MANUALES Y TUTORIALES

 

 

 

 

 

TROYANO


El nombre de troyano viene del famoso Caballo de Troya.

A semejanza de éste, estos pequeños programas ocultan sus intenciones reales bajo la apariencia de un juego, una animación, etc. Es decir viene oculto en algún archivo, en el que si confiamos.

La lista de lo que puede hacer un troyano es larga, lo que no quiere decir que todos puedan hacerlo todo.

Los hay realmente simples, que sólo pueden tomar una captura de pantalla del escritorio, por ejemplo. Otras aptitudes que pueden poseer son: recursos multimedia (ejecutar sonidos, activar el CD-ROM, oír video conferencias, mostrar imágenes, etc.), visualización en tiempo real de la escritura del teclado, acceso al disco rígido y a todos sus archivos incluidos los ocultos, ejecutar cualquier programa del disco, cambio de las propiedades de red , capacidad para borrar, subir o bajar archivos; acceso al prompt del DOS, administración del registro (normalmente sólo se usa para asegurarse  que el troyano arranca junto con Windows), acceso a los login y password , redirección de puertos y aplicaciones, envío y recepción de mensajes (a veces están dedicados a enviar spam desde el ordenador infectado), control del teclado y mouse , mostrar o quitar ventanas abiertas, logoff y apagado del sistema.

En realidad, un troyano no es un solo programa, sino dos. Este tipo de aplicaciones se llama cliente-servidor. La parte servidor es la que va camuflada y es la que se instala en el ordenador atacado. La parte cliente se queda en el ordenador del atacante y es la que permite introducir los comandos que se ejecutarán en el equipo infectado.

La capacidad del servidor de los troyanos para ocultarse no deja de mejorar. Mediante unos programas llamados " binders " ( juntadores , en castizo) se unen a otros ejecutables (animaciones, etc.) para ponerse en marcha junto con ellos y no levantar sospechas. Mimetizan el icono de Windows correspondiente a la aplicación que simulan, y disfrazan de igual modo la extensión del archivo.



Para establecer la comunicación con su parte cliente, el servidor debe abrir un puerto de los 65535 del protocolo TCP/IP. Es decir, tiene que abrir un canal de comunicación.

Si sospechamos que tenemos un servidor troyano en nuestro ordenador y el antivirus no lo ha detectado, lo primero que hay que hacer es encontrarlo.

Como necesita abrir un puerto para comunicarse ( estos suelen ser altos 6667, 27374, 7215, 54283 .... por decir algunos ) pero no hay que fiarse mucho.

Podemos ver si tenemos una conexión sospechosa, primero cerraremos todo lo que tenemos abierto que se conecta a la red, correo, webs ... etc. En ejecutar escribimos cmd y aceptamos, nos aparecerá una ventana negra típica de MS-DOS escribimos netstat - an



V eremos una ventana como esta y hay que identificar si hay un puerto sospechoso con una conexión en Established (conectado) o listerning (esta abierto pero en espera de conexión).

Como podéis ver el puerto 8081 no es una conexión lógica, así que empieza nuestra búsqueda

Si encontramos un puerto que no debería estar a la escucha, podemos mirar también en esta clave del registro

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Ya que suele ser el lugar escogido por la mayoría de troyanos para instalar una clave que apunte al fichero que quieren que se ejecute cada vez que se inicia Windows

Si fuerá un troyano conocido, en google sabiendo el puerto que abre y el nombre del archivo podemos encontrar como eliminarlo.

También hay antitroyanos que constan de una base de datos actualizables que los detectan y eliminan.

De aquí os podeís descargar el anti - trojan

http://ayudainformatica.serveftp.com/Programas/antitrojan.zip

que escaneará los puertos y carpetas, y nos dará un informe detallado

Pero si tuviéramos un firewall (cortafuegos) instalado nos advertiría de todos los programas que quieran conectarse desde nuestro PC a la red ( con lo cual si sospechamos que puede ser un troyano denegamos el acceso) De aquí podéis bajaros el zone alarm y un manual de como usarlo.....

http://ayudainformatica.serveftp.com/Manuales/Manualzonealarm.doc

Pero desgraciadamente no siempre es tan fácil, algunos de los últimos  troyano/virus tratan en primer lugar de inutilizar antivirus y firewalls , por lo que aunque uno se "blinde" y tenga instalados, actualizados y ejecutándose antitroyanos , antivirus y cortafuegos, no es buena idea dejar de lado la precaución. La primera y más importante línea de defensa es el sentido común. Siempre hay que tener cuidado con lo que uno se baja o consigue a través de la red. Más si tenemos en cuenta que los troyanos y la ingeniería social, suelen ir muy unidos.

Pero este manual pretendia ayudarnos precisamente a eso a reconocerlos o al menos a saber como engañan para colarse y que debemos mirar asiduamente para reconocerlos.

Esto no pretende ser una alarma, ni mucho menos, pero con unos sencillos trucos son capaces de que les demos permiso aún sin quererlo.

Hemos creado una situación ficticia, ( aunque realmente, da mucha risa  porque el troyanos en si ,( no es tal), es solo para este manual y hemos intentado que sea indetectable, pero le hemos dado nombres detectables y un icono un poco en broma)

Pongamos que tenemos instalado un firewall que nos advierte de todo lo que se conecta

Esto deberia hacernos sospechar, aunque es un proceso legitimo de windows y si no ponemos atención podríamos darle paso sin querer, por ejemplo este proceso, núnca nos pedirá iniciar junto a windows porque es parte de él , así que un mensaje así deberiamos denegarlo ( este es nuestro troyano) pero supongamos que le damos permiso pensando que es un proceso legitimo de windows (suelen tener nombres de aplicaciones que usamos corrientemente o procesos del sistema) ya se nos ha colado. Le hemos dado permiso.

Ahora iniciará junto a windows y cada vez que nos conectemos a la red mandará un mensaje al cliente (la parte que tiene el agresor) de que estamos conectados.

Lo que pueden hacer es muy extenso y siempre depende del agresor y sus intenciones, si relamente no quiere ser detectado, no hará nada evidente sólo observar y obtener información de todos nuestro archivos .

Lo primero que deberiamos revisar asiduamente es el administrador de tareas ( para iniciarlo ctrl + alt + supr ), allí veremos todos los procesos que en ese momento están activos y aún haciendose pasar por un proceso como "svchost.exe", del cúal veréis hay muchos, podemos ver que este no es del sistema.

Como véis en la captura en nombre de usuario pone Usuario

En los demás pone SYSTEM , SERVICIO LOCAL ,o SERVICIO DE RED, aunque puede también hacerse con las carpetas del sistema y hacerse pasar por él ( pero en todo caso revisar el administrador de tareas asiduamente, y si notais que el pc va más lento, o cosas extrañas, hacerlo minuciosamente y cualquier proceso que sea sospechoso o no sepaís lo que es, google o nuestro foro)

Ya tenemos indicios de que hay algo extraño, pero no sabemos dónde esta, ni que es , desde allí podeís , clic sobre el y terminar proceso (aunque puede deshabilitar eso) pero supongamos que no, hasta que no reiniciemos de nuevo no se conectará.

Podemos usar netstar - an , pero también podemos usar una aplicación de terceros que nos dará más información y podremos desconctarlo

http://ayudainformatica.serveftp.com/Programas/cports.exe

este programa monitoriza las conexiones y da opción de descontectar la que no nos interese, como ya hemos dicho para "pillarlo", hay que desconectarse de todo y así veremos si hay un puerto que no debería estar conectado



nuestro troyano se conecta por el puerto 8081 y en este momento esta conectando , pero en el programa podreís ver el nombre del archivo y su ubicación, además del puerto, podemos cerrar la conexión clic sobre él y clic sobre la opción close selected TCP conexión.

Pero no le hemos eliminado, si reiniciamos volverá a estar ahí.

Primero  hay que impedir que se inicie con windows , así que vamos a inicio ejecutar/escribimos regedit y aceptamos

Abrirá el registro de windows y navegamos por esta clave.....

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

ese es nuestro troyano

Si allí vemos algo raro podemos eliminar la entrada clic sobre ella y eliminar, sino podemos hacerlo desde inicio/ejecutar/ escribimos msconfig y en la pestaña inicio

bueno vemos algo extraño " idem " esto no es nada conocido.......(si aquí hay cosas que no sabéis lo que es o google o nuestro foro  antes de desactivar nada preguntar, en este caso esta clarísimo pero no siempre es así), desactivamos la casilla y aceptamos los cambios , como véis nuestro troyano tiene varios nombres ( es una manera de confundirnos)

Ya tenemos más datos y hemos conseguido que no se conecte , también conocemos los nombres, en este caso son dos y gracias a " cport " donde se aloja.

Bueno para eliminarlo por completo, debemos reiniciar el ordenador a modo de fallos, para eso antes de que se cargue el sistema en la pantalla negra pulsamos la tecla F8, en el menú que sale

con las flechitas de arriba y abajo ( recordar que allí no funciona el ratón) y intro para aceptar, arrancará windows un poco distinto ( es normal sólo carga lo indispensable)

Abrimos el registro inicio /ejecutar y alli escribimos regedit

Y volvemos a la clave

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Ahora si nos dejará eliminarla si vemos algunos de estos nombres  en esa clave

WINLOADER
Win32nt 
Win32.Bin
WinCrypt
WinProtect

Win
xTnow
Ayespie
PowerSaveMonitor
rundll32

Podemos eliminarla con tranquilidad, se que parecen archivos del sistema pero en esta entranda no deberían estar, eso demuentra que los creadores de troyanos no son estupidos y es la manera de proteger a su troyano camuflandolo , como nuestro svchost.exe

Ahora vamos hasta

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Fijaos que ahora es RunServices y no sólo Run . Pues bien, ídem que en el paso anterior, si encontramos una palabra de las de la lista previa, eliminadla.

Algunos troyanos crean una clave en

HKEY_LOCAL_MACHINE\Software\Classes\ exefile \shell\open\command

Nos debe de aparecer esto


NOTA MUY IMPORTANTE: fijaos en qué pone en lugar de (predeterminado) pues ese es un componente del virus que deberemos eliminar a mano. Seguramente será una conjunción de letras y números sin sentido, así que no vendría mal que lo copiárais en un papel. En ocasiones el troyano no elimina esta entrada pero añade otra. Lo que debe aparecer en vuestro ordenador es EXACTAMENTE lo que veis en la imagen.

De no aparecer esto, habrá que sustituir el valor que aparezca por lo que veis aquí. Primero, en caso de no aparecer (predeterminado) o ( default ) debéis borrar esa entrada del registro. Para eso haced click una sola vez encima de lo que ponga, y en el boton derecho del ratón os aparecerá la opción eliminar . Para añadir la cadena correcta, id al menú edición, seleccionad  nuevo y dentro de nuevo Valor de la cadena. En el nombre ponéis predeterminado y una vez hecho eso, doble click sobre predeterminado, e insertar en la ventana de diálogo que aparece: comillas, tanto por ciento, uno, comillas, espacio, tanto por ciento, asterisco.

Bueno ya sabemos dónde mirar para encontrar troyanos, si habéis seguido todos los pasos seguro que lo pillais y podréis eliminarlo aunque el antivirus no lo haya detectado, ahora solo queda eliminar el archivo donde se oculta, aunque ya no podrá conectarse, y es inofensivo.

En nuestro caso estaba en esta carpeta eliminamos el archivo

Pero lo mejor la mejor arma es el sentido común, la paranoia no es buena, pero un poquito siempre viene bien,  cualquier sospecha, analizar con el antivirus o mandar a analizar un archivo hay webs como esta que antes de ejecutar un archivo podemos analizarlo.

También hay programas que hacen una comparación del registro antes de instalar un programa y después de la instalación, si vemos las claves que cambia podemos sospechar de un troyano o un virus uno fácil de usar RegShot

Cualquier duda tenéis el foro para que os aclaremos lo que sea

Un besote

marian

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

.