blog | www.tuinformativo.com & www.joaquinps.com |

Informática

Seguridad |

Troyanos.

DEFINCION

Programas aparentemente inocentes que en su Interior lleva una Funcionalidad Oculta que se usa con Fines Maliciosos, sin que el Usuario se de Cuenta de que está Infectado. Si nos infectamos, el Atacante puede Manejar nuestro PC a su antojo, Capturar nuestra Contraseńa de MSN, Yahoo … Abrir Puertos para salir y entrar cuando quiera …Diferencia entre los Virus

Los Troyanos no son capazes de Reproducirse por si mismos.
Los Troyanos forman parte del Código Fuente del Programa, mientrás que los Virus se ańade o sustituye al Programa Original.

ORIGEN

Anteriormente, los Programadores los creaban para sacar algún Benecificio Económico.
Más tarde, con la llegada de Internet se expandió por todo el Mundo y llegó a ser algo en lo que se empezó a estudiar.
Pronto, se crearon los primeros Troyanos cuya funcionalidad era de posibilitar el Acceso al otro PC sin introducir una Contraseńa, sino creando una Puerta Trasera ( BackDoor )
Con su investigación, aumento también su Sofisticación y Potencia y seconvirtieron en Programas de Acceso y Administración Remotos ( RAT Remote Administration Tool )
Los BackDoors se aprovechavan de Bugs ( Errores ) de Programas, las Compańias para solucionar estos Problemas recurren a los Parches.

CARACTERÍSTICAS

1. Server: Esta parte del Troyano se la debes Enviar a tu Víctima, ya que aquí reside el BackDoor. Normalmente en su Interior existe un Juego, una Animación Flash que sirve como tapadera del Troyano para que la Víctima no sospeche nada. También suelen llevar una Doble Extensión .wmv.exe ya que Windows solo mostrará .wmv Otro método es hacernos Creer que es alguna Actualización de algún Programa … También a través de Cd´s o Disquetes. Es decir, aquí lo que prima es la Ingeniería Social para hacernos Creer que este Archivo no es peligroso.
2. Cliente: Esta parte la instalarás en tu PC, ya que desde aquí entrarás al Ordenador de tu Víctima. Muchos Clientes incorporán Funcionalidades para “Jugar´´ con el PC de tu Víctima. Aquí deberás introducir la Dirección IP de tu Víctima para Conectarte a su PC.

FUNCIÓN

1. Infección: Como hemos dicho antes, los Troyanos no se reproducen por si mismos, ( Los Virus si ) así que para infectarte debes Aceptar el Archivo ( Server ) que sirva de enlace entre tu PC y el atacante.
# Modo de Traspaso: Se pueden traspasar por cualquier Sistema de Transferencia de Archivos ( E-Mail, MSN, IRC, ICQ, FTP, Descargándolo … )
2. Acomodando el Troyano: Cuando Ejecutes el Troyano, este Modificará el Registro y Ficheros de nuestro PC, y lo Configurará para que el Troyano arranque cada vez que Encendamos el PC.
# Ficheros:
ˇ SYSTEM.INI: En este fichero se Modifica la Entrada “shell”:

[boot]
shell=Explorer.exe (ruta y nombre troyano)

La Cambiaremos a así:

[boot]
shell=Explorer.exe

ˇ WIN.INI: En este fichero se Modifican las entradas “load” o “run”

[windows]
load= (ruta y nombre troyano)
run= (ruta y nombre troyano)

La Cambiaremos a así:

[windows]
load=
run=

# Registro:
ˇ Windows 9x/Me/NT/2000:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run-

ˇ Windows 9x/Me:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices-

ˇ WinNT/2000:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Remote Administration Service

3. Comunicación con el Atacante: Si el Troyano se encuentra en la Memoria, podrá Detectar el Momento en que nos Conectemos a Internet y así se crean varias Maneras de Conectarse a Internet:
# Enviando un Mensaje al Atacante con la IP y el número de Puerto Abierto. El Mensaje le llegará al Correo, MSN, a su IP … según la Configuración del Troyano.
# Se colocará en un Puerto a la espera que desde Internet alguien reclame su Atención. Así, cualquiera que tenga Conocimientos de su Existencia podrá Escanear la Red en Busca de Rastros.

