Troyanos

Índice
Índice
1
Introducción
2
¿Qué son los Troyanos?
3
Partes de un troyano
4
Tipo de Conexión en un troyano y métodos de notificación de IP
4
Clases de troyanos según función
6
Vida de un Troyano
10
Como funciona un Troyano
11
Tipo de Troyanos según lugar donde residen
12
Estrategias de Infección
12
¿Cómo se Oculta un Troyano y se mantiene a salvo?
13
Ingeniería social y troyanos
16
¿Qué es la Cuarentena?
17
¿Cómo se detecta un caballo de Troya?
17
Que extensiones atacan los virus troyanos
20
Listado de virus troyanos
20
Antivirus para Troyanos
22
Porque no se infecta un antivirus
23
Recomendaciones y prevención
23
Glosario de Términos
24
Opinión Personal
36
Conclusión
37
Bibliografía
38
Introducción
Informe Troyanos
1
Debido al creciente uso de Internet, la cada vez más abundante documentación y el paso del tiempo, la cantidad de
objetos informáticos infecciosos y las herramientas para el robo de información y otros cometidos, han aumentado
enormemente. Aumentado también su variación y peligrosidad.
Las avanzadas técnicas de infección espionaje y ocultación, han traído consigo nuevas tecnologías nuevos conceptos,
nuevas herramientas y nuevos perjuicios para el mundo informático.
Dentro de las aplicaciones informáticas los troyanos, han pasado a ser más que un simple término en la jerga
informática, destacándose y convirtiéndose en un tema de gran problemática, muy investigado, controvertido he
interesante.
La portabilidad, la seguridad, la confidencialidad y sucesos sociales, interactúan directamente con este nuevo cuadro
informático, en donde lo que generalmente ocurre no es un hecho fortuito sino el victimizado ha sido parte
fundamental en el éxito de tal suceso.
Existen gran cantidad de formas de infección, gran cantidad de métodos por los cuales estos objetos lograran
ocultarse, protegerse y toda clase de actividad para conseguir su cometido. Es por ello que serán temas obligados
de abordaje y profundización los sucesos sociales y temas informáticos relacionados, para lograr aprender u
entender y así evitar tales contagios.
El método de abordaje de este informe, es de manera informativa en modo de resultados primarios para
investigación o para desarrollo, para ello el trabajo se baso en entender el funcionamiento de un troyano efectivo,
eficiente y –o exitoso, investigando no solo los aspectos superficiales sino también los aspectos internos en el
funcionamiento de este; como técnicas comúnmente utilizadas, tendencias históricas y actuales. En contraposición
la protección por parte de antivirus, herramientas y sistemas de protección de los efectos de estos.
El Abordaje se limita a información teórica, es decir no está destinado para desarrollo o aplicación, sin embargo, se
intenta informar de manera detallada y consistente con material de buenas fuentes.
¿Qué son los Troyanos?
Informe Troyanos
2
Del mismo modo que el caballo de Troya mitológico parecía ser un regalo pero contenía soldados griegos que
dominaron la ciudad de Troya, los troyanos de hoy en día son programas informáticos que parecen ser software útil
pero que ponen en peligro la seguridad y provocan muchos problemas y ponen en riesgo nuestra información
privada.
Se le denomina un caballo de Troya o Troyano a un programa malicioso (malware), capaz de alojarse en
computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar
información o controlar remotamente a la máquina anfitriona, pero generalmente sin afectar al funcionamiento de
ésta.
Un troyano no es de por sí, un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La
diferencia fundamental entre un troyano y un virus consiste en su objetivo final. Para que un programa sea un
"troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una
apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano evita provocar daños porque
no es su objetivo.
Suele ser un programa pequeño alojado y distribuido dentro de una aplicación, una imagen, un archivo de música,
sitios web, plugins u otro elemento de apariencia inocente (no necesariamente de un archivo auto ejecutable), se
instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado comienzan a realizar una función útil,
de modo oculto y por tal motivo los antivirus o anti troyanos no los eliminan, pero internamente realiza otras tareas
de las que el usuario no es consciente.
Estos códigos maliciosos tienen múltiples funcionalidades, algunos funcionan para realizar acciones destructivas y
otros simplemente para espiar y robar información.
Generalmente se utiliza para espiar, software de acceso y administración remota que permite monitorizar lo que el
usuario legítimo de la computadora hace (en este caso el troyano es un spyware o programa espía) y, por ejemplo,
capturar las pulsaciones del teclado con el fin de obtener contraseñas (cuando un troyano hace esto se le cataloga de
keylogger u otra información sensible).
Partes de un troyano
Los troyanos están compuestos principalmente por dos programas: un cliente (es quien envía las funciones que se
deben realizar en la computadora infectada) y un servidor (recibe las funciones del cliente y las realiza, estando
Informe Troyanos
3
situado en la computadora infectada). También hay un archivo secundario llamado Librería (pero que no todos los
troyanos tienen de hecho los más peligrosos no lo tienen) que es necesaria para el funcionamiento del troyano pero
no se debe abrir, modificar ni eliminar para el optimo funcionamiento de este. Algunos troyanos también incluyen el
llamado EditServer, que permite modificar el Servidor para que se adapte al ordenador de la víctima o sea provisto de
las funcionalidades y-o configuraciones que el cracker quiera. Sin embargo no todas las partes de un troyano antes
mencionadas finalmente se instalan en el ordenador de la víctima, siendo solo parte del ordenador solo servidor y
cliente.
Tipo de Conexión en un troyano
Un troyano puede poseer una conexión directa, inversa o mixta sin embargo existen troyanos que trabajan fuera de
línea y su información o reportes pueden ser enviados a un servidor complementario que administra la información
de todos los ordenadores infectados. Los troyanos de conexión directa son aquellos que requieren que el cliente se
conecte al servidor; a diferencia de éstos, los troyanos de conexión inversa son los que hacen que el servidor sea el
que se conecte al cliente; las ventajas de éste son que traspasan la mayoría de los firewall y pueden ser usados en
redes situadas detrás de un router sin problemas (debido a que en un router generalmente es necesario configurar
los virtualserver para poder redirigir correctamente los paquetes e información al puerto indicado y al PC
correspondiente, este es un problema común para un troyano ) . El motivo de por qué éste obtiene esas ventajas es
que la mayoría de los firewall no analizan los paquetes que salen de la computadora infectada, pero que sí analizan
los que entran (por eso los troyanos de conexión directa no poseen tal ventaja); y se dice que traspasan redes porque
no es necesario que se redirijan los puertos hacia una computadora que se encuentre en la red.
La conexión directa del troyano son realizadas por protocolo (tcp) y para ello el cliente siempre requerirá conocer la
dirección IP del servidor, lo cual es un problema en las en ordenadores con direcciones IP dinámicas, por lo cual el
troyano deberá dar a conocer la IP del servidor, para ello el servidor notificara al cliente directa o indirectamente
valiéndose de servicios secundarios.
La conexión inversa del troyano se realiza a través del protocolo (upd) esta conexión tiene la particularidad, que una
vez la víctima se conecta a internet, el servidor troyano llama al cliente, si en ese instante el cliente del troyano se
encuentra activo y operando, automáticamente cliente y servidor estarán conectados.
Métodos de Notificación de IP
Para el caso de los troyanos que requieren de conexión directa estos se valdrán de aplicaciones secundarias o submódulos u otros troyanos para la notificación de su dirección IP, para ello se comunicaran con un servidor destinado
para ello valiéndose de herramientas secundarias como:
Mensajería Instantánea: El troyano se vale de clientes de mensajería instantánea instalados tales como MSN, ICQ,
Yahoo MSN, etc. Y a Través de estos Comunica la IP del ordenador infectado. (ej. troya.Optix)
IRC: En este método muy particular el Troyano notifica la IP del ordenador infectado a una sala de Chat de un
servidor público o privado previamente configurado y definido en el troyano. (ej. sub 7)
Smtp: Este método muy sencillo consiste en una notificación vía correo electrónico a través de una comunicación
directa con un servidor Smtp.
Informe Troyanos
4
Notificaciones Web: Consiste en enviar la dirección IP a una aplicación web, se considera un método muy exitoso.
Dyndns o ddns: Consiste en utilizar un servicio secundario de notificación que se traduce en una IP convertida en un
una dirección de nombre asignada por un dns.
Un troyano es un problema multiplataforma, que también afecta muchas arquitecturas de sistemas diferentes. Se
han detectado troyanos en distintos sistemas operativos Windows, Linux, Mac OS X, etc. Y en arquitecturas tales
como equipos móviles celulares, router, etc. Sin embargo generalmente estos están programados en un lenguaje que
no es multiplataforma o este solo se vale de las vulnerabilidades de un sistema operativo en específico. Se han
detectado troyanos multiplataforma que se valen de vulnerabilidades de maquinas virtuales como es el caso de java.
Figura siguiente: Ejemplo de EditServer También se hace Muestra de los tipos de Notificaciones.
Clases de troyanos según función
Informe Troyanos
5
Troyanos de acceso remoto (Puertas traseras “Backdoors”)
Son el tipo de troyanos más habitual. Tan habituales como peligrosos y dañinos. Establecen una relación clienteservidor entre el PC infectado y el PC del atacante. Para ello necesitan estar instalados en los dos ordenadores. La
parte llamada servidor en el ordenador atacado y la parte llamada cliente en el ordenador atacante. Por medio de
estos troyanos el atacante puede realizar en el PC infectado las mismas acciones que el dueño del PC de manera
visual. Algunas de las funciones que pueden realizar activamente son:
•
•
•
•
•
•
Enviar y recibir archivos
Activar y eliminar archivos
Ejecutar archivos
Mostrar notificaciones
Borrar datos
Reiniciar el ordenador
Troyanos de correo
Este tipo de troyanos tan sólo actúa en modo servidor. Su función principal es la de capturar e informar. El troyano
envía cierto tipo de información como certificados digitales, cookies, documentos confidenciales u otros archivos
para los cuales esta configurado.
Keyloggers
Este tipo de troyano captura toda la información tecleada y la envía a través de algún método de notificación
secundario o un servidor de correo propio. (ftp, Smtp).
Fake Trojans
Muy usados por los hackers en ataques de autentificación para hacerse con claves y nombres. Por medio de estos
Informe Troyanos
6
troyanos el atacante crea en el ordenador de la víctima ventanas o avisos de algún supuesto error. Normalmente se
solicita el nombre y password de la víctima para subsanarlo. Cuando la víctima introduce su nombre y clave el
"problema" se soluciona... y el troyano ya ha capturado ambos elementos y guardado en un archivo al que accederá
más adelante el cliente (se usa para robar contraseñas de msn, Windows etc.) .
Troyanos de FTP
Sólo actúan en modo servidor y permiten una conexión FTP con la máquina infectada, desde la cual se puede tanto
subir como descargar archivos.
Troyanos de Telnet
Funcionan en modo servidor y permiten ejecutar comandos del DOS en el ordenador infectado.
Troyanos de forma
Son troyanos que acceden a datos privados como pudieran ser la dirección IP, usuarios, claves, etc. Envían esos
datos a una Web por medio de una conexión HTTP. (Suelen ser troyanos complementarios.).
Clickers troyanos
Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los
clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde
se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.
Los clickers suelen usarse para:
•
•
•
Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios
Organizar ataques DoS contra el servidor o sitio especificado
Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos
(virus o troyanos).
Descargadores troyanos (Downloaders)
Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima.
Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente,
de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin
su consentimiento.
Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde
determinados sitios web o Internet.
Droppers troyanos
Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los
droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en
un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica
o en un disco local para luego ser ejecutado.
Por lo general los droppers tienen la siguiente estructura:
Informe Troyanos
7
Archivo principal
contiene la "carga útil" del troyano
File 1
primera carga útil
File 2
segunda carga útil
...
el programador puede incluir todos los archivos que desee
El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.
En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración:
chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad
causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.
Los hackers usan estos programas para alcanzar dos objetivos:
1. Ocultar o disimular la instalación de otros troyanos o virus
2. Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes
Proxies troyanos
Funcionan como servidores proxy y proporcionan acceso anónimo a Internet desde los equipos de las víctimas. Hoy
en día estos troyanos son muy populares entre los spammers que siempre necesitan de equipos adicionales para
hacer sus envíos masivos. Los programadores de virus con frecuencia incluyen proxies-troyanos en sus paquetes de
troyanos y venden las redes de equipos infectados a los spammers.
Trojan Spies
Esta familia incluye un variedad de programas espías y key loggers, que monitorean la actividad del usuario en el
equipo afectado y luego envían esta información a su "amo". Los espías troyanos recolectan varios tipos de
información:
•
•
•
•
Textos introducidos por medio del teclado
Capturas de pantalla (screenshots)
Logs de las aplicaciones activas
Otras acciones de los usuarios
Estos troyanos están siendo cada vez más utilizados para robar información bancaria y financiera que pueda servir de
soporte para fraudes en línea.
Informe Troyanos
8
Notificadores troyanos
Estos troyanos envían informes acerca del equipo infectado a su "amo", o cliente. Los notificadores confirman que
un equipo ha sido infectado y envía información sobre la dirección IP, los puertos abiertos, las direcciones de correo
electrónico y otros datos del equipo de la víctima. Esta información se puede enviar por correo electrónico, al sitio
web del "amo", por ICQ y métodos ya antes mencionados.
Por lo general, los notificadores se incluyen en los paquetes troyanos y se usan solamente para informar al "amo" que
el troyano ha sido instalado con éxito en el equipo de la víctima.
Rootkits
Un rootkit es una colección de programas usados por un hacker para evitar ser detectados mientras buscan obtener
acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o
instalando un módulo de kernel. El hacker instala el rootkit después, obteniendo un acceso similar al del usuario: por
lo general, crakeando una contraseña o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta
conseguir el acceso de raiz o administrador.
A pesar de que el término tiene su origen en el mundo de Unix, ha sido usado para denominar las técnicas utilizados
por los autores de troyanos para Windows. El uso de rootkits para enmascarar las actividades de los troyanos está
creciendo, ya que muchos de los usuarios de Windows ingresan al sistema con credenciales de administrador.
"Bombas" para compresores de archivos
Estos troyanos son archivos comprimidos programados para sabotear al programa de descompresión cuando éste
intente abrir el archivo comprimido infectado. El equipo víctima puede ralentizarse o colapsar cuando la bomba
troyana explota, o el disco duro se puede llenar de datos sin sentido. Las ArcBombs representan un especial peligro
para los servidores, sobre todo cuando los datos entrantes son procesados de forma automática. En casos como éste,
una ArcBomb puede hacer que el servidor colapse.
Hay tres tipos de ArcBombs: los que contienen un encabezamiento incorrecto, datos repetitivos o varios ficheros
idénticos en el archivo.
Un encabezamiento incorrecto, o la presencia de datos corruptos pueden causar que el programa de descompresión
colapse cuando intente abrir y descomprimir el archivo infectado.
Un archivo grande que contiene datos repetitivos puede ser comprimido en un archivo diminuto: 5 gigabytes pueden
convertirse en 200KB si se usa RAR y en 480 KB si se usa ZIP.
Además, existen tecnologías especiales que permiten empaquetar un enorme número de archivos idénticos en un
solo fichero sin afectar significativamente el tamaño del archivo en sí mismo: así, es posible empaquetar 10100
archivos idénticos en un archivo RAR de 30 KB o en un ZIP de 230 KB.
Vida de un Troyano
Al igual que los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son
erradicados completamente, el troyano también posee, pero de manera distinta.
Informe Troyanos
9
Creación
La creación del troyano es la face de desarrollo de la aplicación no obstante cabe destacar que quien lo crea no será
el usuario final o usuario único. Además la face de desarrollo no tiene directa relación con el uso final que le dé el
usuario. De tal manera que no siempre es utilizado para lo que se hizo. Esta face de desarrollo puede ser intervenida
o retomada por la descompilación del código de un tercero.
Gestación
Después de que el virus es creado, el programador hace copias asegurándose de que se diseminen. Generalmente
esto se logra infectando un programa popular y luego enviándolo a un BBS o distribuyendo copias en oficinas,
colegios u otras organizaciones. No obstante el troyano no posee esta característica en sí y así ocurre es porque un
virus o una persona se encarga de ello.
Reproducción
Se reproducen naturalmente, un virus bien diseñado se reproducirá por un largo tiempo antes de activarse, lo cual
permite que se disemine por todos los lados. Esta es característica que el troyano posee para protegerse pero solo es
a nivel local de ordenador.
Activación
La activación de un troyano es inmediata o bajos ciertas condiciones, cada cierto tiempo o de forma aleatoria
(ramdom), o determinadas fechas.
Descubrimiento
Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un troyano, se envía al
International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de
desarrollar los productos antivirus. El descubrimiento normalmente, ocurre por lo menos un año antes de que el virus
se convierta en una amenaza para la comunidad informática.
Asimilación
En este punto, quienes desarrollan los productos antivirus, modifican sus programas para que estos puedan detectar
los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de quién lo desarrolle y el tipo de virus.
Eliminación
Sí suficiente cantidad de usuarios instalan una protección antivirus actualizada, puede eliminar cualquier virus. Hasta
ahora ningún virus ha desaparecido completamente pero han dejado de ser una amenaza. En el caso del Troyano
seria según el caso.
Como funciona un Troyano
Una vez descargado el archivo infectado y ejecutado el mismo, el troyano comenzara a funcionar y quedara instalado
en el sistema, el contenido de esta instalación puede ser de uno o más troyanos que trabajaran en conjunto o por
separado.
Un troyano se vale de una serie de herramientas u otros troyanos para funcionar y estar oculto, como por ejemplo
un troyano rootkits el cual cumplirá la función de falsear la información proporcionada a un antivirus, de parte del
sistema operativo, como un listado de procesos falsos, falsa información de registro, etc.
Informe Troyanos
10
Consecuencia de la instalación de un troyano uno o más archivos son copiados en unidades físicas por lo general en
directorios de Windows, Windows/system, Windows/system32 en el caso de los troyanos que afectan a este sistema
operativo, como también modificaciones del registro de Windows y en algunos casos uno o más servicios son
levantados. El troyano agrega entradas para iniciar con el pc en ubicaciones y archivos como:
HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
system.ini
Msconfig
Como resultado de su instalación operación y conexión, un troyano quedara en modo puerto escucha, por lo cual en
consecuencia de ello y sin que un rootkits no falsee la información o lo impida, su conexión será advertida lo cual será
visualizado fácilmente a través del comando netstat –an .
Tipo de Troyanos según lugar donde residen
Parásitos: estos infectan ficheros ejecutables o programas de la computadora. No modifican el contenido del
programa Huésped, pero se adhieren a él de tal manera que el código del virus se ejecuta en primer lugar. Estos virus
pueden ser de acción directa o residentes. Un virus de acción directa selecciona uno o más programas para infectar
cada vez que se ejecuta. Un virus residente ocupa en la memoria de la computadora e infecta un programa
determinado cuando se ejecuta dicho programa.
Del Sector Arranque Inicial: estos residen en la primera parte del disco duro o flexible, conocido como sector de
arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas
que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio físico de discos flexibles.
Multipartitos: estos combinan las capacidades de los virus parásitos y del sector arranque inicial, y pueden infectar
tanto ficheros como sectores de arranque inicial.
