Seguridad
¿Cómo puedo saber si alguien se esta enganchando de mi máquina ... O la esta monitoreando que sw me puede proporcionar esta información?
1 respuesta
Respuesta de kuerti
1
Vos necesitás detectar un troyano (así se los llama).
¿Qué son los Troyanos?
Los troyanos o caballos de Troya son programas que van enmascarados en otros programas totalmente normales. La ejecución del programa es aparentemente correcta, pero deja el troyano instalado y funcionando en el ordenador víctima. Las funciones de los troyanos pueden ser muy variadas, no sólo la mera destrucción de datos del disco duro, sino también la obtención de passwords, o el control total del ordenador víctima, incluyendo el manejo de ficheros, conexiones, control en chats de tipo IRC, periféricos, ejecución de programas, modificación del registro, etc. En principio se diferencian de los virus en que no se reproducen por sí mismos, no infectan de por sí a otros ordenadores. Sin embargo, esto es matizable. La mayoría de los troyanos de IRC sí intentan infectar a otros PC que entren al mismo canal de IRC en el que está el PC infectado. Además, la facilidad de enmascarar algunos troyanos dentro de programas absolutamente normales facilita su propagación. En cualquier caso, hay que tener en cuenta que este tipo de programas no son autoejecutables, es decir, no por recibir un programa infectado se ejecuta el troyano; es necesaria la ejecución del programa portador.
Aunque tienen su origen hace muchos años, y han estado relativamente extendidos en el entorno UNIX, recientemente se han puesto de moda en el entorno PC, primero con la aparición de los primeros troyanos para IRC (SCRIPT.ini, dmsetup.EXE, etc) a principios de 1.998 y, sobretodo, con la aparición en agosto de 1.998 del BACK ORIFICE (BO) cuya facilidad de instalación, manejo y funcionalidad ha conseguido que un porcentaje nada despreciable de los PCs conectados ha internet sea vulnerable a un acceso externo. Sin embargo, el peligro de este tipo de programas excede el ámbito de Internet, abarcando también las redes locales de las empresas. En efecto, el peligro en el caso de Internet es grande (en el caso de los troyanos de tipo BO el PC infectado puede ser controlado de manera que se tiene acceso no sólo a su sistema de ficheros sino a las passwords que se tecleen o a los procesos que estén en ejecución), pero la infección generalmente es indiscriminada, y además las direcciones IP variables dificultan la localización de un ordenador concreto infectado. En el caso de las redes locales empresariales, la infección suele ser dirigida de manera que se comprometa información sensible sin conocimiento de la empresa.
¿Cómo infectan?
En principio, para la instalación de un troyano se requiere al menos la descarga del mismo al PC víctima, ya sea a través de correo electrónico, FTP, copia por disquetera o desde la red local, o incluso simplemente accediendo a una página web en la que mediante un javascript de induzca a la víctima a aceptar el fichero sin que se entere (por ejemplo, mediante la aceptación de un falso mensaje de certificado de seguridad caducado).
En el caso de los troyanos de IRC, la infección se suele realizar cuando se sustituye algún fichero de configuración del cliente de IRC por un fichero modificado que altera la funcionalidad del cliente IRC. En este caso la infección se tiene automáticamente al aceptar el fichero (normalmente mediante DCC). Por el contrario, en el caso de los troyanos de control remoto y en de la mayoría de los "keystrokers" (programas que graban lo que se teclea y hacen accesible el log desde fuera del PC infectado) requieren no sólo la descarga del programa, sino su ejecución. De todas formas, no es nada complejo enlazar el troyano a un programa absolutamente normal (manteniendo incluso los iconos) o a un programa instalador estándar de Windows, de manera que al ejecutar el programa o el instalador, el troyano se libera, instala y autoejecuta, quedando residente en memoria, y ejecutándose cada vez que se reinicia el ordenador.
Por tanto, es muy importante a la hora de ejecutar o instalar un programa el saber perfectamente los orígenes del mismo. No hay más que hacer algún barrido aleatorio en internet para darse cuenta de la cantidad de PCs infectados que hay, sobretodo con el BO (y, en menor medida, con el NetBus). Nunca se debe ejecutar un programa sin tener la certeza no sólo de su legalidad, sino de su procedencia. En el caso del IRC, no se debe aceptar ningún fichero sin tener la certeza no sólo de la naturaleza del fichero, sino de la del que lo envía, y siempre configurando el cliente IRC de manera que los ficheros se reciban en un directorio distinto al de ejecución del cliente IRC.
¿Cómo detectarlos y eliminarlos?
