Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
FAQ de es.comp.hackers! Imprescindible!!! - Sección 5: Anti-Troyanos
(7 opiniones)
Tutorial de
Rojodos - 04 de Febrero de 2005
5. Sección 5: Anti-Troyanos
5.0) ¿Qué es un troyano?
Es un programa que parece ser legítimo, pero en realidad oculta código maligno
(malware) normalmente destinado a facilitar la entrada de un atacante, o
asegurar su retorno: bien abriendo las puertas para ello, bien ocultando
información al legítimo usuario para impedir la detección de la entrada y/o
cambios efectuados en los programas legítimos de la máquina.
Un ejemplo de troyano sería un 'netstat' que ocultara un puerto abierto, en el
que podría estar a la escucha otro troyano, denominado en este caso backdoor.
Puedes encontrar más información sobre troyanos en
http://members.nbci.com/zonealex/puertos.htm∞ y
www.simovits.com/trojans/trojans.html∞
Otra web, con capturas de pantallas de algunos troyanos, es
www.globalframe.f2s.com∞
5.1) En el punto 4.2 se menciona que los antivirus detectan solamente algunos
troyanos. ¿Qué pasa con los demás?
Algunos troyanos no son detectados por los antivirus, por diferentes motivos
(que las casas de antivirus expliquen los mismos).
Afortunadamente existen programas que son específicamente para eliminar troyanos
(y no se ocupan de los virus). El más conocido es el programa "The Cleaner",
shareware que puede obtenerse de www.moosoft.com∞
5.2) ¿Cuáles son los troyanos/backdoors mas comunes y más peligrosos?
Los backdoors o puertar traseras son software que abre un puerto a la escucha a
escondidas del legítimo propietario de la máquina que lo ejecuta, con la
intención de facilitar la entrada a un hipotético atacante.
Estos backdoors necesitan haber sido ejecutados por primera vez en el sistema,
para ejecuciones posteriores ya toman las medidas adecuadas que las aseguren,
dependiendo del sistema. En Windows 9x se añaden a la clave del registro
adecuada, por ejemplo en las claves ejecutables en:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\RunServicesOnce
entre otras.
Esta primera ejecución puede llegar de dos formas: por un atacante que haya
conseguido control total sobre el sistema e instale el backdoor para facilitar
su regreso, o involuntariamente por el propio usuario, por error o al creer que
se trataba de otro programa.
La parte que se instala en el ordenador de la víctima se llama servidor, y el
acceso se logra mediante el cliente.
De mención histórica son el Netbus y BackOriffice (www.netbus.org∞ y
www.cultdeadcow.com∞), los padres de los troyanos actuales. Ambos funcionaban
solamente en sistemas MS Windows 9x.
Desde la aparición de Netbus 2.x y BackOriffice 2000 (BO2K) su campo de acción
se extendió a sistemas MS Windows NT y 2000.
La última generación de troyanos incluye el SubSeven y SubZero, dos poderosas
herramientas que permiten control total del ordenador remoto. Pueden encontrarse
troyanos en la página (en inglés) de Archivo de Troyanos de TL Security
(www.tlsecurity.net/amt.htm∞)
En los sistemas Linux lo más común es el lanzamiento de un netcat en un puerto
alto para permitir el acceso a una consola remota sin autenticación o a un back
telnet.
5.3) ¿Cómo se meten usualmente los troyanos en un ordenador?
Normalmente el troyano está adosado a un archivo ejecutable, y la infección con
el troyano depende de que un usuario, ignorante de la existencia del troyano,
ejecute dicho archivo.
Los archivos ejecutables con un troyano dentro pueden provenir prácticamente de
cualquier origen: un archivo enviado por email, un archivo bajado de una página
web, etc.
5.4) ¿Cómo se oculta un archivo dentro de otro?
Aquí cabe destacar que existen dos posibilidades bastante diferentes:
a) Que se desee incluir un archivo ejecutable dentro de otro (el caso típico con
los troyanos). Esto puede hacerse con el programa eLiTeWrap
(www.holodeck.f9.co.uk/elitewrap/index.html∞).
b) Si lo que se desea es ocultar un archivo (por ejemplo un texto con un
mensaje) dentro de un archivo inconspicuo (por ejemplo una imagen .gif), puede
utilizarse el programa Steganos II de Centurion Soft (www.centurionsoft.com∞).
Es un programa que parece ser legítimo, pero en realidad oculta código maligno
(malware) normalmente destinado a facilitar la entrada de un atacante, o
asegurar su retorno: bien abriendo las puertas para ello, bien ocultando
información al legítimo usuario para impedir la detección de la entrada y/o
cambios efectuados en los programas legítimos de la máquina.
Un ejemplo de troyano sería un 'netstat' que ocultara un puerto abierto, en el
que podría estar a la escucha otro troyano, denominado en este caso backdoor.
Puedes encontrar más información sobre troyanos en
http://members.nbci.com/zonealex/puertos.htm∞ y
www.simovits.com/trojans/trojans.html∞
Otra web, con capturas de pantallas de algunos troyanos, es
www.globalframe.f2s.com∞
5.1) En el punto 4.2 se menciona que los antivirus detectan solamente algunos
troyanos. ¿Qué pasa con los demás?
Algunos troyanos no son detectados por los antivirus, por diferentes motivos
(que las casas de antivirus expliquen los mismos).
Afortunadamente existen programas que son específicamente para eliminar troyanos
(y no se ocupan de los virus). El más conocido es el programa "The Cleaner",
shareware que puede obtenerse de www.moosoft.com∞
5.2) ¿Cuáles son los troyanos/backdoors mas comunes y más peligrosos?
Los backdoors o puertar traseras son software que abre un puerto a la escucha a
escondidas del legítimo propietario de la máquina que lo ejecuta, con la
intención de facilitar la entrada a un hipotético atacante.
Estos backdoors necesitan haber sido ejecutados por primera vez en el sistema,
para ejecuciones posteriores ya toman las medidas adecuadas que las aseguren,
dependiendo del sistema. En Windows 9x se añaden a la clave del registro
adecuada, por ejemplo en las claves ejecutables en:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\RunServicesOnce
entre otras.
Esta primera ejecución puede llegar de dos formas: por un atacante que haya
conseguido control total sobre el sistema e instale el backdoor para facilitar
su regreso, o involuntariamente por el propio usuario, por error o al creer que
se trataba de otro programa.
La parte que se instala en el ordenador de la víctima se llama servidor, y el
acceso se logra mediante el cliente.
De mención histórica son el Netbus y BackOriffice (www.netbus.org∞ y
www.cultdeadcow.com∞), los padres de los troyanos actuales. Ambos funcionaban
solamente en sistemas MS Windows 9x.
Desde la aparición de Netbus 2.x y BackOriffice 2000 (BO2K) su campo de acción
se extendió a sistemas MS Windows NT y 2000.
La última generación de troyanos incluye el SubSeven y SubZero, dos poderosas
herramientas que permiten control total del ordenador remoto. Pueden encontrarse
troyanos en la página (en inglés) de Archivo de Troyanos de TL Security
(www.tlsecurity.net/amt.htm∞)
En los sistemas Linux lo más común es el lanzamiento de un netcat en un puerto
alto para permitir el acceso a una consola remota sin autenticación o a un back
telnet.
5.3) ¿Cómo se meten usualmente los troyanos en un ordenador?
Normalmente el troyano está adosado a un archivo ejecutable, y la infección con
el troyano depende de que un usuario, ignorante de la existencia del troyano,
ejecute dicho archivo.
Los archivos ejecutables con un troyano dentro pueden provenir prácticamente de
cualquier origen: un archivo enviado por email, un archivo bajado de una página
web, etc.
5.4) ¿Cómo se oculta un archivo dentro de otro?
Aquí cabe destacar que existen dos posibilidades bastante diferentes:
a) Que se desee incluir un archivo ejecutable dentro de otro (el caso típico con
los troyanos). Esto puede hacerse con el programa eLiTeWrap
(www.holodeck.f9.co.uk/elitewrap/index.html∞).
b) Si lo que se desea es ocultar un archivo (por ejemplo un texto con un
mensaje) dentro de un archivo inconspicuo (por ejemplo una imagen .gif), puede
utilizarse el programa Steganos II de Centurion Soft (www.centurionsoft.com∞).
Tabla de contenidos
- 1 - Sección 1: Administración de las PUF
- 2 - Sección 2: Seguridad General de Sistemas
- 3 - Sección 3: Firewalls (Cortafuegos)
- 4 - Sección 4: Antivirus
- 5 - Sección 5: Anti-Troyanos
- 6 - Sección 6: Software espía (Spyware)
- 7 - Sección 7: Servicios
- 8 - Sección 8: Conexión por red
- 9 - Sección 9: Hacking
- 10 - Sección 10: Documentación sobre estándares de red
- 11 - Sección 11: Web
- 12 - Sección 12: Correo electrónico
- 13 - Sección 13: Grupos de Noticias
- 14 - Sección 14: Passwords
- 15 - Sección 15: Criptografía
- 16 - Sección 16: Esteganografía
- 17 - Sección 17: Aplicaciones más comunes
- 18 - Sección 18: Referencias y Bibliografía
Autor y licencia de 'FAQ de es.comp.hackers! Imprescindible!!! - Sección 5: Anti-Troyanos'
|
Wikis relacionados con 'FAQ de es.comp.hackers! Imprescindible!!! - Sección 5: Anti-Troyanos'
No se han encontrado cursos relacionados con '
FAQ de es.comp.hackers! Imprescindible!!! - Sección 5: Anti-Troyanos'
Gente Wiki
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
2007 Wikilearning |
Blog |
