En muchas oportunidades cuando hablamos de malware, mas precisamente de troyanos, lo hacemos refiriéndonos a archivos ejecutables de plataformas Windows cuya extensión es EXE. En esta ocasión hablaremos de otro tipo de troyanos, como el que mostraremos a continuación, que está programado como un script PHP.

Las muestras en cuestión son detectadas por ESET NOD32 Antivirus como PHP/C99Shell, cuyas variantes pueden ser por ejemplo PHP/C99Shell.J y PHP/C99Shell.NAD, solo por citar algunas. Cabe destacar que estas amenazas no son nuevas. Como comentamos en este mismo blog, muchas amenazas aunque utilicen técnicas antiguas o su código sea visiblemente en texto plano, no dejan de ser menos peligrosas que las actuales.

Las diferentes variantes de esta amenaza realizan diversas acciones y utilizan variadas técnicas para lograr su objetivo. Una de las diferencias que puede haber respecto a los ejecutables maliciosos tradicionales, es el uso de diferentes exploits dependiendo de la versión del servidor a atacar. Al ser simplemente un script PHP y al ser en texto plano, su modificación es relativamente sencilla para una persona con conocimientos de PHP scripting, pudiendo así agregar nuevas funcionalidades o actualizar las existentes.

Sin importar que variante de este troyano estemos analizando, todos tienen en común una serie de acciones. La principal es que posibilita al atacante el acceso a la computadora infectada remotamente. Su uso más frecuente es en servidores web comprometidos. Otras acciones que realiza pueden ser la de subir o borrar archivos del servidor, abrir puertos, listar determinados directorios, crear directorios, crear archivos, ver la versión de kernel actual, ver la lista de usuarios logueados, listar procesos, ejecutar código PHP, la capacidad de auto eliminarse , etc.

La interfaz web de esta shell, como vemos en la siguiente imagen, es bastante simple por lo que no se necesitan grandes conocimientos para poder utilizarla:

Este troyano, al igual que los troyanos en archivos EXE son altamente peligrosos por lo que recomendamos poseer una solución antivirus con capacidades de detección proactiva actualizada. De esta manera mantendrán sus servidores protegidos contra este tipo de amenazas.Es muy común ver paginas vulneradas que alojan malware sin el conocimiento de los webmasters. Estas paginas infectadas, al detectarse son bloqueadas por el antivirus para prevenir la propagación de malware; por lo que afectan a los visitantes de la web.

Juan Esteban Forgia
Malware Analyst