La detección de los troyanos muchas veces es problemática. En este tema (como en casi todos) es válida la idea de que más vale prevenir que curar. Los últimos programas antivirus contienen detectores de los troyanos más normales (BO, Netbus, y algunos de IRC). Sin embargo, el caso de los troyanos es un ejemplo más del dinamismo de internet. Desde que en agosto de 1.998 salió a la luz el BO, es sorprendente la cantidad tanto de troyanos como de defensas contra ellos que han aparecido, de manera que es necesaria una continua actualización de los programas antivirus para que sean realmente efectivos.
Los troyanos más difíciles de detectar son, obviamente, aquellos cuya finalidad es el control remoto del ordenador víctima. Los meramente destructivos se aprecian por sus efectos inmediatamente, y los de IRC se notan también nada más entrar en algún canal de IRC, cuando el resto de los presentes en el canal empiezan a recibir intentos de transmisión de ficheros procedentes del infectado. Por el contrario, cuando un troyano de acceso remoto se instala, lo único que hace es crear una entrada en el registro de Windows (que hace que el troyano se ejecute cada vez que se arranca Windows), y abrir un puerto de TCP o de UDP (a veces ni eso) para permitir el acceso al PC. El troyano está permanentemente en ejecución, pero con el flag hidden activado, de manera que no aparece en la barra de tareas, ni en la ventana de tareas. Además consumen muy poca memoria, de manera que pueden pasar desapercibidos. Por otra parte, el nombre del ejecutable puede variar, así como el puerto por el que actúan.
Para detectar este tipo de troyanos se puede utilizar alguno de los programas específicos que hay en la red, aunque se quedan atrasados con mucha rapidez. Lo más sensato es tener cuidado con los fichero que se reciben, y controlar frecuentemente el estado de los puertos TCP/IP mediante la instrucción de DOS NETSTAT.EXE -A. Este comando muestra todos los puertos TCP/IP abiertos, el estado en el que están y, en su caso, la dirección IP y puerto del otro extremo. Cualquier puerto extraño abierto debería ser investigado.
Tipos de Troyanos.
Pueden distinguirse tres tipos de troyanos, dependiendo de su función y del ámbito de su actuación:
- Troyanos destructivos. Son programas cuya única finalidad es borrar determinados ficheros, formatear el disco duro, etc. Se ejecutan una vez, y ya han cumplido su función. Son los más parecidos a los virus normales, con la peculiaridad de que no se reproducen ni infectan a otros ordenadores, lo cual hace que su propagación sea muy escasa. Un ejemplo de este tipo de troyanos es el PKZ300B.
- Troyanos de IRC: son troyanos que se transmiten a través de chats IRC. La finalidad generalmente es controlar el cliente IRC infectado, aunque también los hay que inundan el disco duro de copias de si mismo. Los más conocidos son:
- SCRIPT.INI: el primero de ellos. Apareció aproximadamente en enero de 1.998, y rápidamente se esparció por la red. Afecta sólo al mIRC de versión 5.3 o anterior. Consiste en un fichero, script.ini, que reemplaza al verdadero utilizado por el mIRC. Al infectar, intentará mandar el fichero script.ini a cualquier otro PC que acceda al mismo canal IRC donde esté el infectado. Además, permite ciertas acciones de control remoto sobre el cliente mIRC. Se elimina simplemente borrando el fichero script.ini y sustituyéndolo por uno correcto. Lo más fácil es volver a instalar el mIRC.
- DMSETUP.EXE: el más dañino de los troyanos de tipo IRC, y también muy extendido. Existen al menos cinco variantes distintas. Afecta también al mIRC. También intenta infectar a los PCs que entran en el canal donde esta el infectado. Además crea multitud de copias de sí mismo en el disco duro, altera el C:\AUTOEXEC.BAT, y crea algunos ficheros propios, como el C:\CONFIGG.SYS, y otros en el subdirectorio del mIRC. También permite el control remoto del cliente IRC. La eliminación suele ser muy problemática, incluso en el caso de la variantes 4ª, suele ser necesario el formateo del disco duro.
- WINHELP.EXE: otro troyano que afecta al mIRC, aunque bastante menos extendido. Modifica el fichero MIRC.INI y el WIN.INI. Se propaga de la misma manera que los otros.
En http://www.irchelp.org/irchelp/security/trojan.html hay información más clara y abundante sobre los troyanos de IRC.
- Troyanos de control remoto: son programas del tipo cliente/servidor cuya finalidad es controlar un PC conectado a la red sin el conocimiento del usuario del PC infectado. En el PC infectado se instala la parte server del troyano, mientras que el que lo controla lo hace gracias a la parte cliente. Generalmente, al ejecutarse, la parte cliente se autoinstala en el disco duro del PC víctima, y se modifica el registro de Windows, permitiendo así la ejecución de la parte server cada vez que se arranque Windows. La parte server permanece entonces oculta y residente en memoria, sin hacer nada más que posibilitar el acceso al PC por la parte cliente del programa. Este tipo de programas se ha extendido peligrosamente desde la aparición en agosto de 1.998 del Back Orifice (BO), el más popular de este tipo de programas. En general, este tipo de programas tiene una utilidad real para administración de redes locales. La consideración de ellos como troyanos se debe al enmascaramiento de la parte server, que hace que el usuario del PC donde se instale no sea consciente de que su PC puede ser manipulado. Los troyanos de este tipo más conocidos son:
- BACK ORIFICE (BO): creado en agosto de 1.998 por el grupo cDc (Cult of Dead Cows), se ha extendido peligrosamente por la red, hasta el punto de que en España ha llegado a estar infectado el 10% de los PCs conectados a internet. La parte servidora puede ser configurada para ejecutarse con cualquier nombre y para utilizar cualquier puerto UDP, aunque por defecto utiliza el nombre " .EXE" (un blanco antes del punto), y el puerto de 37331. En cualquier caso, el icono del programa es un blanco (aparece sin icono en el Explorador de Windows). Cuando se ejecuta, se instala en C:\WINDOWS\SYSTEM, donde además del ejecutable de la parte server aparece el fichero WINDLL.DLL. Además, al instalarse graba en el registro una entrada en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, con el nombre del ejecutable del server. Esto hace que el server se ejecute siempre que se arranque Windows, y permanece en todo momento ejecutandose en oculto, sin aparecer como tarea de Windows. La parte cliente consta de dos ejecutables, una en version de comandos DOS (BOCLIENT.EXE), y la otra en versión de interfaz gráfica de usuario (BOGUI.EXE). Las dos tienen las mismas funcionalidades:
- Ping individual o a una lista de IPs, barrido en una subred para encontrar servers, o en una lista de subredes.
- Utilización de passwords para restringir el acceso.
- Manejo de ficheros: creado, borrado, renpmbrado, lista, envío, recepción, etc.
- Manejo de directorios: creado, borrado, lista.
- Comandos del sistema: información, passwords en caché, mandar ventanas de dialogo, logs de teclas pulsadas, reboot, permitir la navegación en su disco duro por http, impedirla, bloquear el PC.
- Manejo del entorno de comunicaciones del PC.
- Envío, ejecución o listado de plugins.
- Listar, ejecutar o matar procesos del sistema.
- Control del registro de Windows.
- Ejecución de sonidos, de video, volcado de pantalla.
- Redireccionamiento del tráfico TCP/IP a otros host y otros puertos.
- Listado, ejecución y eliminación de aplicaciones de consola, como COMMAND.COM, NETSTAT.EXE, etc.
El server puede presentarse sin enmascarar dentro de ningún programa, simplemente con el nombre cambiado. En ese caso, su icono es un blanco, y al ejecutarse, desaparece el programa. Sin embargo, es muy fácil enlazarlo a otro ejecutable cualquiera, o incluso a un instalador de programas Windows. También es posible enviarlo mediante un javascript al entrar en una página web (por ejemplo, hay uno que advierte de que la página web tiene un certificado de seguridad caducado, y si se pulsa al OK para seguir, se transfiere la parte server).
Han aparecido también plugins que utilizan el BO, se instalan en la parte server, y permiten otras funcionalidades distintas a las originales del BO, como puede ser un sniffer, o un espía de e-mail. También han aparecido varios programas defensivos que escuchan en el puerto por defecto, simulan que el PC tiene la parte server, y graban la IP y las instrucciones del que intenta entrar. Alguno incluso puede contraatacar colgando la parte cliente. Los más conocidos de estos programas defensivos son el NOBO, el BOF y el BOSPY.
- NETBUS: creado por Karl Fredrik Neikter poco despues que el BO, es otro de los más populares troyanos. También está muy extendido por la red. Al instalarse se graba en C:\WINDOWS el ejecutable de la parte cliente, con el nombre que tuviera el programa al ser ejecutado. Puede ser ejecutado con parámetros, de manera que no se rearranque cada vez que se arranque Windows, o se arranque ajuste el troyano para funcionar por un puerto TCP distinto del de por defecto (12345), o para pedir password ante el acceso de la parte cliente. La parte server frecuentemente va camuflada en un juego, el Whackjob. Al ejecutarse el troyano, si se ejecuta sin el parámetro /NOADD o sin el parámetro /REMOVE (que, como indica, lo elimina), graba una entrada en el registro de Windows, en HKEY_LOCAL_MACHINES\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run, graba tambien el fichero KEYHOOK.DLL en C:\WINDOWS, y en el caso de la version 1.70, crea en ese mismo directorio un fichero INI con las opciones de configuracion. Las funcionalidades que presenta son muchas. En esencia, las mismas que el BO, más algunas como apertura y cierre del CD, control del ratón (intercambio de funcion de teclas, control de movimientos), mas posibilidad de envío de mensajes al server, envío de texto y recepción de teclas pulsadas, intercepción del teclado, etc. La eliminación del troyano puede hacerse modificando el registro y borrando los ficheros implicados (para eso, en la entrada correspondiente del registro viene el nombre del ejecutable). Tambien puede hacerse a mediante la parte cliente del NETBUS, que permite eliminar el troyano. Dada su popularidad, también han aparecido algunos programas tanto para su detección o eliminación (NETBUSTER) como para crackear las passwords (NETRUST21A o el BUSCONQUERER13). Incluso los últimos scripts para mIRC (por ejemplo, el orbital) detectan barridos de puertos buscando el NETBUS, o buscan clientes IRC conectados que esten infectados con el BO o el NETBUS (por ejemplo, el RIP).
- SOCKETS DE TROIE: también llamado MSchv32.EXE por ser el nombre del ejecutable de la parte server en las primeras versiones. Creado por un tal JC`zic, y con textos exclusivamente en francés, es otro programa de control remoto ligeramente posterior al BO. Además del idioma, tiene la peculiaridad de que la versión 2.5 es realmete un virus, y se propaga como tal. Cuando se ejecuta, generalmente sale un mensaje de error también en francés (excepto cuando el infector es el fichero Cheval sans msg.exe, en cuyo caso no hay mensaje). Al infectar, en el caso de la version 1.0 graba el fichero MSchv32.EXE en C:\WINDOWS\SYSTEM y crea una entrada de registro en KEY_CURRENT_USER\Software\Microsoft\Windows\ CurrenVersion\Run. En el caso de las versiones 2.x crea tres ficheros: RSRCLOAD.EXE (en c:\WINDOWS), MGADESKDLL.EXE (en C:\WINDOWS\SYSTEM) y CSMCTRL32.EXE (en el mismo sitio) y crea tres entradas en el registro, una para cada uno de los ficheros:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (MGADESKDLL.EXE)
HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Run (RSCRLOAD.EXE)
HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\RunServices (CSMCTRL32.EXE).
A diferencia del BO y del NETBUS, no corre en invisible, y por tanto aparece en la ventana de tareas. La versión 1.0 utiliza el puerto 5000, mientras las 2.x utilizan por defecto el 50505. Como funcionalidades presenta más o menos las mismas que el BO, con alguna funcionalidad añadida como arma ofensiva en IRC, del tipo de los nukes ICMP o SSPING. Para eliminarlo basta cerrar la tarea, y eliminar los ficheros y las entradas del registro. También existen programas específicamente dedicados a detectar y eliminar este troyano, como por ejemplo el ANTISOCKETS.
- GIRL FRIEND: Este es un troyano bastante reciente (diciembre 1.998) creado por General Failure en Delphi. La parte server (el troyano) se llama GIRL FRIEND mientras que la parte cliente se llama VOY FRIEND. El troyano, al instalarse, se copia en C:\WINDOWS\SYSTEM con el nombre WINDLL. EXE, y crea una entrada de registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run. El puerto utilizado por defecto es el 21554, aunque es configurable. Todos los datos del GF los va grabando en el registro, en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General. Tiene las funcionalidades típicas de los programas de acceso remoto, aunque sin control de periféricos. En cambio es muy potente para acceso a passwords, pues va grabando todas aunque la parte cliente no este conectada. Tiene también como peculiaridad, además de fallar más que una escopeta de feria, el que cuando está arrancado, si el cliente no está conectado, el puerto que utiliza no está abierto, de manera que no se puede detectar con el NETSTAT. También aparece oculto en la ventana de tareas.
- MASTER OF PARADISE: otro troyano más basado en los mismos principios que los anteriores. Este fue creado por Dan Lehmann, un alemán que por lo menos tuvo el detalle de traducir la parte cliente al inglés, aunque los mensajes de error siguen saliendo en alemán. El programa es muy completo. De hecho, podría ser el mejor de todos los troyanos actuales, si no fuera porque también falla con demasiada frecuencia. Tiene las mismas utilidades del NetBus, más algunas otras como el control de la barra de tareas, y mejor gestión de la pantalla del servidor. Además, la interfase gráfica es muy clara. El troyano ejecutable se llama AGENT.EXE por defecto, pero puede darse con cualquier nombre, y tambien puede presentarse enmascarado en un juego. De todas formas, este troyano no se ejecuta en oculto. Aparece en la barra de tareas, y puede ser parado como cualquier otro proceso de la barra de tareas..
- BACKDOOR 2.03, GATECRASHER, DEEPTHROAT: son tres ejemplos de troyanos relativamente recientes y poco conocidos pero bastante potentes. Tienen más o menos las mismas funcionalidades que el Masters of Paradise. Incluso uno de ellos, el GATECRASHER, se transmite mediante macros en un documento Word. Próximamente ampliaré la información sobre estos troyanos, pues probablemente acaben sustituyendo al BO y al NETBUS.
¿Qué son los Troyanos?
Los troyanos o caballos de Troya son programas que van enmascarados en otros programas totalmente normales. La ejecución del programa es aparentemente correcta, pero deja el troyano instalado y funcionando en el ordenador víctima. Las funciones de los troyanos pueden ser muy variadas, no sólo la mera destrucción de datos del disco duro, sino también la obtención de passwords, o el control total del ordenador víctima, incluyendo el manejo de ficheros, conexiones, control en chats de tipo IRC, periféricos, ejecución de programas, modificación del registro, etc. En principio se diferencian de los virus en que no se reproducen por sí mismos, no infectan de por sí a otros ordenadores. Sin embargo, esto es matizable. La mayoría de los troyanos de IRC sí intentan infectar a otros PC que entren al mismo canal de IRC en el que está el PC infectado. Además, la facilidad de enmascarar algunos troyanos dentro de programas absolutamente normales facilita su propagación. En cualquier caso, hay que tener en cuenta que este tipo de programas no son autoejecutables, es decir, no por recibir un programa infectado se ejecuta el troyano; es necesaria la ejecución del programa portador.
Aunque tienen su origen hace muchos años, y han estado relativamente extendidos en el entorno UNIX, recientemente se han puesto de moda en el entorno PC, primero con la aparición de los primeros troyanos para IRC (SCRIPT.ini, dmsetup.EXE, etc) a principios de 1.998 y, sobretodo, con la aparición en agosto de 1.998 del BACK ORIFICE (BO) cuya facilidad de instalación, manejo y funcionalidad ha conseguido que un porcentaje nada despreciable de los PCs conectados ha internet sea vulnerable a un acceso externo. Sin embargo, el peligro de este tipo de programas excede el ámbito de Internet, abarcando también las redes locales de las empresas. En efecto, el peligro en el caso de Internet es grande (en el caso de los troyanos de tipo BO el PC infectado puede ser controlado de manera que se tiene acceso no sólo a su sistema de ficheros sino a las passwords que se tecleen o a los procesos que estén en ejecución), pero la infección generalmente es indiscriminada, y además las direcciones IP variables dificultan la localización de un ordenador concreto infectado. En el caso de las redes locales empresariales, la infección suele ser dirigida de manera que se comprometa información sensible sin conocimiento de la empresa.
¿Cómo infectan?
En principio, para la instalación de un troyano se requiere al menos la descarga del mismo al PC víctima, ya sea a través de correo electrónico, FTP, copia por disquetera o desde la red local, o incluso simplemente accediendo a una página web en la que mediante un javascript de induzca a la víctima a aceptar el fichero sin que se entere (por ejemplo, mediante la aceptación de un falso mensaje de certificado de seguridad caducado).
En el caso de los troyanos de IRC, la infección se suele realizar cuando se sustituye algún fichero de configuración del cliente de IRC por un fichero modificado que altera la funcionalidad del cliente IRC. En este caso la infección se tiene automáticamente al aceptar el fichero (normalmente mediante DCC). Por el contrario, en el caso de los troyanos de control remoto y en de la mayoría de los "keystrokers" (programas que graban lo que se teclea y hacen accesible el log desde fuera del PC infectado) requieren no sólo la descarga del programa, sino su ejecución. De todas formas, no es nada complejo enlazar el troyano a un programa absolutamente normal (manteniendo incluso los iconos) o a un programa instalador estándar de Windows, de manera que al ejecutar el programa o el instalador, el troyano se libera, instala y autoejecuta, quedando residente en memoria, y ejecutándose cada vez que se reinicia el ordenador.
Por tanto, es muy importante a la hora de ejecutar o instalar un programa el saber perfectamente los orígenes del mismo. No hay más que hacer algún barrido aleatorio en internet para darse cuenta de la cantidad de PCs infectados que hay, sobretodo con el BO (y, en menor medida, con el NetBus). Nunca se debe ejecutar un programa sin tener la certeza no sólo de su legalidad, sino de su procedencia. En el caso del IRC, no se debe aceptar ningún fichero sin tener la certeza no sólo de la naturaleza del fichero, sino de la del que lo envía, y siempre configurando el cliente IRC de manera que los ficheros se reciban en un directorio distinto al de ejecución del cliente IRC.
¿Cómo detectarlos y eliminarlos?
La detección de los troyanos muchas veces es problemática. En este tema (como en casi todos) es válida la idea de que más vale prevenir que curar. Los últimos programas antivirus contienen detectores de los troyanos más normales (BO, Netbus, y algunos de IRC). Sin embargo, el caso de los troyanos es un ejemplo más del dinamismo de internet. Desde que en agosto de 1.998 salió a la luz el BO, es sorprendente la cantidad tanto de troyanos como de defensas contra ellos que han aparecido, de manera que es necesaria una continua actualización de los programas antivirus para que sean realmente efectivos.
Los troyanos más difíciles de detectar son, obviamente, aquellos cuya finalidad es el control remoto del ordenador víctima. Los meramente destructivos se aprecian por sus efectos inmediatamente, y los de IRC se notan también nada más entrar en algún canal de IRC, cuando el resto de los presentes en el canal empiezan a recibir intentos de transmisión de ficheros procedentes del infectado. Por el contrario, cuando un troyano de acceso remoto se instala, lo único que hace es crear una entrada en el registro de Windows (que hace que el troyano se ejecute cada vez que se arranca Windows), y abrir un puerto de TCP o de UDP (a veces ni eso) para permitir el acceso al PC. El troyano está permanentemente en ejecución, pero con el flag hidden activado, de manera que no aparece en la barra de tareas, ni en la ventana de tareas. Además consumen muy poca memoria, de manera que pueden pasar desapercibidos. Por otra parte, el nombre del ejecutable puede variar, así como el puerto por el que actúan.
Para detectar este tipo de troyanos se puede utilizar alguno de los programas específicos que hay en la red, aunque se quedan atrasados con mucha rapidez. Lo más sensato es tener cuidado con los fichero que se reciben, y controlar frecuentemente el estado de los puertos TCP/IP mediante la instrucción de DOS NETSTAT.EXE -A. Este comando muestra todos los puertos TCP/IP abiertos, el estado en el que están y, en su caso, la dirección IP y puerto del otro extremo. Cualquier puerto extraño abierto debería ser investigado.
Tipos de Troyanos.
Pueden distinguirse tres tipos de troyanos, dependiendo de su función y del ámbito de su actuación:
- Troyanos destructivos. Son programas cuya única finalidad es borrar determinados ficheros, formatear el disco duro, etc. Se ejecutan una vez, y ya han cumplido su función. Son los más parecidos a los virus normales, con la peculiaridad de que no se reproducen ni infectan a otros ordenadores, lo cual hace que su propagación sea muy escasa. Un ejemplo de este tipo de troyanos es el PKZ300B.
- Troyanos de IRC: son troyanos que se transmiten a través de chats IRC. La finalidad generalmente es controlar el cliente IRC infectado, aunque también los hay que inundan el disco duro de copias de si mismo. Los más conocidos son:
- SCRIPT.INI: el primero de ellos. Apareció aproximadamente en enero de 1.998, y rápidamente se esparció por la red. Afecta sólo al mIRC de versión 5.3 o anterior. Consiste en un fichero, script.ini, que reemplaza al verdadero utilizado por el mIRC. Al infectar, intentará mandar el fichero script.ini a cualquier otro PC que acceda al mismo canal IRC donde esté el infectado. Además, permite ciertas acciones de control remoto sobre el cliente mIRC. Se elimina simplemente borrando el fichero script.ini y sustituyéndolo por uno correcto. Lo más fácil es volver a instalar el mIRC.
- DMSETUP.EXE: el más dañino de los troyanos de tipo IRC, y también muy extendido. Existen al menos cinco variantes distintas. Afecta también al mIRC. También intenta infectar a los PCs que entran en el canal donde esta el infectado. Además crea multitud de copias de sí mismo en el disco duro, altera el C:\AUTOEXEC.BAT, y crea algunos ficheros propios, como el C:\CONFIGG.SYS, y otros en el subdirectorio del mIRC. También permite el control remoto del cliente IRC. La eliminación suele ser muy problemática, incluso en el caso de la variantes 4ª, suele ser necesario el formateo del disco duro.
- WINHELP.EXE: otro troyano que afecta al mIRC, aunque bastante menos extendido. Modifica el fichero MIRC.INI y el WIN.INI. Se propaga de la misma manera que los otros.
En http://www.irchelp.org/irchelp/security/trojan.html hay información más clara y abundante sobre los troyanos de IRC.
- Troyanos de control remoto: son programas del tipo cliente/servidor cuya finalidad es controlar un PC conectado a la red sin el conocimiento del usuario del PC infectado. En el PC infectado se instala la parte server del troyano, mientras que el que lo controla lo hace gracias a la parte cliente. Generalmente, al ejecutarse, la parte cliente se autoinstala en el disco duro del PC víctima, y se modifica el registro de Windows, permitiendo así la ejecución de la parte server cada vez que se arranque Windows. La parte server permanece entonces oculta y residente en memoria, sin hacer nada más que posibilitar el acceso al PC por la parte cliente del programa. Este tipo de programas se ha extendido peligrosamente desde la aparición en agosto de 1.998 del Back Orifice (BO), el más popular de este tipo de programas. En general, este tipo de programas tiene una utilidad real para administración de redes locales. La consideración de ellos como troyanos se debe al enmascaramiento de la parte server, que hace que el usuario del PC donde se instale no sea consciente de que su PC puede ser manipulado. Los troyanos de este tipo más conocidos son:
- BACK ORIFICE (BO): creado en agosto de 1.998 por el grupo cDc (Cult of Dead Cows), se ha extendido peligrosamente por la red, hasta el punto de que en España ha llegado a estar infectado el 10% de los PCs conectados a internet. La parte servidora puede ser configurada para ejecutarse con cualquier nombre y para utilizar cualquier puerto UDP, aunque por defecto utiliza el nombre " .EXE" (un blanco antes del punto), y el puerto de 37331. En cualquier caso, el icono del programa es un blanco (aparece sin icono en el Explorador de Windows). Cuando se ejecuta, se instala en C:\WINDOWS\SYSTEM, donde además del ejecutable de la parte server aparece el fichero WINDLL.DLL. Además, al instalarse graba en el registro una entrada en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, con el nombre del ejecutable del server. Esto hace que el server se ejecute siempre que se arranque Windows, y permanece en todo momento ejecutandose en oculto, sin aparecer como tarea de Windows. La parte cliente consta de dos ejecutables, una en version de comandos DOS (BOCLIENT.EXE), y la otra en versión de interfaz gráfica de usuario (BOGUI.EXE). Las dos tienen las mismas funcionalidades:
- Ping individual o a una lista de IPs, barrido en una subred para encontrar servers, o en una lista de subredes.
- Utilización de passwords para restringir el acceso.
- Manejo de ficheros: creado, borrado, renpmbrado, lista, envío, recepción, etc.
- Manejo de directorios: creado, borrado, lista.
- Comandos del sistema: información, passwords en caché, mandar ventanas de dialogo, logs de teclas pulsadas, reboot, permitir la navegación en su disco duro por http, impedirla, bloquear el PC.
- Manejo del entorno de comunicaciones del PC.
- Envío, ejecución o listado de plugins.
- Listar, ejecutar o matar procesos del sistema.
- Control del registro de Windows.
- Ejecución de sonidos, de video, volcado de pantalla.
- Redireccionamiento del tráfico TCP/IP a otros host y otros puertos.
- Listado, ejecución y eliminación de aplicaciones de consola, como COMMAND.COM, NETSTAT.EXE, etc.
El server puede presentarse sin enmascarar dentro de ningún programa, simplemente con el nombre cambiado. En ese caso, su icono es un blanco, y al ejecutarse, desaparece el programa. Sin embargo, es muy fácil enlazarlo a otro ejecutable cualquiera, o incluso a un instalador de programas Windows. También es posible enviarlo mediante un javascript al entrar en una página web (por ejemplo, hay uno que advierte de que la página web tiene un certificado de seguridad caducado, y si se pulsa al OK para seguir, se transfiere la parte server).
Han aparecido también plugins que utilizan el BO, se instalan en la parte server, y permiten otras funcionalidades distintas a las originales del BO, como puede ser un sniffer, o un espía de e-mail. También han aparecido varios programas defensivos que escuchan en el puerto por defecto, simulan que el PC tiene la parte server, y graban la IP y las instrucciones del que intenta entrar. Alguno incluso puede contraatacar colgando la parte cliente. Los más conocidos de estos programas defensivos son el NOBO, el BOF y el BOSPY.
- NETBUS: creado por Karl Fredrik Neikter poco despues que el BO, es otro de los más populares troyanos. También está muy extendido por la red. Al instalarse se graba en C:\WINDOWS el ejecutable de la parte cliente, con el nombre que tuviera el programa al ser ejecutado. Puede ser ejecutado con parámetros, de manera que no se rearranque cada vez que se arranque Windows, o se arranque ajuste el troyano para funcionar por un puerto TCP distinto del de por defecto (12345), o para pedir password ante el acceso de la parte cliente. La parte server frecuentemente va camuflada en un juego, el Whackjob. Al ejecutarse el troyano, si se ejecuta sin el parámetro /NOADD o sin el parámetro /REMOVE (que, como indica, lo elimina), graba una entrada en el registro de Windows, en HKEY_LOCAL_MACHINES\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run, graba tambien el fichero KEYHOOK.DLL en C:\WINDOWS, y en el caso de la version 1.70, crea en ese mismo directorio un fichero INI con las opciones de configuracion. Las funcionalidades que presenta son muchas. En esencia, las mismas que el BO, más algunas como apertura y cierre del CD, control del ratón (intercambio de funcion de teclas, control de movimientos), mas posibilidad de envío de mensajes al server, envío de texto y recepción de teclas pulsadas, intercepción del teclado, etc. La eliminación del troyano puede hacerse modificando el registro y borrando los ficheros implicados (para eso, en la entrada correspondiente del registro viene el nombre del ejecutable). Tambien puede hacerse a mediante la parte cliente del NETBUS, que permite eliminar el troyano. Dada su popularidad, también han aparecido algunos programas tanto para su detección o eliminación (NETBUSTER) como para crackear las passwords (NETRUST21A o el BUSCONQUERER13). Incluso los últimos scripts para mIRC (por ejemplo, el orbital) detectan barridos de puertos buscando el NETBUS, o buscan clientes IRC conectados que esten infectados con el BO o el NETBUS (por ejemplo, el RIP).
- SOCKETS DE TROIE: también llamado MSchv32.EXE por ser el nombre del ejecutable de la parte server en las primeras versiones. Creado por un tal JC`zic, y con textos exclusivamente en francés, es otro programa de control remoto ligeramente posterior al BO. Además del idioma, tiene la peculiaridad de que la versión 2.5 es realmete un virus, y se propaga como tal. Cuando se ejecuta, generalmente sale un mensaje de error también en francés (excepto cuando el infector es el fichero Cheval sans msg.exe, en cuyo caso no hay mensaje). Al infectar, en el caso de la version 1.0 graba el fichero MSchv32.EXE en C:\WINDOWS\SYSTEM y crea una entrada de registro en KEY_CURRENT_USER\Software\Microsoft\Windows\ CurrenVersion\Run. En el caso de las versiones 2.x crea tres ficheros: RSRCLOAD.EXE (en c:\WINDOWS), MGADESKDLL.EXE (en C:\WINDOWS\SYSTEM) y CSMCTRL32.EXE (en el mismo sitio) y crea tres entradas en el registro, una para cada uno de los ficheros:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (MGADESKDLL.EXE)
HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Run (RSCRLOAD.EXE)
HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\RunServices (CSMCTRL32.EXE).
A diferencia del BO y del NETBUS, no corre en invisible, y por tanto aparece en la ventana de tareas. La versión 1.0 utiliza el puerto 5000, mientras las 2.x utilizan por defecto el 50505. Como funcionalidades presenta más o menos las mismas que el BO, con alguna funcionalidad añadida como arma ofensiva en IRC, del tipo de los nukes ICMP o SSPING. Para eliminarlo basta cerrar la tarea, y eliminar los ficheros y las entradas del registro. También existen programas específicamente dedicados a detectar y eliminar este troyano, como por ejemplo el ANTISOCKETS.
- GIRL FRIEND: Este es un troyano bastante reciente (diciembre 1.998) creado por General Failure en Delphi. La parte server (el troyano) se llama GIRL FRIEND mientras que la parte cliente se llama VOY FRIEND. El troyano, al instalarse, se copia en C:\WINDOWS\SYSTEM con el nombre WINDLL. EXE, y crea una entrada de registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run. El puerto utilizado por defecto es el 21554, aunque es configurable. Todos los datos del GF los va grabando en el registro, en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General. Tiene las funcionalidades típicas de los programas de acceso remoto, aunque sin control de periféricos. En cambio es muy potente para acceso a passwords, pues va grabando todas aunque la parte cliente no este conectada. Tiene también como peculiaridad, además de fallar más que una escopeta de feria, el que cuando está arrancado, si el cliente no está conectado, el puerto que utiliza no está abierto, de manera que no se puede detectar con el NETSTAT. También aparece oculto en la ventana de tareas.
- MASTER OF PARADISE: otro troyano más basado en los mismos principios que los anteriores. Este fue creado por Dan Lehmann, un alemán que por lo menos tuvo el detalle de traducir la parte cliente al inglés, aunque los mensajes de error siguen saliendo en alemán. El programa es muy completo. De hecho, podría ser el mejor de todos los troyanos actuales, si no fuera porque también falla con demasiada frecuencia. Tiene las mismas utilidades del NetBus, más algunas otras como el control de la barra de tareas, y mejor gestión de la pantalla del servidor. Además, la interfase gráfica es muy clara. El troyano ejecutable se llama AGENT.EXE por defecto, pero puede darse con cualquier nombre, y tambien puede presentarse enmascarado en un juego. De todas formas, este troyano no se ejecuta en oculto. Aparece en la barra de tareas, y puede ser parado como cualquier otro proceso de la barra de tareas..
- BACKDOOR 2.03, GATECRASHER, DEEPTHROAT: son tres ejemplos de troyanos relativamente recientes y poco conocidos pero bastante potentes. Tienen más o menos las mismas funcionalidades que el Masters of Paradise. Incluso uno de ellos, el GATECRASHER, se transmite mediante macros en un documento Word. Próximamente ampliaré la información sobre estos troyanos, pues probablemente acaben sustituyendo al BO y al NETBUS.
