MIGMAF, Un Troyano que convietre las PC's en
servidores de páginas porno

A finales de la semana pasada teníamos conocimiento de un nuevo troyano. Si bien su distribución es casi anecdótica, destaca por instalar un proxy reverso en el ordenador infectado que redirecciona las peticiones HTTP contra un servidor central, habitualmente con contenido pornográfico. De esta forma, se consigue ocultar la ubicación real de ese servidor central e impidiendo cualquier posible acción de bloqueo de su contenido. 

Migmaf es un curioso troyano cuya presencia puede pasar totalmente inadvertida en los ordenadores infectados ya que no realiza ninguna acción que revele su existencia. Únicamente una comprobación de los servicios TCP/IP presentes en la máquina puede revelar su existencia, ya que el troyano no realiza ningún acción hostil en el sistema donde está instalado: únicamente utiliza su ancho de banda.

El funcionamiento del sistema es relativamente complejo. Las personas que controlan la red disponen de una serie de dominios y asocia la dirección IP de la máquina donde se está ejecutando el troyano con un nombre de sistema dentro de esos dominios. Esto les permite tener asociadas a los nombres utilizados en las URL virtualmente miles de direcciones IP diferentes, en redes diversas y potencialmente distribuidos por todo el planeta.

Cada vez que un ordenador infectado recibe una conexión al puerto 80/tcp (tráfico HTTP), redirecciona esta petición contra el servidor máster. Una vez recibida la respuesta de ese máster, la envía al ordenador que ha realizado la petición. De esta forma, los usuarios que acceden a las páginas web no saben en ningún momento cual es el sistema que realmente les está sirviendo el contenido. Para ellos es el ordenador donde está el troyano. La existencia de varios millares de sistemas con el troyano hace que cualquier intento de bloquear el acceso al contenido del servidor central sea muy difícil.

Adicionalmente, el troyano está escuchando el puerto 81/tcp donde hay un servidor socks de forma que desde el servidor central se puede utilizar esta conexión para, por ejemplo, enviar correo spam de forma que su origen queda totalmente oculto. Una vez más, los receptores del spam consideran que es el sistema víctima quien ha realizado el envío.

Migmaf dispone de algunas funciones pensadas para hacer un uso eficiente de los recursos. Así, por ejemplo, monitoriza el tiempo utilizado para la transmisión de las páginas, enviando esta información al servidor central. También envía unos cuantos centenares de KB a www.microsoft.com para medir así cual es el ancho de banda efectivo que dispone el sistema donde está instalado.

El troyano debe ser instalado manualmente en el ordenador víctima ya que no dispone de ningún mecanismo de distribución conocido. La existencia de un buen número de usuarios de AOL infectados sugiere la posibilidad que se distribuya de alguna forma utilizando el sistema de mensajería instantánea de este ISP. 

En el momento de iniciar su ejecución comprueba si el sistema está configurado con un teclado ruso y, en caso afirmativo, finaliza su ejecución. 


Detección y eliminación

Para detectar la presencia de Migmaf en un sistema puede determinarse por la presencia del archivo:

%WINDIR%\SYSTEM32\WINGATE.EXE

La eliminación puede realizarse manualmente, editando el registro y eliminando la entrada:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Login Service = wingate.exe

Una vez borrada esta entrada, debe reiniciarse la máquina y borrar el archivo %WINDIR%\SYSTEM32\WINGATE.EXE.