| |||||||||
Troyanos y Antitroyanos
¿Qué es un troyano? Es un programa que parece ser legítimo, pero en realidad oculta código maligno (malware) normalmente destinado a facilitar la entrada de un atacante, o asegurar su retorno: bien abriendo las puertas para ello, bien ocultando información al legítimo usuario para impedir la detección de la entrada y/o cambios efectuados en los programas legítimos de la máquina. Un ejemplo de troyano sería un 'netstat' que ocultara un puerto abierto, en el que podría estar a la escucha otro troyano, denominado en este caso backdoor. Puedes encontrar más información sobre troyanos en http://members.nbci.com/zonealex/puertos.htm y www.simovits.com/trojans/trojans.html Otra web, con capturas de pantallas de algunos troyanos, es www.globalframe.f2s.com En Virus y Antivirus se menciona que los antivirus detectan solamente algunos troyanos. ¿Qué pasa con los demás? Afortunadamente existen programas que son específicamente para eliminar troyanos (y no se ocupan de los virus). El más conocido es el programa "The Cleaner", shareware que puede obtenerse de www.moosoft.com
¿Cuáles son los troyanos/backdoors mas comunes y más peligrosos? Los backdoors o puertar traseras son software que abre un puerto a la escucha a escondidas del legítimo propietario de la máquina que lo ejecuta, con la intención de facilitar la entrada a un hipotético atacante. Estos backdoors necesitan haber sido ejecutados por primera vez en el sistema, para ejecuciones posteriores ya toman las medidas adecuadas que las aseguren, dependiendo del sistema. En Windows 9x se añaden a la clave del registro adecuada, por ejemplo en las claves ejecutables en: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run (entre otras) Esta primera ejecución puede llegar de dos formas: por un atacante que haya conseguido control total sobre el sistema e instale el backdoor para facilitar su regreso, o involuntariamente por el propio usuario, por error o al creer que se trataba de otro programa. La parte que se instala en el ordenador de la víctima se llama servidor, y el acceso se logra mediante el cliente. De mención histórica son el Netbus y BackOriffice ( www.netbus.org y www.cultdeadcow.com ), los padres de los troyanos actuales. Ambos funcionaban solamente en sistemas MS Windows 9x. Desde la aparición de Netbus 2.x y BackOriffice 2000 (BO2K) su campo de acción se extendió a sistemas MS Windows NT y 2000. La última generación de troyanos incluye el SubSeven y SubZero, dos poderosas herramientas que permiten control total del ordenador remoto. Pueden encontrarse troyanos en la página (en inglés) de Archivo de Troyanos de TL Security ( www.tlsecurity.net/amt.htm ) En los sistemas Linux lo más común es el lanzamiento de un netcat en un puerto alto para permitir el acceso a una consola remota sin autenticación o a un back telnet.
¿Cómo se meten usualmente los troyanos en un ordenador? Normalmente el troyano está adosado a un archivo ejecutable, y la infección con el troyano depende de que un usuario, ignorante de la existencia del troyano, ejecute dicho archivo. Los archivos ejecutables con un troyano dentro pueden provenir prácticamente de cualquier origen: un archivo enviado por email, un archivo bajado de una página web, etc.
¿Cómo se oculta un archivo dentro de otro? Aquí cabe destacar que existen dos posibilidades bastante diferentes:
Extraído de es.comp.hackers
>>> Volver a la portada de underground & seguridad |
ContenidosArtículos
| ||||||||
| |||||||||
