Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: ikun en 04 de Junio de 2004, 01:51:38 am

Título: Consejos prácticos para protegerse de los troyanos
Publicado por: ikun en 04 de Junio de 2004, 01:51:38 am
- Consejos prácticos para protegerse de los troyanos
            
 Bueno en lo ke respecta a los troyans hemos sabido de varios programas ke proliferan
 en Internetet, asi ke solo hare referencia a 2 de los mas usados ke son el Netbus y el BO

 Ante la proliferación de troyanos, ke aprovechan al máximo las características de Internet,
 como los clasicos salones de charla(chats) como ejemplo el cliente mIRC vamos a proporcionar
 algunas téknicas ke, de forma manual, permiten saber si somos víctimas de alguno.

 El  troyano se instala en la máquina de la víctima y se asegura de ke se activa
 cada vez que se inicia el sistema. Para conseguirlo, suelen añadir una entrada
 en el registro del sistema o se introducen en los ficheros de inicio
 (win.ini, autoexec.bat etc). Una vez ejecutado, se abre una puerta en nuestro
 sistema que es accesible a través de Internet mediante una puerta de conexión TCP.
 La dirección IP permite al ordenador distinguir entre las muchas conexiones
 simultáneas ke establece.

 Para detectar si un troyano tiene abierta una puerta, se puede utilizar
 un comando muy basico de nuestro sistema , en muchas ocasiones, tiende
 a olvidarse. Se trata de la orden NETSTAT y se realiza bajo ambiente
 MS-DOS, este comando permite listar las conexiones TCP/IP de nuestro sistema.
 
 En concreto, basta con abrir una sesión MS-DOS y teclear la siguiente
 orden:
 
 C:\>NETSTAT -an
 
 A continuación se nos presentará el siguiente listado:

  Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    212.60.120.80:2035     209.235.102.9:80        ESTABLISHED
  TCP    212.60.120.80:2036     206.235.102.9:80        ESTABLISHED
  UDP    127.0.0.1:1934         *:*
  UDP    127.0.0.1:1946         *:*
  UDP    212.60.120.90:137      *:*
  UDP    212.60.120.90:138      *:*


 Ahora vamos a ver ke es cada una de las columnas:

 En la primera columna (Proto) aparecen los tipos de conexión, TCP y UDP son los
 servicios ke utiliza Inet para las establacer comunicacion.
 
 La siguiente columna (Local Address) nuestra dirección IP que, en este caso, es la
 212.60.120.80 en Internet y la 127.0.0.1, dirección que siempre indica que se trata
 de una máquina local. Después, separado por dos puntos, nos encontramos el puerto
 que tenemos abierto.
 
 En la siguiente columna, (Foreign Address) se encuentra la dirección IP y
 el puerto de la máquina con la que estamos manteniendo la comunicación.
 En este caso,la IP 209.235.102.9 corresponde a www.raza-mexicana.org y
 el puerto 80 al servicio HTTP del servidor Web,
 lo ke significa ke, con nuestro navegador, estamos visualizando la página web de RAzaMexicana.
 
 Por último, tenemos la columna (State) que nos indica el estado de la conexión:
 establecida, a la escucha, etc.

 Con la información adecuada, y a través de este listado, podremos saber si somos víctimas
 de un troyano. Así, por ejemplo, en el caso de la primera versión de Back Orifice,
 el puerto por defecto en el que se quedaba el troyano era el 31337. De esta manera,
 si nos encontramos una entrada tipo UDP 0.0.0.0:31337 tendremos grandes posibilidades
 de estar infectados. Otro caso muy conocido es el de NetBus que, por defecto,
 suele utilizar el puerto TCP 12345.