Daboweb

Troyanos, destrucción oculta

Publicado por Dabo on enero 20, 2005
Seguridad Informática

En este artículo os doy algunas pistas sobre como combatir y prevenir los efectos de los troyanos e información sobre como actúan 

TROYANOS, DESTRUCCION OCULTA…

Muchas veces se tiende a confundir a los troyanos con virus, es cierto que el daño sería comparable o incluso superior a estos, pero no es menos cierto que son para muchos "los gran desconocidos".

digo esto por el poco respeto que a veces se les tiene. Habría que empezar diciendo que un virus como tal, no necesita necesariamente intervención por parte de otro usuario, se las arreglan muy bien para efectuar sus "correrías " y campar a sus anchas por nuestro PC, destruyendo todo lo que encuentran a su alcance, un troyano , en cambio, por si solo no hace nada, necesita la intervención de otro usuario, los hay muy "tristemente famosos" como el Sub 7, Netbus, Portal of Doom, Sockets de Troie, Ispy now etc, (este ultimo todavía es peor ya que no te hace falta instalarte la parte "cliente", visualiza a la víctima a través de una página web ¡?)

Su nombre viene dado en relación a la batalla de Troya, en la que según la leyenda, miles de soldados avanzaban escondidos bajo un caballo de madera gigante, en el fondo, algunos no dejan de ser auténticas joyas de la programación (jodidas joyas por cierto), son programas que hacen como de "mini servidores FTP" con atributos especiales que a continuación os comento.

¿QUÉ PUEDE HACER UN TROYANO?

– Captar las pulsaciones de vuestro teclado, llevan incorporados "keyloggers" en los que cualquier tecla pulsada queda registrada, todo lo que se escriba puede verse a distancia, imaginaros lo que puede pasar cuando consultáis vuestros movimientos bancarios… ¿Qué tal una transferencia bancaria a favor de un tercero?

– Ver todo lo que tenéis abierto en vuestro escritorio, conversaciones del messenger, páginas web, vídeo conferencia etc.

– Acceder a los registros de vuestras conversaciones mediante clientes de mensajería instantánea, por ejemplo el messenger (en alguna de sus versiones) crea una carpeta llamada "my chats logs", ojo con ella, todo lo que escribáis puede ser utilizado en vuestra contra.

– Visionar el historial de páginas visitadas, incluso algunos pueden hacer una copia de ello.

– Reiniciar el ordenador, apagarlo, borrar archivos, abriros el CD y un largo etc.

– Monitorizar vuestros procesos, programas activos, aplicaciones en marcha, historial de programas utilizados…

– Otra cosa que no os hará mucha gracia, sobre todo a los que estáis con modem, pueden cambiar el numero de marcación al que os conectáis, y lo que es peor, recibir llamadas, imaginaros que marcaseis sin parar a un 906… El resto, pensadlo vosotros mismos.

– Ver vuestro menú "mis documentos", historial de documentos abiertos recientemente pudiendo borrarlos o modificarlos. OS PARECE POCO???


¿UN TROYANO UN ACCESO?

Lamentablemente no, una vez que tengáis uno dentro los accesos pueden ser imposibles de calcular y no desde el mismo usuario, digo usuario porque el que dirige el troyano se convierte prácticamente en dueño del mismo.

METODOS DE INFECCION

Un día recibes un mail, en el asunto pone "ábrelo te divertirás", o.."no dejes de verlo", lo que sea, ese mail lleva un fichero adjunto que por ejemplo se llama bromatonta.exe, te dice que se trata de un juego, una broma o algo parecido y tu le das doble click y resulta que no pasa nada…en cuestión de segundos sucede un proceso invisible para vosotros pero muy sutíl.

– Primero escribirá una línea en el registro de Windows para que cada vez que arranques el ordenador se ejecute en "segundo plano" es decir, oculto.

– Segundo paso, abre un puerto de los "de arriba", el Sockets de troie por ejemplo el 5.000, para admitir conexiones externas y a través de el conectarse con el mundo exterior.

– Tercero, envía un mail por SMTP a su "dueño" indicándole que estáis conectados y cual es vuestra dirección IP (Internet protocol) en ese momento.

– Por último, quedará a la escucha silenciosamente, esperando órdenes, mosquearos si por ejemplo en vuestro firewall (cortafuegos, muro virtual en el que se filtran las conversaciones entre la red y vosotros) en el Zone Alarm por ejemplo, lo tenéis en la sección Software, veis algo del tipo de…"bromatonta.exe listening (escuchando) port 5.000…" Qué carajo hace un programa escuchando a ese puerto?? esa es la pregunta.

MAS PROBLEMAS (COMO LLEVAMOS POCOS…)

– Como os decía antes, la regla "un troyano-un acceso" no se cumple. Los troyanos constan de dos partes bien diferenciadas, una el "servidor" que es con la que te "infectan" y otra el "cliente" con la cual te monitorizan a través del servidor previamente instalado a distancia, lo curioso del caso es que una vez tengáis uno dentro a perro flaco todo son pulgas, alguien desde fuera con un scanner para detectar puertos abiertos por troyanos que estén a la "escucha" solo tendrá que meter un rango de IPs, darle a "scan" y esperar, metiendo vuestra IP en su parte cliente ya está mitad del trabajo hecho ya la otra mitad se la ahorró el que os infectó previamente, por eso digo que es imprevisible saber el impacto del mismo.

¿COMO ME DEFIENDO ANTE ELLOS?

La pregunta del millón, os voy a dar unos consejos realmente aplicables, no como todo eso que a veces leéis y no sabéis como aplicar, os lo dice alguien que antes de escribir esto leyó muchos textos algunos buenos y otros si no malos confusos, esto no pretende ser "la guía definitiva" pero espero que os sea de ayuda, al menos esa es mi intención. Puede servir tanto para virus como troyanos.

1ª REGLA

No os fiéis de nada de lo que os llegue adjunto, ni aunque sea de un conocido, a veces ni ellos lo saben, otras veces el que se interese por vosotros puede ser alguien de vuestro entorno, pensad una cosa, quien mejor que un conocido para empezar? , él se fiaría del envío ¿no?

2ª REGLA

No descarguéis nada de una página que no sea de vuestra total confianza, meter todo lo que os bajéis en una carpeta destinada a tal fin, si la ponéis en el escritorio podréis pasarla habitualmente por vuestro antivirus

3 ª REGLA

La mayoría de infecciones se llevan a cabo por programas de mensajería instantánea, una vez haya llegado el archivo, si tenéis dudas en lugar de darle "examinar" directamente, vais vuestra carpeta "mis archivos recibidos" o "my received files" según versión, en MSN messenger o "received" en Yahoo messenger, normalmente dentro de "mis documentos" y PINCHANDO SOBRE EL CON EL BOTON DERECHO DEL RATON, veréis una opción del tipo "scan with
Norton antivirus" ( el mejor para mi) o "analizar con Panda antivirus" , esto puede variar según el antivirus que tengáis pero el proceso es el mismo. Se que es poco de rollo pero la infección será peor.


4ª REGLA

Controlar habitualmente vuestros procesos de Windows, bien sea mediante herramientas específicas para ello (Active ports, Zone Alarm…en la sección Software), también en Windows encontraréis herramientas para tal fin.

Por ejemplo, "NETSTAT" ,accedéis a el desde INICIO=PROGRAMAS=ACCESORIOS=SIMBOLO DEL SISTEMA o MS DOS, una vez allí tecleais; C:/netstat e intro, allí veréis vuestras conexiones activas en ese momento.

También a través de "MSCONFIG" se pueden buscar huellas de troyanos, vais INICIO=EJECUTAR y escribís"msconfig" , tecla intro y veréis un menú con varias opciones, pincháis donde pone "INICIO" y observáis la lista de programas que al arrancar el ordenador se ejecutan automáticamente, si tenéis dudas de alguno ir a buscar en Google por ejemplo.

Por ultimo, pulsando con el botón derecho sobre la barra de tareas pincháis sobre "administrador de tareas" y después vais a "procesos", veréis los procesos que se están ejecutando en ese momento y cuanta memoria RAM ocupan por ejemplo; IEXPLORER.EXE (INTERNET EXPLORER), TASKMGR.EXE (EL
PROPIO ADMINISTRADOR DE TAREAS), MSMSGS.EXE (EL WINDOWS MESSENGER), (EXPLORER.EXE) EL ESCRITORIO, etc, lo dicho antes, si algo no os suena, buscar en Google, daros cuenta que a mi se me escaparan muchas cosas, lo importante es que vosotros vayáis investigando, probar , probar y probar.

NOTAS FINALES, VAYA CON LOS TROYANITOS EH?

En la sección Virus (próximamente la colgaré) encontraréis herramientas gratuitas de escaneo online y en la de software algún antitroyanos, no obstante la mejor protección es la paranoia, ser paranoicos eso os mantendrá despiertos. Espero que esto os haya servido para conocer un poco más de esos "amigos" de la ocultación, recordar que después de un troyano hay una persona, de momento no trabajan solos, aunque en cierto modo si…


Por cierto, en un sistema Linux todo esto no podría suceder, aunque esto es otra historia.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.