- Consejos prácticos para protegerse de los troyanos
Bueno en lo ke respecta a los troyans hemos sabido de varios programas ke proliferan
en Internetet, asi ke solo hare referencia a 2 de los mas usados ke son el Netbus y el BO
Ante la proliferación de troyanos, ke aprovechan al máximo las características de Internet,
como los clasicos salones de charla(chats) como ejemplo el cliente mIRC vamos a proporcionar
algunas téknicas ke, de forma manual, permiten saber si somos víctimas de alguno.
El troyano se instala en la máquina de la víctima y se asegura de ke se activa
cada vez que se inicia el sistema. Para conseguirlo, suelen añadir una entrada
en el registro del sistema o se introducen en los ficheros de inicio
(win.ini, autoexec.bat etc). Una vez ejecutado, se abre una puerta en nuestro
sistema que es accesible a través de Internet mediante una puerta de conexión TCP.
La dirección IP permite al ordenador distinguir entre las muchas conexiones
simultáneas ke establece.
Para detectar si un troyano tiene abierta una puerta, se puede utilizar
un comando muy basico de nuestro sistema , en muchas ocasiones, tiende
a olvidarse. Se trata de la orden NETSTAT y se realiza bajo ambiente
MS-DOS, este comando permite listar las conexiones TCP/IP de nuestro sistema.
En concreto, basta con abrir una sesión MS-DOS y teclear la siguiente
orden:
C:\>NETSTAT -an
A continuación se nos presentará el siguiente listado:
Active Connections
Proto Local Address Foreign Address State
TCP 212.60.120.80:2035 209.235.102.9:80 ESTABLISHED
TCP 212.60.120.80:2036 206.235.102.9:80 ESTABLISHED
UDP 127.0.0.1:1934 *:*
UDP 127.0.0.1:1946 *:*
UDP 212.60.120.90:137 *:*
UDP 212.60.120.90:138 *:*
Ahora vamos a ver ke es cada una de las columnas:
En la primera columna (Proto) aparecen los tipos de conexión, TCP y UDP son los
servicios ke utiliza Inet para las establacer comunicacion.
La siguiente columna (Local Address) nuestra dirección IP que, en este caso, es la
212.60.120.80 en Internet y la 127.0.0.1, dirección que siempre indica que se trata
de una máquina local. Después, separado por dos puntos, nos encontramos el puerto
que tenemos abierto.
En la siguiente columna, (Foreign Address) se encuentra la dirección IP y
el puerto de la máquina con la que estamos manteniendo la comunicación.
En este caso,la IP 209.235.102.9 corresponde a
www.raza-mexicana.org y
el puerto 80 al servicio HTTP del servidor Web,
lo ke significa ke, con nuestro navegador, estamos visualizando la página web de RAzaMexicana.
Por último, tenemos la columna (State) que nos indica el estado de la conexión:
establecida, a la escucha, etc.
Con la información adecuada, y a través de este listado, podremos saber si somos víctimas
de un troyano. Así, por ejemplo, en el caso de la primera versión de Back Orifice,
el puerto por defecto en el que se quedaba el troyano era el 31337. De esta manera,
si nos encontramos una entrada tipo UDP 0.0.0.0:31337 tendremos grandes posibilidades
de estar infectados. Otro caso muy conocido es el de NetBus que, por defecto,
suele utilizar el puerto TCP 12345.