1. El IRC es una de las formas de comunicación por internet más utilizada del momento. Conocido
vulgarmente como chat, permite que dos o más personas mantengan una conversación o intercambien
archivos, de manera sencilla. En la actualidad existen miles de servidores de IRC utilizados por millones de
personas de todo el mundo, y esta popularidad hace que el IRC sea otro de los tantos blancos de los ataques
de los programadores de virus informáticos.
Existen muchos virus, troyanos y gusanos que utilizan distintos programas de chat, como el mIRC o el
Pirch, dos aplicaciones muy difundidas, para propagarse a través del IRC. Éstos aprovechan las capacidades
de automatización mediante scripting que tienen estas aplicaciones para enviarse en forma automática a
otros usuarios que se encuentren en el mismo canal, sala o servidor que un usuario infectado.
Para ello, los virus modifican los archivos de configuración propios de las aplicaciones de chat,
aprovechándose de algunas vulnerabilidades en ellas, y logran de esta manera realizar todo tipo de acciones
durante la sesión de IRC que el usuario afectado mantenga.
El IRC o chat también es utilizado por muchos usuarios maliciosos para distribuir manualmente, entre
personas conocidas o no, troyanos con capacidades de puerta trasera (backdoors) que les permitirán tener
acceso en forma remota al equipo de quien los ejecute.
Pero los virus no pueden pasearse por el IRC libremente. Además de que los antivirus los reconocen,
algunos derivados del mIRC, como el IRCap o el X.-CriPt, poseen funcionalidades de protección contra este
tipo de programas maliciosos permitiendo a los usuarios tener algunas herramientas para defenderse de los
ataques de los virus.
Algunos ejemplos de virus de IRC
SCRIPT.INI
Uno de los más conocidos de estos códigos replicantes es el SCRIPT.INI. En sí, es un archivo de script del
programa mIRC, capaz de afectar a éste y a cualquiera de los programas basados en él, que aún hoy sigue
circulando en muchas de las redes de IRC del mundo. Contiene comandos que permiten a personas remotas
controlar las sesiones de IRC del usuario infectado, observar las conversaciones que éste mantiene y otras
acciones adicionales, como, por ejemplo, terminar una conversación o sesión.
El mismo se reproduce reenviándose a través de una transferencia DCC, y toma ventaja de dos
funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-
DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el
directorio de instalación de la aplicación.
El SCRIPT.INI puede realizar, entre otras cosas, lo siguiente:
2. Redireccionar todos los mensajes enviados por el usuario, en forma abierta o privada, a otro canal.
Cuando otra persona ejecuta un comando determinado, interrumpir la sesión de IRC.
Al enviar un usuario remoto otro comando predefinido, permitirle acceso total al disco duro del usuario
afectado a
través de algún tipo de aplicación como el fserve.
Bloquear o alterar mensajes procedentes de la víctima.
Enviarse en forma automática a otros usuarios.
No puede ser considerado un virus, dado que no se replica en forma automática. Es, en realidad, un código
malicioso con capacidades de troyano y gusano, al poder reenviarse en forma automática. Existen varias
versiones de este gusano que afecta el mIRC.
VBS/Stages
También conocido como LifeStages, es un gusano muy complejo, que entre sus distintos métodos de
propagación, utiliza el mIRC y el Pirch para enviarse vía DCC como un archivo de nombre
LIFE_STAGES.TXT.SHS.
Al ejecutar este archivo, el usuario verá un documento de texto plano conteniendo una broma sobre las
distintas etapas de la vida del hombre y la mujer. Mientras tanto, el gusano se instalará en el sistema, y
comenzará con su propagación por correo electrónico. También modificará los archivos de configuración
del mIRC y el Pirch para enviarse a través de una transferencia DCC.
Actualmente es uno de los más difundidos en el IRC hispanohablante.
IRC/Netol
Algo más simple que el VBS/Stages, es otro de los gusanos de mayor propagación en el IRC de habla
castellana. Camuflado como un protector de pantalla con el nombre de netol.scr, este gusano se distribuye
utilizando el mIRC a través de una transferencia DCC a todos aquellos usuarios que se encuentren en el
mismo canal o salón que el usuario afectado.
Al ejecutarlo, muestra un mensaje de error para hacer creer al usuario que el mismo no pudo abrirse
correctamente, como el siguiente:
Brain ProtecToR
3. Este protector de pantalla solo funciona con DirectX 8.5 Alpha
Crea un archivo MIRC.HST en el directorio de este programa, que contiene los comandos que necesita para
reproducirse. También posee capacidad para realizar ciertas acciones en el equipo infectado según los
comandos que reciba a través del IRC en forma remota.
