Categories: SeguridadVirus

Migmaf convierte los PCs en servidores de páginas porno

A finales de la semana pasada teníamos conocimiento de un nuevo troyano. Si bien su distribución es casi anecdótica, destaca por instalar un proxy reverso en el ordenador infectado que redirecciona las peticiones HTTP contra un servidor central, habitualmente con contenido pornográfico. De esta forma, se consigue ocultar la ubicación real de ese servidor central e impidiendo cualquier posible acción de bloqueo de su contenido.

Migmaf es un curioso troyano cuya presencia puede pasar totalmente inadvertida en los ordenadores infectados ya que no realiza ninguna acción que revele su existencia. Únicamente una comprobación de los servicios TCP/IP presentes en la máquina puede revelar su existencia, ya que el troyano no realiza ningún acción hostil en el sistema donde está instalado: únicamente utiliza su ancho de banda.

El funcionamiento del sistema es relativamente complejo. Las personas que controlan la red disponen de una serie de dominios y asocia la dirección IP de la máquina donde se está ejecutando el troyano con un nombre de sistema dentro de esos dominios. Esto les permite tener asociadas a los nombres utilizados en las URL virtualmente miles de direcciones IP diferentes, en redes diversas y potencialmente distribuidos por todo el planeta.

Cada vez que un ordenador infectado recibe una conexión al puerto 80/tcp (tráfico HTTP), redirecciona esta petición contra el servidor máster. Una vez recibida la respuesta de ese máster, la envía al ordenador que ha realizado la petición. De esta forma, los usuarios que acceden a las páginas web no saben en ningún momento cual es el sistema que realmente les está sirviendo el contenido. Para ellos es el ordenador donde está el troyano. La existencia de varios millares de sistemas con el troyano hace que cualquier intento de bloquear el acceso al contenido del servidor central sea muy difícil.

Adicionalmente, el troyano está escuchando el puerto 81/tcp donde hay un servidor socks de forma que desde el servidor central se puede utilizar esta conexión para, por ejemplo, enviar correo spam de forma que su origen queda totalmente oculto. Una vez más, los receptores del spam consideran que es el sistema víctima quien ha realizado el envío.

Migmaf dispone de algunas funciones pensadas para hacer un uso eficiente de los recursos. Así, por ejemplo, monitoriza el tiempo utilizado para la transmisión de las páginas, enviando esta información al servidor central. También envía unos cuantos centenares de KB a www.microsoft.com para medir así cual es el ancho de banda efectivo que dispone el sistema donde está instalado.

El troyano debe ser instalado manualmente en el ordenador víctima ya que no dispone de ningún mecanismo de distribución conocido. La existencia de un buen número de usuarios de AOL infectados sugiere la posibilidad que se distribuya de alguna forma utilizando el sistema de mensajería instantánea de este ISP.

En el momento de iniciar su ejecución comprueba si el sistema está configurado con un teclado ruso y, en caso afirmativo, finaliza su ejecución.

Para detectar la presencia de Migmaf en un sistema puede determinarse por la presencia del archivo %WINDIR%SYSTEM32WINGATE.EXE La eliminación puede realizarse manualmente, editando el registro y eliminando la entrada

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLogin Service = wingate.exe

Una vez borrada esta entrada, debe reiniciarse la máquina y borrar el archivo %WINDIR%SYSTEM32WINGATE.EXE

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago