Explicacion de lo que es y que hace un troyano

Bueno empezomos con la gran pregunta de ¿Qué es un Troyano? Antes de nada hemos de aclarar el concepto básico de troyano: se conoce por ese nombre a todo programa que lleva oculta una funcionalidad determinada que será usada con fines maliciosos y en contra del usuario que lo instala. Se diferencia de los virus en que el troyano forma parte del código fuente del programa instalado y se compila junto con él, mientras que el virus simplemente se añade o suplanta al programa original. Se llamó así a estos programas por el conocido Caballo de Troya, que se entregó como un regalo de buena fe y en cuyo interior se escondían los soldados enemigos. ¿Quién no conoce ya la historia? Fecha edición: 02.09.2002 Origen: ¿De dónde han salido? En sus orígenes, los programadores que creaban conscientemente un troyano lo hacían con alguna finalidad determinada, ya fuese para fastidiar o incluso para garantizarse el cobro de la factura por el trabajo realizado, por ejemplo, un programa que caducara una fecha determinada y destruyera u ocultara la base de datos del trabajo realizado con él y que, en el caso de que el cliente pagara, actualizarle con una "revisión" del producto libre del troyano. Esta utilidad "oculta" si se programaba especialmente para ello, podía permitir a un usuario con conocimiento de ella tener privilegios sobre el programa, por ejemplo que al pulsar una determinada combinación de teclas, nos apareciera una ventana de configuración con opciones no accesibles por el programa principal. Con la aparición de Internet y su rápida expansión a nivel mundial, el concepto de Red de ordenadores se convirtió en algo atractivo y novedoso lleno de protocolos de comunicaciones, permisos de acceso a redes y passwords que había que investigar. Pronto aparecieron los primeros troyanos cuya funcionalidad oculta era posibilitar el acceso a la máquina instalada sin necesidad de introducir contraseña de acceso creando lo que se conoce como una puerta trasera (Backdoor). Estos troyanos representaban un concepto nuevo de programa malicioso fruto de la rápida expansión de la red Internet, por lo tanto debía tener un nombre, como todas las cosas. Así, el concepto Backdoor-Troyano se asoció. En seguida proliferaron en numero y su nivel de sofisticación y potencia fue en aumento, llegando a convertirse en verdaderos programas de acceso y administración remotos (RAT Remote Administration Tool). Así pues, el nombre Troyano quedó asignado al Backdoor, y cuando hoy se habla de troyanos, generalmente se hace referencia a programas que instalan puertas traseras para que accedan a nuestro PC sin necesidad de nuestro consentimiento. Espero haber dejado claro los conceptos de Troyano (en sus orígenes) y Backdoor (troyano en la actualidad). También cabe aclarar otra cosa: cuando se realiza un programa nuevo, para una determinada tarea, éste se somete a fases de depurado (comprobación y mejora de su funcionamiento) antes de su distribución, en las que se pretende minimizar el número de errores de programación, ya que se sobreentiende que el programa perfecto y sin errores no existe, así que se intenta depurar al máximo. Pues bien, en muchos casos, éstos errores de programación que pasan inadvertidos en la fase de depurado se convierten en "Backdoors" potenciales a la espera de que alguien los descubra y los explote. A esto se conoce popularmente con el nombre de BUG (bicho) y en ámbitos de seguridad informática :Vulnerabilidad, y las soluciones que se presentan para corregir el fallo se denominan Parches. Dada la importancia de estas Vulnerabilidades, hemos creído conveniente crear una sección que trate del tema. Características: ¿Qué tienen de especial? Un troyano es, en definitiva, un programa de administración remota (RAT) pero oculto para poder funcionar sin que el usuario infectado se de cuenta de ello. Para que funcione correctamente, deben existir 2 partes en comunicación: 1. Una de ellas (servidor) instalada en la máquina del usuario infectado, oculta para no ser detectada, se instalará de manera que pueda ejecutarse en cada reinicio de Windows y así poder abrir la puerta trasera cuando conectemos a Internet. 2. En la máquina del atacante se instala la segunda parte (cliente) que es encargada de comunicarse con la máquina infectada y está diseñada para llevar a cabo acciones contra ella. ¿Cómo funciona? Aquí hemos de diferenciar algunas fases: 1. Infección: A diferencia de los virus (y hasta el momento, por suerte) los troyanos no tienen capacidad para reproducirse por su cuenta y la infección ha de pasar por manos del usuario incauto que, mediante engaños, ejecuta el fichero con el troyano. El fichero puede llegar por cualquier sistema de transferencia de archivos: e-mail, MSN, ICQ, IRC, FTP, descargado de la WEB, etc. Y estará "maquillado" para que no se note lo que en realidad es, por ejemplo, en un fichero que lleve una doble extensión: "tenniswithKournikova.avi.exe", ¿por qué con doble extensión?, pues por una sencilla y buena razón: El Windows, por defecto, está configurado para que oculte la extensión de los ficheros conocidos, con lo cual, ese fichero aparecerá en nuestro sistema como: "tenniswithKournikova.avi" y claro, convencidos de que se trata de una interesante animación, ejecutaremos el fichero... También se nos puede hacer creer que el fichero es una actualización de un programa o una utilidad nueva y muy recomendable de uso, y que en realidad está "preparada" para instalarnos en la máquina un precioso troyano, en éste caso no hará falta usar la técnica de la doble extensión... ;-) Incluso se nos puede "hackear" la máquina mediante alguna Vulnerabilidad del sistema e introducirnos el troyano directamente, sin que notemos nada. En definitiva, la idea es que el usuario a infectar ejecute el fichero para que se instale la parte "servidor" del troyano. La metodología que se usa para ello depende del ingenio del atacante. 2. Asegurando posiciones: En el momento que el troyano es ejecutado, éste modificará el sistema para garantizar su ejecución cada vez que arranquemos nuestro PC, esto es: modificará los ficheros y registros del sistema que crea necesarios para que automáticamente Windows lo ejecute: * SYSTEM.INI: En este fichero suelen modificar la entrada "shell": shell=Explorer.exe (ruta y nombre troyano) Hemos de dejarla así: shell=Explorer.exe * WIN.INI: Aquí las entradas "load" o "run", cualquiera de las dos vale: load= (ruta y nombre troyano) run= (ruta y nombre troyano) Hemos de dejarlas así: load= run= * REGISTRO DE WINDOWS: Este es un tema algo más complicado, ya que una mala modificación del registro del sistema podría provocar que windows no arrancara la próxima vez que encendiéramos el PC. Así que, lo primero que hemos de hacer es visitar: cómo hacer una copia de seguridad del registro de Windows. (por lo que pudiera pasar). En el registro, las claves que se suelen modificar son: Windows 9x/Me/NT/2000: "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run" "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run-" Windows 9x/Me: "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices" "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices-" WinNT/2000: "HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services Remote Administration Service" En estas claves de registro encontramos algunos de los programas que se inician al arrancar Windows y un troyano puede modificar una clave de éstas para garantizar su ejecución cada vez que arranca el sistema. 3. Comunicación con el atacante: Si el troyano se ha ejecutado y se encuentra en memoria, detectará el momento en que nos conectemos a Internet, entonces, existen varias maneras de comunicarse con el(los) atacante(s): * Enviará un mensaje al atacante con la IP y el número de puerto que ha dejado abierto para trabajar. Éste mensaje le puede llegar bien por correo electrónico, bien por MSN, ICQ, o directamente a su IP y un puerto especificado. Depende de la configuración que el programador haya dado al troyano. * Se colocará a la escucha en un puerto determinado a la espera que desde Internet "alguien" reclame su atención. En este caso, el troyano no actúa bajo las órdenes de un individuo, sino que cualquiera que tenga conocimiento de su existencia y funcionamiento puede escanear La Red en busca de rastros de troyanos. Los ficheros "SYSTEM.INI" y "WIN.INI" se encuentran en "C:WINDOWS" y se pueden editar en modo texto desde el Bloc de notas (Notepad) por ejemplo. El registro es accesible desde "INICIO / EJECUTAR" y "REGEDIT.EXE". Fecha edición: .09.2002 Detección y eliminación: ¿Cómo los combatimos? Normalmente el troyano está diseñado para pasar desapercibido y para ocultarse en el sistema infectado, así que se valdrá de las herramientas que el sistema tiene para instalarse y tomar el control. Por lo tanto, nosotros podemos usar "las mismas herramientas" para removerlo de nuestro sistema. Esto hay que aclararlo un poco, y es que, para remover un troyano totalmente del sistema hemos de conocer, a parte de las "zonas" de nuestro PC donde se puede instalar un troyano, qué zonas usará dicho bichejo para infectarnos, pues no todos usarán las mismas. Es correcto pensar que si conocemos todas las secciones de nuestro PC donde un troyano se puede instalar y las revisamos, podemos estar "seguros", pero claro, cabe la posibilidad que el troyano esté dentro de un programa que usamos normalmente y que no lo sepamos. Mejor es que vayamos por partes: 1. Llegada del fichero: Hemos de tener estar alerta con los ficheros que nos llegan de Internet. Ya sea vía e-mail, IRC, MSN, WEB, etc. Antes de permitir instalar nada es mejor escanearlo con un buen antivirus y, en algunos casos, con un buen antitroyanos. Por regla general, y mientras no nos demuestre lo contrario, hemos de desconfiar de cualquier fichero que nos llegue, aunque lo hayamos solicitado, ¡y sobre todo si lleva doble extensión! El primer paso para nuestra protección es ser conscientes de nuestros actos. ;-) 2. Puntos del sistema donde se instala: Pueden darse 2 casos: a) Que el troyano esté dentro de un programa que usamos normalmente y que nosotros no lo sepamos. En este caso pasaremos al punto 3. b) Si es un fichero independiente que se instala y oculta en nuestro sistema, una vez ejecutado el troyano o su instalador, se copiará un fichero (que se llama servidor del troyano) en cualquier parte del disco duro, normalmente en "C:WINDOWS" ó "C:WINDOWSSYSTEM", y modificará algunos puntos para poder ejecutarse cada vez que se inicie Windows. Por ejemplo: * Puede crear un acceso directo en el menú inicio de Windows. * O una entrada en los ficheros de inicio: CONFIG.SYS AUTOEXEC.BAT WIN.INI SYSTEM.INI * O modificar el registro de Windows, dentro de la rama: KEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion las llaves: Run, RunOnce, RunServices y RunServicesOnce. 3. Chequeo del PC: Visto lo anterior, vamos a definir un proceso para chequear nuestro PC, que nos garantice a un 90-95% la limpieza de nuestro sistema. Lo dividiremos en 3 Fases: 1. Revisión manual del PC: - Lo primero de todo, y siguiendo los pasos del guión anterior, si acabamos de instalar un nuevo programa o de haber ejecutado un fichero adjunto, hemos de chequear qué ficheros nuevos se han creado en nuestro sistema: Vamos a :"INICIO Buscar Archivos o carpetas", seleccionamos como nombre de archivo a buscar *.*, marcaremos que busque en todos los discos duros y en fecha, elegiremos la que nos parezca más adecuada: (Si sospechamos de un fichero de hace una semana, pues eso... Si acabamos de ejecutarlo, pues desde el día de hoy). Esto nos sacará un listado de los ficheros que se han creado / modificado a partir de la fecha seleccionada, y dependerá de nosotros el identificar el(los) sospechoso(s). En principio, una foto de un amigo/a no debe provocar la creación de un fichero tipo: "C:WINDOWSSYSTEMMSINIT.EXE" (por poner un ejemplo...).