PRECAUCIÓN

1. Cuando recibimos o descargamos un Archivo ya sea por MSN, E-Mail, FTP debemos escanearlo con un AntiVirus y/o con un AntiTroyanos, para así estar seguro de que lo que hemos Recibido no es dańino.
2. Deberemos tener Cuidado con los Sitios desde los que Descargamos Archivos y de las Doble Extensiones ( Síntoma Claro de que lleva un Troyano )
3. No Ejecutar Programas de Fuentes Desconocidas.
4. Tener un AntiVirus, AntiTroyanos y AntiSpyware actualizado.
5. Escanear cada Semana nuestros Puertos para saber cuales están abiertos.
6. Vigilar los Procesos que Arrancan al Encender el PC ( msconfig ) y las Conexiones Abiertas ( netstat -a o netstat -an )
7. Actualizar las Actualizaciones de Seguridad cada Semana.
ˇ Pulsa Inicio, Todos los Programas, Windows Update. Allí podrás Descargar las Actualizaciones de Seguridad que proporciona Microsoft.

TIPOS

# Recolectores de contraseńas: Buscan las Contraseńas en tu PC o esperan a que la escribes ( Inciar Sesión ) y se quede Guardada en un Archivo a través, por ejemplo, de un Keylogger ( Grabadores de Tecla ) que ha instalado en tu PC y así poder capturarla o que se Envíe a un Correo.
# Modifican los Privilegios de un Usuario: Estos engańan a los Administradores del Sistema, haciendose pasar por un Programa inofensivo, par así, que lo Ejecute el Administrador. Cuando lo Ejecutes el Atacante podrá Eliminar las Cuentas de Usuario, impedirte el Acceso al Sistema …
# Destructivos: Su intención es dańar el Sistema. Pueden destruir completamente los Discos Duros, eliminar Archivos críticos del PC, Ejecutar Virus …
# Bromistas: Son los menos peligrosos, pero si molestos. Son diseńados para hacer creer a la Víctima que algo va mal en el PC. Por ejemplo, aparece un Mensaje diciendo que se está Formateando el Disco Duro, un Virus está entrando en el PC … Solo sirven para Asustar.
# Fakes: Muestran falsas Ventanas de Error para que el Usuario escriba sus Contraseńas, para luego estas Enviarse por correo al Atacante.

DETECCIÓN

Podemos Detectar que nuestro Equipo está Infectado por un Troyano si observamos algunas de estas Anomalías:
# Creación y Eliminación de Archivos sin tu Consentimiento.
# Creación de Archivos Temporales sin Justificación.
# Bloqueo y Reinicio de tu PC.
# Perdida de la Conexión a Internet.
# Inicio y Terminación de Programas sin tu Consentimiento.
# Instalación de Programas sin tu Consentimiento.
# La Bandeja del CD se abre y se cierra sin tu Permiso.
# Problemas con el Teclado. ( Desactivación )
# Movimiento en Internet sin tu Consentimiento.
# Al Iniciar Sesión en MSN, Correo, indica que no reconoce el Usuario y Contraseńa o que está siendo utilizado.
# Ejecución de Sonidos Esporádicamente.
# Archivos de Texto sin Extensión en los que hay Frases o Palabras creados sin tu Consentimiento.
# Archivos con Caracteres Extrańos.
# Mensajes que indiquen la Presencia de un Troyano.

TIPOS DE INFECCIONES

Podemos haber Sufrido distintos Tipos de Infección:
# Troyano dentro de un Programa que usamos normalmente.
# Troyano Independiente que se Instala en nuestro Sistema en cualquier Parte del Disco Duro normalmente en C:\WINDOWS o C:\WINDOWS\SYSTEM y modificará algunos Parámetrps para Iniciarse junto a Windows:
ˇ Creando un Acceso en el Menú de Inicio de Windows.
ˇ Creando una Entrada en los Ficheros de Inicio:
CONFIG.SYS
AUTOEXEC.BAT
WIN.INI
SYSTEM.INI
ˇ Modificando el Registro en la Clave:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion ( en los Valores ) Run, RunOnce, RunServices y RunServicesOnce.

