Barrapunto

Este troyano apunta ser un explorador de puertos distribuído cuya presencia es muy difícil descubrir. Él examina puertos de direcciones al azar por el espacio de direcciones IP, con una dirección de origen aleatoria además de spoofeada. Al spoofear la dirección del origen, el troyano puede evitar una fácil detección, pero también significa que no puede recibir los resultados del TCP SYN que envía. Sin embargo, ya que el troyano también olfatea la red en que se encuentra en modo promiscuo, es probable, con el tiempo, ser elegido para ser examinado por otras instalaciones de troyanos que al azar escogieron una dirección de origen que se encuentran en su subred. Como el número de troyanos instalados en Internet crece, más paquetes spoofeaddos serán enviados por cada troyano, y más direcciones origen spoofeadasserá capturadas por los otros troyanos.

Cada vez que se recibe una contestación a un troyano, indicando que se ha encontrado un puerto abierto, se escribe en un archivo y se guarda. Diariamente, el troyano entrega a una dirección IP predefinida la lista de puertos abiertos que anotó mientras estaba olfateando.

Además, un paquete especialmente creado puede enviarse a la subred en la que el troyano está escuchando, el cuál contiene dentro de su número de secuencia la dirección de IP a la cual los troyanos deben entregar la lista del puertos abiertos diariamente. Sin embargo, en las encarnaciones actuales de este troyano esta funcionalidad parece estar desactivada.

Finalmente, el troyano contiene una característica por medio de la cual si no conecta a la dirección de IP a la que se supone que debe enviar su lista de los puertos abiertos, intentará eliminarse del sistema automáticamente.

El troyano que nosotros hemos identificado ha sido un archivo designado 'a' que reside en /tmp /... /a del sistema de archivos. Su actividad de recopilación de paquetes supervisa cualquier paquete con un tamaño de ventana de 55808 bytes y anota todos los paquetes que son iguales a ese tamaño de ventana. La captura del paquete se escribe en su directorio actual (típicamente /tmp /... /) en un archivo llamado 'r'.

Hay una dirección IP predefinida, que es la 12.108.65.76, a la que el troyano intenta hacer una conexión normal (no spoofeada) en el puerto 22/TCP y entrega la captura del paquete después de que ha estado corriendo durante 24 horas, sin embargo esto aparece haber sido seleccionado al azar puesto que no es una dirección activa en Internet, y es potencialmente modificable dinámicamente por un paquete que puede enviarse al troyano.

El troyano parece contener alguna funcionalidad para cambiar la dirección de IP donde entrega sus capturas de paquetes, pero esta funcionalidad no es operacional en el troyano que nosotros hemos obtenido. Parece que lo desecharon fuera del código, pero si fuera activo, funcionaría como sigue: Si se captura un paquete que contiene un tamaño de ventana de 55808 bytes y una escala opcional de ventana TCP de 2, el troyano modifica la dirección IP de las capturas de paquetes que se entregan a una basada en el número de la secuencia de ese paquete.

Aun cuando es un nuevo concepto, este troyano parece haber sido escrito principalmente como una prueba de concepto relativo a las ideas que Lancope describió como un 'troyano de 3 generación'. Aunque genera cantidades grandes de tráfico en la red, no contiene comportamientos ni auto-replicante ni malévolo, y unos exploradores de puertos de gran velocidad desde el host comprometido serían más efectivos y eficaces para mapear puertos abiertos en Internet que este tipo de troyano.

Nosotros sólo hemos observado el troyano en sistemas Linux hasta la fecha. Sin embargo, el propio programa es bastante portátil a otras variantes de Unix, así que es posible si no probable que