Acompañantes: estos no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un
programa legítimo y engañan al sistema operativo para que lo ejecute.
De vinculo: estos modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que lo
ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede aceptar todo el directorio de una
computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus.
De fichero de dato: estos pueden infectar programas que contienen programas de macro potentes que pueden abrir,
manipular y cerrar fichero de datos. Están escritos en lenguaje de macros y se ejecutan automáticamente cuando se
abre el programa legítimo. Son independientes de la máquina y del sistema operativo.
Estrategias de Infección
Añadidura o empalme:
Informe Troyanos
11
El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de
manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute
sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo
que permite su fácil detección.
Inserción:
El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo
no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este
método.
Reorientación:
Es una variante del anterior. Se introduce el código principal del Troyano en zonas físicas del disco rígido que se
marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al
ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser
bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con rescribir los
sectores marcados como defectuosos.
Polimorfismo:
Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo
ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del
código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse
el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una
variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus.
Sustitución:
Es el método más tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo
deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de
forma que creamos que el problema es del archivo.
¿Cómo se Oculta un Troyano y se mantiene a salvo?
Uno de los métodos que usa un troyano para ocultarse mientras funciona bajo un sistema son los llamados métodos
criptográficos ello consiste en alterar uno o varios archivos ya sea para insertar su código sustituirlo o verificación de
polimorfismo y encriptarlos nuevamente con el sistema de cifrado predeterminado del archivo, algunos de los
métodos de encriptado de estos ficheros son CryptApi, RC4, MD5, SHA, etc.
Otro de los métodos que se vale un troyano para protegerse son las llamadas técnicas anti-debugger (Antidepuración), estas consisten en limitar o anular la capacidad de depuración del archivo infectado o la totalidad del
Informe Troyanos
12
sistema; la depuración es el proceso de reparación de errores de un archivo o sistemas la cual se vería afectada con
esta acción del troyano o sus partes.
Modificando offset's del archivo esto consiste en modificar partes binarias del código de un programa con códigos
aleatorios manteniendo o cambiando el tamaño del archivo final conservando su funcionalidad los offset’s son zonas
modificables como por ejemplo el fin de un archivo.
Killers: Herramientas mata proceso de forma al parecer vigente en la actualidad se encuentra Av-firewall Killer, que
ha sido testiado con Nod32, Kaspersky, Norton, Ad-Aware, Ccleaner, System Mechanic, Algunos firewall y más y
funciono exitosamente y denegando el levantamiento de los procesos de estos programas.
Para mantenerse oculto y a salvo, un troyano recurrirá a muchas técnicas, las cuales le aseguraran o aumentaran sus
posibilidades de residencia permanente. Existen una gran cantidad de técnicas que ocupan algunos troyanos a
continuación se mencionan algunas de ellas:
*Anti-Debugger
*Anti-Sandboxie
*Anti-virtualpc
*Realig Sections
Informe Troyanos
13
*Anti-IDA Debugger
*Anti-CWSandbox
*Anti-Norman Sandbox
*Anti-Anubis
*OEP Stolen Bytes (Enhanced)
*Checksum CRC
*Anti-OllyDbg
*Anti-ThreatExpert
*Anti-JoeBox
*Anti-VMWARE
*Anti-VirtualBOX
*Anti-Debugger2
*Overlay support (EOF Data)
*Sleep Sec. Run program after x Seconds.
*Exceptions (0 to 1000)
*Get All Privileges
*Change Icon (Enhanced)
*OEP Stolen Bytes (Enhanced)
*Anti Virtual Machine (Max) = Heuristic
*Anti-SunBelt Sandbox
*Anti Deep-Freeze
*Anti-Returnil Vistual System
*Anti-Malware Defender
*Anti-Wine(Linux)
*Anti-Xen Virtual Machine
*Password Protect
*Execute With Command Line (parameters)
*UnHook All API
*Anti-Attach Loader (Protect RDG Loder)
*Execute as NT AUTHORITY\SYSTEM
Informe Troyanos
14
Ingeniería social y troyanos
La Ingeniería social es parte importante de un virus troyano y forma parte de en el proceso de infección y vida de un
virus o programa troyano y es parte importante en el éxito de infección de este objeto. Es por ello que se ara
mención a ello a continuación:
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través
de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores
privados, criminales, o delincuentes computacionales (mejor conocidos como Script Kiddies o Defaces, aunque el
termino correcto es cracker) para obtener información, acceso o privilegios en sistemas de información que les
permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la
práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, pretendiendo, por
ejemplo, ser un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente.
Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas
web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información
sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia
natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles
financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los
sistemas informáticos.
Informe Troyanos
15
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del
sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet
frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de
"crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama
phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no
divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los
administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para
llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada
por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus
contraseñas a cambio de un bolígrafo barato.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo,
por ejemplo, fotos "intimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente
provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la
víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros e-mails maliciosos llevaron a los
proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos
archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi
ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas
computacionales.
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y
asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería
social se basa en estos cuatro principios:
1.
2.
3.
4.
Todos queremos ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
¿Qué es la Cuarentena?
La Cuarentena es un área especial y protegida de NAV. Los archivos colocados en Cuarentena no pueden interactuar
con el resto del sistema. Si los archivos en Cuarentena están infectados, entonces el virus, gusano o caballo de Troya
no pueden propagarse. Esto significa que si un archivo infectado forma parte de un programa legítimo, entonces
dicho programa no tendrá acceso al archivo en cuarentena. El programa puede o no funcionar correctamente,
dependiendo de la función del archivo colocado en cuarentena.
Desde la Cuarentena, se puede enviar un archivo directamente al centro de revisión del antivirus instalado a través
de la internet, utilizando la opción “Analizar y enviar”.
El centro de revisión del antivirus determinará si el archivo enviado está infectado. Si el archivo no está infectado, se
Informe Troyanos
16
le enviará un reporte de los resultados. Si se descubre un nuevo virus en su envío, entonces crearán y le enviarán
archivos de definiciones de virus actualizadas, para detectar y eliminar el nuevo virus en su equipo.
Además de los archivos en cuarentena, se almacenan otros dos grupos de elementos:
•
•
Elementos de respaldo. Para seguridad de los datos, se está configurado de forma predeterminada para
realizar una copia de respaldo de un archivo antes de intentar repararlo. Estas copias de respaldo se
almacenan en Cuarentena. Después de verificado el archivo reparado, puede borrar el elemento infectado de
Cuarentena.
Los archivos enviados para su análisis se encuentran aislados. Después de recibir los resultados del análisis.
¿Cómo se detecta un caballo de Troya?
Detectar un caballo de Troya es relativamente fácil si provees a tu sistema de los mejores servicios de seguridad, si no
detectarlo puede ser una tarea realmente difícil. La mayor parte de los métodos de detección descansan sobre los
principios llamados "object reconciliation", que trabajan de la siguiente forma: "objects" son los ficheros y
directorios, "reconciliation" es el proceso de comparación de esos objetos antes y después de una fecha
determinada.
Este método es simple y consiste en testear la integridad de los ficheros para así detectar cambios en la información
que contenían. Se examina el rango de integridad de los diferentes ficheros de forma primitiva pero sofisticada. Por
ejemplo: tu puedes testear la integridad de cualquier fichero siguiendo alguno de estos casos:
- La última fecha ha sido modificada
- La fecha de creación del fichero
- Tamaño del fichero.
Desafortunadamente, todos estos métodos son insuficientes.
Cada vez que un fichero es alterado sus variables cambian. De cualquier manera esa fecha puede ser manipulada
fácilmente. Examinar las manipulaciones en los programas del PC, ¿es muy difícil? Cambiar la hora del sistema, editar
ficheros y archivar ficheros son acciones que cambian la hora. Por esa razón es difícil comparar ficheros tomando en
cuenta la fecha.
Otra forma de chequear la integridad de un fichero es examinando su tamaño. De cualquier forma ese método es
extremadamente irrealizable porque el tamaño es un valor fácilmente modificable. Es fácil comenzar un fichero con
tamaño de 1,024KB y terminarlo con el mismo tamaño, incluso después de editarlo. Aun así, este proceso es más
complejo cuando se alteran ficheros binarios. Aunque, estos ficheros casi siempre implican la inclusión de funciones
especiales de librerías sin las cuales el programa no funcionaría. Por lo tanto manteniendo las funciones
indispensables del programa , se puede encontrar la ubicación del código del caballo de Troya.
Informe Troyanos
17
El caso más fácil es aquel en el que el caballo de Troya modifica ficheros clave en el sistema (por ejemplo csh en UNIX
o el command.com en DOS). Estos ficheros fueron instalados inicialmente en el PC y tienen una fecha y tamaño
determinados. Por tanto es fácil comprobar si han sido modificados.
Los programadores de caballo de Troya saben esto. Por lo tanto su trabajo es examinar el código fuente de esos
ficheros y comprobar que hay en ellos que sea imprescindible, los crackes podrían borrar comentarios y texto que no
fuese esencial en el fichero, introducir el código desautorizado y recompilar el fichero. El cracker examina el tamaño
del fichero, si es más o menos largo se pueden comenzar el proceso otra vez hasta que el tamaño coincida con el
original. Esto hace pensar que no hay ninguna técnica suficiente. Pero existe una técnica bastante potente, que
implica el uso de distintos algoritmos que calculan los "digital fingerprint". Esta técnica está basada en una de las
implementaciones más populares de algoritmos de seguridad: el sistema llamado MD5.
- SHA(The Nist Secure Hash Algorithm): Es muy fuerte y fue usado en sistemas de defensa. Por ejemplo el
Departamento de Defensa exigía a todos los controladores de sistemas DoD que adquiriesen el Multilevel
Information System Security Initiative (MISSI) y que sólo usase productos "limpiados" con él. SHA es usado en uno de
los productos de búsqueda de caballos de Troya llamado Fortezza card, es una tarjeta PCMCIA que proporciona una
capa extra de seguridad en los envíos de email desde DoD.
MD5 pertenece a una familia de funciones llamadas " message digest algorithms". El sistema MD5 está definido en
RFC 1321. Cuando se ejecuta un fichero a través de MD5, sale un "fingerprint" con un valor de 32-caracteres.
Parecido a esto:
2d50b2bffb5357fcch48g54g84g18784
Muchos sitios web que distribuyen software UNIX usan MD5 para generar fingerprint digitales para sus productos.
Luego el navegador puede examinar el fingerprint original de cada fichero. Si descargas un fichero desde un servidor
y encuentras un ficngerprint digital diferente hay un 99.9999% de que haya habido un cambio en el contenido del
fichero.
Algunos programas de seguridad extrema usan algoritmos MD4 y MD5. Uno de esos programas son S/Key de Bell
Laboratories. S/Key genera un password y es usada por logins remotos. S/Key ofrece seguridad avanzada para
sesiones remotas (del tipo de conexiones Telnet o Rlogin).
Sin o con MD5buscar caballos de Troya es un proceso complejo. Es verdad que en una estación de trabajo con
recursos limitados, técnicamente se pueden comparar a mano cada fichero y directorio. A pesar de ello en grandes
estaciones de trabajo en red eso es simplemente imposible. Existen varios productos que han sido desarrollados para
usar "object reconciliation". El producto más reclamado es una aplicación de nombre "TRIPWIRE"
Tripwire
Fue escrito en 1992, es una herramienta externa sobre la integridad de ficheros. Está bien definido, es fácilmente
entendible y está implementado con una mínima dificultad.
El sistema lee el entorno desde un fichero de configuración. Ese fichero contiene todas las variables de los ficheros.
Este sistema puede ser bastante penetrante. Por ejemplo: puedes especificar que cambios pueden ser realizados en
Informe Troyanos
18
los ficheros y Tripwire mantendrá un fichero de los cambios. Este fichero original se guarda sin case de datos,
simplemente en ASCII, y se accede cuando necesita ser calculado un posible cambio. Las funciones hash incluidas en
la distribución son:
- CRC 32: este método hash es llamado chequeo cíclico redundante. CRC general es usado para chequear la integridad
de los ficheros empezando por la transmisión. Al comienzo de la transmisión el fichero está dividido en pequeñas
partes las cuales tienen el tamaño predeterminado. Para cada parte se genera un valor criptográfico justo antes de
ser enviado. Cuando cada parte llega a su destino el receptor recalcula el valor criptográfico. Si los dos valores
coinciden no se ha producido ningún error, sino significa que los datos han sufrido una modificación. CRC32 es una
mejora de CRC, está en 32 bit y a menudo se usa para chequear la integridad de ficheros.
ATP (The anti-tampering program)
ATP trabaja como Tripwire: asume que tienes una configuración perfecta y limpia y genera unos números de chequeo
cobre el entorno, los cuales guardará para comprobar los cambios que pueden aparecer en los ficheros.
Que extensiones atacan los virus troyanos
Al hablar de las extensiones que ataca un virus troyano tienen a confundirse las extensiones de propagación he
infección del troyano con las extensiones en las cuales reside para su ejecución vale destacar que generalmente estas
son distintas pero siempre cuando de virus y troyanos se trata hay excepciones a casi cualquier regla u estándar.
Algunas de las extensiones por las cuales el virus se distribuye son:
MP3, BMP, WMV, EXE, BAT. (Por lo general extensiones que pueden ser leidas o ejecutas).
Algunas de las extensiones por las cuales el troyano funciona de manera parasitaria o indepensiente son:
PIF, SRC, DLL, EXE, BAT,VBS, COM.
Cabe destacar que los archivos por los cuales comunmente se distribuye son archivos de datos (tales como: DOC,
TXT, XLS, RTF, MDB, etc.) y funciona por accion residente, independiente o parasitaria en archivo de tipo ejecutables
(tales como EXE, COM, BAT, DLL, etc.).