ELIMINACIÓN

1. Eliminación Manual: Si hemos instalado un Nuevo Programa y nos hemos Infectado, debemos Buscar los Archivos que ha creado este Programa. Hay Varios Procedimientos:
# Pulsamos Inicio, Buscar, Archivos o Carpetas, como Nombre el del Programa, Fecha la que creamos que nos hemos Infecado y Buscar en Todos los Discos Duros. Así veremos una Lista de Archivos e Investigaremos cuáles podrían ser Sospechosos.
# Pulsamos Inicio, Ejecutar y escribimos msconfig. Allí nos encontramos con:
ˇ Inicio: Allí aparecen los Programas que Arrancan al Encender el PC, probablemente puede que allí este el Troyano.
# Pulsamos Inicio, Ejecutar y escribimos regedit. Busacamos la Clave:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion ( Comprobaremos los Valores Run, RunOnce, RunServices y RunServicesOnce.

2. Revisión Automática: Utilizaremos Programas como AntiVirus, AntiTroyanos … y todo lo que sea Útil:
# AntiVirus: Usaremos un AntiVirus Actualizado, para que escanee el Disco Duro.
# AntiTroyanos: No es lo mismo que un AntiVirus. Un AntiTroyanos se centrá en los Troyanos, como su nombre Indica. Debe estar Actualizado.

3. Chequeo del PC: Podemos revisar la Comunicación con el Cliente, el Envio de Paquetes … Esto lo averiguaremos con un Sistema de Monitoreo de Puertos:
# Netstat: Aquí, podemos conocer que Puertos están Activos, con que IP se comunican, el Protocolo … Pulsa Inicio, Ejecutar, escribe cmd. Teclea netstat -n Allí distinguimos 4 Columnas:
ˇ Proto: Seńala el Protocolo que se está utilizando en la Conexión (TCP o UDP )
ˇ Dirección Local: Vemos nuestra IP y el nş de Puerto.
ˇ Dirección Remota: Lo mismo que la Loca, pero corresponde con el PC a la que se ha conectado.
ˇ Estado: Indica el Estado de la Conexión en este Momento. Puede ser:
# Listening: Puerto abierto y a la Escuche en espera de una conexión externa.
# Syn-Sent: Esperando una Petición de Conexión igual, de spues de haber enviado 1.
# Syn-Received: Esperando la COnfirmación de la Petición de Conexión, después de recibir 1 y enviado a las 2 Máquinas una Petición de Conexión.
# Established: Conectado Actualmente.
# Fin-Wait-1: Esperando una Petición de fin de Conexión desde la Máquina Remota o una Confirmación de la Petición Enviada anteriormente.
# Fin-Wait-2: Esperando una Petición de Fin de Conexión desde la Máquina Remota.
# Close Wait: Esperando una Petición de cierre de Conexión por parte de la Máquina Local.
# Closing: Esperando respuesta Remota confirmando el Cierre de la Conexión.
# Last-Ack: Esperando la Confirmación de Cieerre de la Conexión enviada anteriormente a la Máquina Remota, incluyendo también una Confirmación de su Petición de Cierre.
# Time Wait: Puerto esperando a que transcurra suficiente Tiempo para garantizar que la Máquina Remota ha recibido la Comunicación de Cierre de la Conexión.
# Closed: Desconectado Actualmente.

Podemos utilizar:
# netstat -an Muestra toda las Conexiones y Puertos Escuchando.
# netstat -an Lo mismo, pero muestra el Nombre de la Máquina a la que nos Conectamos.

3. También podemos Formatear el PC y acabar de Raíz con el Problema, aunque pierdas todos tus Archivos de PC.

Con todas estas Recomendaciones podemos estar Seguros en la Mayor Parte, de que hemos Eliminado el Troyano o que no estamos Infectados de él.

************************************************************************

Informática