MALANTERN, troyano que parodia al Magic Lantern del FBI y borra archivos

© Jorge Machado  Lima-Perú

Trojan/Malantern, W32/Malantern, Win32.Danschl

Malantern, es un troyano cuya primera especie viral fue reportada el 12 de Diciembre del 2001 por varias empresa y entidades del gobierno del Perú. Está escrito en Visual Basic 6 y requiere que la librería MSVBVM60.DLL se encuentre instalada en los sistemas que infecte. Tiene una extensión de 24Kb y ha sido desarrollado por un adolescente argentino de 17 años, y es una parodia del "troyano anti-terrorismo", creado por el FBI (Federal Bureau of Investigation) de nombre Magic Lantern (Linterna Mágica).

Malantern infecta los sistemas operativos Microsoft Windows 98/NT/2000/Me/XP, incluyendo los servidores NT/2000/XP y tiene como propósito borrar archivos de la carpeta temporal de Windows, así como los archivos de sistema con extensión .SYS de C:\Windows\System32\Drivers 

ACERCA DE MAGIC LANTERN (Linterna Mágica)

La publicitada y comentada existencia del programa espía denominado Magic Lantern, concebido por el FBI de los Estados Unidos, tiene el propósito de ingresar en forma subrepticia en los sistemas sobre los cuales tenga sospechas de la realización de actividades ilegales, tales como terrorismo u otros actos criminales. Recordemos que los luctuosos y lamentables hechos ocurridos el 11 de Septiembre del 2001, prácticamente cambiaron la historia de los Estados Unidos.

Se ha escrito mucho acerca de este programa que habría empezado a ser desarrollado bajo una muy sofisticada tecnología de "troyan horse" (caballo de troya) con características de "backdoor" de Control Remoto y que una vez ingresado en un sistema, cuenta con la capacidad de devolver a ciertos servidores de la Oficina Federal Investigaciones (FBI), toda la información digitada o contenida, tales como datos, rutinas de programación, passwords, etc. y ha sido motivo de muchas críticas y controversias: 

http://www.businessweek.com/bwdaily/dnflash/nov2001/nf20011127_5011.htm

http://www.zdnet.com/zdnn/stories/comment/0,5859,2829781,00.html

http://www.msnbc.com/news/660096.asp?cp1=1#BODY

http://www.theregister.co.uk/content/6/23150.html

Magic Lantern cuenta con la anuencia de algunos Proveedores de Servicios de Internet (ISP) y desarrolladores de antivirus que se han comprometido en no detectarlo. Inclusive, un connotado grupo de creadores de virus, denominado el Culto a la Vaca Muerta, que en 1998 y 1999 desarrollara el famoso Back Orifice, ha ofrecido "colaborar" en su perfeccionamiento.  

Aunque hasta la fecha, no hay evidencias concretas sobre este programa, el 12 de Diciembre del 2001 el FBI aceptó su existencia a nivel de proyecto.

El equipo de investigación de PER ANTIVIRUS®, considera que este hecho, constituye un grave y claro atentado contra la privacidad de la información de los usuarios de todo el mundo y nos comprometemos a detectarlo y eliminarlo en cuanto obtengamos la muestra o muestras correspondientes.

Volviendo al caso del troyano Malantern, la variante reportada, no cuenta con rutinas de propagación masiva a través de Internet, sin embargo ha sido enviada a través de un mensaje de correo electrónico con el archivo anexado IEPatch.exe

Esta situación reviste una grave peligrosidad, toda vez que a su código fuente se le puedan agregar funciones de las librerías MAPI (Messaging Application Programming Interface) para poder difundir su auto-envío masivo a los buzones de correo de la Libreta de Direcciones de Microsoft Outlook y Outlook Express.

Malantern, se manifiesta a través de un archivo anexado de nombre IEPatch.exe de formato PE (Portable Ejecutable), que simula ser un parche de seguridad para Internet Explorer.

Dentro del código interno del archivo IEPatch.exe se puede leer:

Versión: 1.00
Descripción: IE Security Patch
Copyright: Copyright (C) 1992-2002 Microsoft Corp.

Comments:

This patch fixes a bug that
could let hackers steal
cookies via IP scanning.

Si es ejecutado, borrará la carpeta C:\Windows\Temp y todo su contenido, para luego crear las siguientes carpetas:

C:\WINDOWS\Magic Latern
C:\WINDOWS\FBI software
C:\WINDOWS\John ASScroft
C:\WINDOWS\Bill Gatez
C:\WINDOWS\Desktop\666
C:\WINDOWS\Desktop\Bin Laden
C:\WINDOWS\Desktop\666 WTC
C:\WINDOWS\Desktop\Magic Fuckers
C:\WINDOWS\Desktop\Agentlinux
C:\WINDOWS\Desktop\iFuckedYourWife
C:\WINDOWS\Desktop\Biohazard Virii

Inmediatamente procederá a borrar todos los archivos con extensión .SYS que se encuentren dentro de la carpeta C:\Windows\System32\Drivers para inmediatamente mostrar el mensaje:

Si se hace clic en el botón "OK" se mostrará una caja de diálogo que se burla del programa del FBI:

Al hacer clic en el botón "Who is -=Agentlinux=-", el troyano mostrará, en forma sucesiva, varios mensajes con textos alusivos al autor, generándose un rutina sin fin (bucle):

PER ANTIVIRUS® versión 7.2 con registro de virus al 13 de Noviembre del 2001 detecta y elimina eficientemente este troyano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS