas funciones pensadas para hacer un uso eficiente de los recursos. Así, por ejemplo, monitoriza el tiempo utilizado para la transmisión de las páginas, enviando esta información al servidor central. También envía unos cuantos centenares de KB a www.microsoft.com para medir así cual es el ancho de banda efectivo que dispone el sistema donde está instalado.
El troyano debe ser instalado manualmente en el ordenador víctima ya que no dispone de ningún mecanismo de distribución conocido. La existencia de un buen número de usuarios de AOL infectados sugiere la posibilidad que se distribuya de alguna forma utilizando el sistema de mensajería instantánea de este ISP.
En el momento de iniciar su ejecución comprueba si el sistema está configurado con un teclado ruso y, en caso afirmativo, finaliza su ejecución.
Detección y eliminación
Para detectar la presencia de Migmaf en un sistema puede determinarse por la presencia del archivo %WINDIR%SYSTEM32WINGATE.EXE La eliminación puede realizarse manualmente, editando el registro y eliminando la entrada
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Login Service = wingate.exe
Una vez borrada esta entrada, debe reiniciarse la máquina y borrar el archivo %WINDIR%SYSTEM32WINGATE.EXE
MÁS INFORMACIÓN:
Backdoor.Migmaf
http://www.symantec.com/avcenter/venc/data/backdoor.migmaf.html
Proxy-Migmaf
http://vil.mcafee.com/dispVirus.asp?virus_k=100480
Migmaf
http://www.alertaantivirus.es/virus/detalle_virus.html?cod=2776
TROJ_MIGMAF.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_MIGMAF.A
TROJ/MIGMAF-A
http://esp.sophos.com/virusinfo/analyses/trojmigmafa.html
Win32.Migmaf.A
http://www3.ca.com/virusinfo/virus.aspx?ID=35814
Hackers Hijack PC’s for Sex Sites
http://news.com.com/2100-12_3-1024967.html
New Trojan turns home PCs into porno Web sites hosts
http://lists.netsys.com/pipermail/full-disclosure/2003-July/011139.html
Reverse-Proxy Spam Trojan: Migmaf
http://www.lurhq.com/migmaf.html
Xavier Caballé
xavi@hispasec.com
Noticias Hispasec