NetBus, BackOriffice y SubSeven
Aunque no son los únicos, estos tres son los troyanos más difundidos de la actualidad. Sus capacidades
permiten a un usuario tener acceso a un sistema remoto y realizar todo tipo de acciones en él, que van desde
la subida o bajada de archivos, eliminación de información, instalación de programas, modificación de la
configuración del equipo, etc.
Normalmente son utilizados por usuarios maliciosos, quienes los distribuyen a través del IRC, correo
electrónico ú otros medios de comunicación por internet. Existen utilidades que permiten adosarlos a
cualquier otro ejecutable para que, cuando un usuario los ejecute, vea otra cosa mientras que el troyano se
instala en su sistema.
La defensa
Prevenirse de este tipo de virus y troyanos que afectan el IRC es una tarea simple, si se lleva a cabo con
responsabilidad. Si el usuario no realiza prácticas de computación segura (safe computing), es muy difícil
que se encuentre preparado para enfrentar cualquier tipo de virus.
Principalmente, un usuario debe seguir los siguientes consejos al utilizar el IRC:
Nunca aceptar transferencias de archivos que no han sido solicitadas.
Contar con un antivirus para revisar los archivos recibidos, sean solicitados o no.
Actualizar periódicamente el antivirus para poder detectar cualquier nuevo virus que sea descubierto.
Más específicamente relacionado con el IRC, si el usuario utiliza el mIRC, es importante que tenga en
cuenta lo siguiente:
Deshabilitar la recepción automática de transferencias DCC
Esta funcionalidad del mIRC, aunque muy útil para automatizar la recepción de archivos, es potencialmente
peligrosa, como cualquier opción que permita que un usuario remoto pueda copiar archivos en nuestro disco
duro sin nuestro conocimiento.
4. Para deshabilitar esta opción, es necesario hacer lo siguiente, una vez dentro del mIRC:
Bajo el menú DCC, elegir Opciones, y luego la ficha titulada Send.
En donde dice "On Send request", seleccionar la opción "Show Get Dialog".
Esto permitirá que cuando un usuario desee enviarle algún archivo vía DCC, una ventana de confirmación se
abrirá, ofreciendo la opción de aceptar o no la transferencia. Si Ud. no solicitó el archivo, puede seleccionar
en esa ventana la opción Cancelar y la transferencia será interrumpida. En cambio, si el archivo fue
requerido por Ud. y desea recibirlo, basta con seleccionar Aceptar (Ok).
Enviar archivos potencialmente peligrosos a un directorio especial
El mIRC permite ser configurado para que, dependiendo de la extensión del archivo que se está recibiendo,
el mismo sea guardado en un directorio alternativo. Esto es una buena medida de seguridad dado que de esta
manera el usuario puede luego revisar dicho directorio con un antivirus para corroborar que los archivos son
seguros.
Las extensiones de archivos potencialmente peligrosas son aquellas relacionadas con programas ejecutables,
documentos que puedan contener macros y algunas otras. Una lista de las extensiones más utilizadas por los
virus se detalla a continuación:
EXE: Archivo ejecutable.
PIF: Acceso directo a un programa
BAT: Archivo de procesamiento por lotes de MS-DOS.
VBS: Visual Basic Script.
JS: Javascript.
SHS: Recorte.
SCR: Protector de pantalla.
INI: Archivo de configuración inicial.
DOC: Documento de Word.
XLS: Planilla de Excel.
5. PPT: Presentación de PowerPoint.
COM: Aplicación MS-DOS.
Es importante dejar en claro que esta lista no es estática y que los gusanos, troyanos y virus pueden llegar a
utilizar otros tipos de archivos en el futuro.
Para hacer que los archivos con las extensiones antes mencionadas sean guardados en un directorio
alternativo, seguir estos pasos, dentro del mIRC:
Bajo el menú DCC, elegir Opciones, y luego la ficha titulada Dirs.
Oprimir el botón Add.
Escribir las extensiones antes mencionadas en el primer cuadro agregándole un asterisco y un punto al
principio y separando cada una de ellas mediante comas. Por ejemplo, *.exe, *.pif, *.bat
Seleccionar el directorio oprimiendo el botón debajo de la leyenda "Into this Directory". El directorio debe
haber sido creado con anterioridad.
Conclusión
Los virus informáticos en el IRC son una real amenaza, por eso lo más importante es estar consciente del
alcance que pueden tener, y cómo es posible estar prevenido ante ellos. Siguiendo los pasos antes
mencionados, su equipo se encontrará seguro ante cualquier virus o troyano capaz de utilizar el IRC para
propagarse.
Su amplia proliferación se debe en gran parte a que los usuarios desconocen o ignoran este tipo de medidas
de prevención, indispensables para cualquier persona que utilice el IRC. Mientras que lo sigan haciendo, los
virus que utilizan este medio de comunicación seguirán existiendo.
Algunas referencias
Descripción del VBS Stages
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=205
Descripción del IRC/Netol
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=289
antivirus gratis