Categories: SeguridadVirus

Migmaf convierte los PCs en servidores de páginas porno

A finales de la semana pasada teníamos conocimiento de un nuevo troyano. Si bien su distribución es casi anecdótica, destaca por instalar un proxy reverso en el ordenador infectado que redirecciona las peticiones HTTP contra un servidor central, habitualmente con contenido pornográfico. De esta forma, se consigue ocultar la ubicación real de ese servidor central e impidiendo cualquier posible acción de bloqueo de su contenido.

Migmaf es un curioso troyano cuya presencia puede pasar totalmente inadvertida en los ordenadores infectados ya que no realiza ninguna acción que revele su existencia. Únicamente una comprobación de los servicios TCP/IP presentes en la máquina puede revelar su existencia, ya que el troyano no realiza ningún acción hostil en el sistema donde está instalado: únicamente utiliza su ancho de banda.

El funcionamiento del sistema es relativamente complejo. Las personas que controlan la red disponen de una serie de dominios y asocia la dirección IP de la máquina donde se está ejecutando el troyano con un nombre de sistema dentro de esos dominios. Esto les permite tener asociadas a los nombres utilizados en las URL virtualmente miles de direcciones IP diferentes, en redes diversas y potencialmente distribuidos por todo el planeta.

Cada vez que un ordenador infectado recibe una conexión al puerto 80/tcp (tráfico HTTP), redirecciona esta petición contra el servidor máster. Una vez recibida la respuesta de ese máster, la envía al ordenador que ha realizado la petición. De esta forma, los usuarios que acceden a las páginas web no saben en ningún momento cual es el sistema que realmente les está sirviendo el contenido. Para ellos es el ordenador donde está el troyano. La existencia de varios millares de sistemas con el troyano hace que cualquier intento de bloquear el acceso al contenido del servidor central sea muy difícil.

Adicionalmente, el troyano está escuchando el puerto 81/tcp donde hay un servidor socks de forma que desde el servidor central se puede utilizar esta conexión para, por ejemplo, enviar correo spam de forma que su origen queda totalmente oculto. Una vez más, los receptores del spam consideran que es el sistema víctima quien ha realizado el envío.

Migmaf dispone de algunas funciones pensadas para hacer un uso eficiente de los recursos. Así, por ejemplo, monitoriza el tiempo utilizado para la transmisión de las páginas, enviando esta información al servidor central. También envía unos cuantos centenares de KB a www.microsoft.com para medir así cual es el ancho de banda efectivo que dispone el sistema donde está instalado.

El troyano debe ser instalado manualmente en el ordenador víctima ya que no dispone de ningún mecanismo de distribución conocido. La existencia de un buen número de usuarios de AOL infectados sugiere la posibilidad que se distribuya de alguna forma utilizando el sistema de mensajería instantánea de este ISP.

En el momento de iniciar su ejecución comprueba si el sistema está configurado con un teclado ruso y, en caso afirmativo, finaliza su ejecución.

Para detectar la presencia de Migmaf en un sistema puede determinarse por la presencia del archivo %WINDIR%SYSTEM32WINGATE.EXE La eliminación puede realizarse manualmente, editando el registro y eliminando la entrada

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLogin Service = wingate.exe

Una vez borrada esta entrada, debe reiniciarse la máquina y borrar el archivo %WINDIR%SYSTEM32WINGATE.EXE

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Dell Technologies introduce avances en Dell NativeEdge

Dell pretende que "las organizaciones puedan utilizar continuamente los últimos avances de IA en el…

10 horas ago

HPE anuncia más soluciones de supercomputación

Introduce cinco nuevas soluciones HPE Cray con arquitectura de refrigeración líquida directa y dos servidores…

11 horas ago

Meta Park Montseny-Riells abre las puertas a la realidad aumentada

Las entradas para acudir a este parque temático que defiende un turismo sostenible saldrán a…

11 horas ago

QNAP soportará QTS 5.2 y QuTS hero h5.2 a largo plazo

Amplía la disponibilidad de actualizaciones y parches críticos para ambos sistemas operativo hasta agosto de…

12 horas ago

Pure Storage introduce mejoras en su plataforma Portworx

Con esta actualización acelera las cargas de trabajo de Kubernetes para máquinas virtuales, bases de…

13 horas ago

Elena de Pablo se convierte en Ecosystem Senior Manager de EIT Manufacturing para Iberia

Su cometido pasa por consolidar y ampliar el ecosistema industrial en España y Portugal.

13 horas ago