En muchas oportunidades cuando
hablamos de malware, más precisamente de troyanos, lo hacemos refiriéndonos a
archivos ejecutables de plataformas Windows cuya extensión es .EXE, en esta
ocasión hablaremos de otro tipo de troyanos, como el que mostraremos a
continuación, que está programado como un script PHP.
Cabe destacar que estas amenazas
no son nuevas. Como comentamos en este mismo blog, muchas amenazas aunque
utilicen técnicas antiguas o su código sea visiblemente en texto plano, no
dejan de ser menos peligrosas que las actuales.
Las diferentes variantes de esta
amenaza realizan diversas acciones y utilizan variadas técnicas para lograr su
objetivo. Una de las diferencias que puede haber respecto a los ejecutables
maliciosos tradicionales, es el uso de diferentes exploits dependiendo de la
versión del servidor a atacar. Al ser simplemente un script PHP y al ser en
texto plano, su modificación es relativamente sencilla para una persona con
conocimientos de PHP scripting, pudiendo así agregar nuevas funcionalidades o
actualizar las existentes.
Sin importar que variante de este
troyano estemos analizando, todos tienen en común una serie de acciones. La
principal es que posibilita al atacante el acceso a la maquina infectada
remotamente. Su uso más frecuente es en servidores web comprometidos, otras
acciones que realiza pueden ser la de subir o borrar archivos del servidor,
abrir puertos, listar determinados directorios, crear directorios, crear
archivos, ver la versión de kernel actual, ver la lista de usuarios logueados,
listar procesos, ejecutar código PHP, la capacidad de auto eliminarse , etc.
La interfaz web de esta shell,
como vemos en la siguiente imagen, es bastante simple por lo que no se
necesitan grandes conocimientos para poder utilizarla:
Puede descargar el shell y verificar sus multiples utilidades desde el siguiente enlace: