Como Deshacerse de un Troyano - Usando el MataProcesos para sacarnos de un apuro

En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo así como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engañados. Ejecutamos, sin saberlo, un troyano.

Tenemos que apurarnos a quitarnoslo de encima, porque por el momento también tiene acceso a nuestros archivos, para robarlos o borrarlos.

El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.

Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente:

C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSVR32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSPATCH.EXE
C:WINDOWSWINDOW.EXE
C:WINDOWSSYSTEM .EXE
C:WINDOWSSYSTEMNSSX.EXE
C:WINDOWSRNAAPP.EXE
C:WINDOWSTAPISVR.EXE
C:ARCHIVOS DE PROGRAMAICQICQ.EXE
C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE
C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE

En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso?

Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando.

Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos:

C:ARCHIVOS DE PROGRAMAICQICQ.EXE

es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ.

C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE

se trata, como se podrán imaginar, del Outlook Express.

C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE

este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo.

También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error".

Veamos:

C:WINDOWSSYSTEMKERNEL32.DLL

Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar.

C:WINDOWSSYSTEMMSGSVR32.EXE

Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad.

C:WINDOWSSYSTEMmmtask.tsk

Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza.

C:WINDOWSEXPLORER.EXE

Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente)

C:WINDOWSTASKMON.EXE

Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar...

C:WINDOWSSYSTEMSYSTRAY.EXE

Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece.

C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE

Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora.

Pues bien, ¿qué nos queda?

C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE

¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones...

C:WINDOWSPATCH.EXE

es el maldito patch del NETBUS

C:WINDOWSSYSTEM .EXE

es el servidor del Back Orifice

C:WINDOWSSYSTEMNSSX.EXE

es el servidor del NetSphere

C:WINDOWSWINDOW.EXE

es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o una versión levemente modificada del NetBus)

Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí!

Para librarnos de ellos para siempre leamos los siguientes puntos...

Aclaraciones:

Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en:
ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip---o∞ en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip∞