Poison Ivy es un troyano existente desde el año 2006. Desde ese año, el troyano ha sido considerado por muchos como «una plaga» debido a su rápida expansión, al alto número de variantes que existen y al número de equipos infectados por este malware y que los usuarios desconocen.
Una explicación rápida sobre el funcionamiento de este troyano: Poison Ivy se encuentra dentro de la categoría de troyanos RAT (Remote Access Trojan) que utiliza un tipo de conexión llamado «conexión inversa», es decir, este troyano infecta a un usuario y el pirata informático no necesita conocer la IP de la víctima, sino que el troyano ya está configurado con la IP del pirata y será este el que se conecte a dicha IP en busca del servidor con el que controlarlo. Poison Ivy es toda una suite de control remoto. Permite tomar capturas de pantalla, activar la webcam, robar las pulsaciones del teclado, acceso a los archivos de la víctima, etc. Prácticamente cualquier ataque se puede llevar a cabo con Poison Ivy.
Para poder establecer un poco de control sobre este troyano, la empresa FireEye ha lanzado una herramienta llamada Calamine. Esta herramienta no sirve para combatir al troyano, sino que está orientada a determinar los motivos por los que un sistema ha sido infectado con él.
Todos los troyanos RAT tienen una debilidad, y es que necesitan que el pirata informático lo controle en tiempo real desde su máquina remota. Debido a esto, Calamine se encarga de averiguar los parámetros remotos de control para poder analizar con más eficiencia y certeza cuales han sido las causas de la infección y si el pirata tenía un objetivo en concreto para infectar nuestro sistema. Calamine pretende detectar al pirata justo en el momento del ataque. Si este ha conseguido acceder a la red, puede ser un tema más serio que habría que analizar de forma independiente.
Calamine se puede descargar desde GitHub. También podemos obtener más información técnica sobre Poison Ivy desde la web de FireEye.
¿Alguna vez te has encontrado con un troyano basado en Poison Ivy?