Listado de virus troyanos
Troyanos actuales disponibles para descarga, configuración y envió (Actualizado: 07/03/09):
Shark 3.1 Fixed
Bifrost 1.2b Private Build
Bifrost 1.2.1 Unpacked
Informe Troyanos
19
Bifrost 1.2.1 en Español
Bifrost 1.2b
Bifrost 1.2d --RCBF V1.3.3
Biodox v1.0 OpenSource Edition Flux V1.0.1 Poison Ivy 2.1.4 version privada
Poison Ivy 2.3.2
Poison Ivy 2.3.0
Poison Ivy 2.3.2 Mod - Bypass Connection Limit
Jumper trojan 3.7 Spy Net RAT 0.1 --Spy Net RAT 0.2
Spy Net RAT 0.3 EN
Spy-Net RAT 1.0
Turkojan 4
DarkLabel 1.0 B4
Bandook 1.35 Troyano bancario
PaiNRAT 0.1 Beta --Pinch 3 Pro Builder
Octopus v0.1 Demo Breaksoft Troyanos históricos:
Nombre
Alias del autor
Creación
[editar]
[editar]
[editar]
Comentarios [editar]
Back Orifice
Sir Dystic
1998
Troyano de puerta trasera
Back Orifice 2000
Dildog
1999
Sucesor de Back Orifice
Bifrose
KSV
2004
Destructivo troyano TCP
NetBus
Carl-Fredrik Neikter
1997
Troyano TCP
Subseven
MobMan
1999
Troyano TCP
RemoteHak
Hakka
***
Troyano TCP
Abacab
***
***
Abware.F
Downloader-EV
***
2006
***
Pest Trap
***
2005
***
Poison Ivy
***
2007
***
Informe Troyanos
20
Antivirus para Troyanos
Existen software anti-troyanos dedicados y no dedicados ello quiere decir que existen software dedicas
exclusivamente a la búsqueda y eliminación de troyanos y otros no tantos llamados genéricos.
Listado de Antivirus genéricos (ello quiere decir que no buscan exclusivamente la detección de archivos troyanos):
Eset Nod32
Symantec Norton Antivirus
Panda Software
Kaspersky
Informe Troyanos
McAfee Enterprise
Avast
21
Las herramientas anti troyanas no son muy extendidas, o muy poco conocidas pero no por ello menos eficientes
Algunos Anti-troyanos son:
BoDetect 3.5, Trojan Remover 6.7.8, Tauscan 1.66 build 1212 , The Cleaner Professional 5.2, TrojanHunter 4.7, asquared Anti-Malware 4.0.0.73, Trojan Defense Suite (TDS-3) 3.2.1 , DieHard Trojan Cleaner 1.0, Anti-Trojan Shield
1.4.0.15, Anti-Trojan Shield 1.4.0.15, etc.
Porque no se infecta un antivirus
Un antivirus no se infecta debido a que posee herramientas para la verificación de integridad de el mismo, es decir
verifica datos como su timeofdat y otras variables de su archivo, también verifica la integridad de sus archivos a
través de firmas digitales en sus archivos, hash deacuerdo a las variables y propiedades, tales del
archivo(generalmente a través de la encriptación con métodos como md5,SHA-1, Tiger, u otro), verificas sus
variables y configuraciones de sistema etc. Que por lo general son iniciadas al iniciar el ordenador. Verifica sus EOF y
procede a su depuración generalmente.
Recomendaciones y prevención
1.- Tener un antivirus actualizado al dia (hay muchos gratuitos).
2.- Actualizar nuestro sistema operativo y programas de sus posibles vulnerabilidades criticas, estas actualizaciones
realizarlas de los sitios oficiales, nunca por email desconfié de estas actualizaciones.
3.- En su gestor de correo electronico desactive la vista previa.
4.- Ver los correos electronico en formato texto evitara algun susto, muchos correos en formato html pueden tener
codigo malignos.
5.- Si recibe un correo sospechoso o no deseado, desconfie siempre de el.
6.- Cuando reciba un mail con un fichero adjunto no lo ejecute hasta que no le pase un antivirus actualizado, si el
adjunto es de un correo de un desconocido tenga mas precaución (lo recomendable es borrarlo).
7.- Muchos correos simulan ser actualizaciones, desconfié también de ellos. En la actualidad pocas casas de software
hacen esto, lo mas logico es que le manden un dirección oficial para que se descargue la actualización.
8.- Hay correos que simulan ser enviados por nuestros amigos (su maquina puede estar infectada y manda correos con
virus a su libreta de direcciones), si este mail no lo esperaba o hace referencia a temas que desconoce no se fie,
contacte primero con su amigo para poder verificar este envio.
9.- Tener un gestos de correo con funciones anti-spamn o con filtros/reglas para que borre directamente del servidor el
correo no deseado o que sobrepasa de ciertos tamanos.
Informe Troyanos
22
10.- Estar al dia o si ve noticias referentes a un nuevo "brote" de algun virus muy peligroso ponga un poco de atencion
para conocer su metodo de actuacion de esta forma puede evitar que la cadena sea mas grande y librarse de estos
parasitos que inundan la red.
11.- Si puede instalar un cortafuegos en su maquina tambien evitara algun gusano que usa tecnicas de vulnerabilidades
de sistemas.
12.- Hay virus que tambien usan como metodo de contagio los programas P2P, tenga cuidado con lo que se baja y
siempre verifique los archivos antes de ejecutarlos.
Glosario de Términos
Acceso remoto:
Acción de usar una máquina a la que no tenemos acceso físico mediante una utilidad o programa para este fin. El
motivo más común para realizar esta acción es administrar los recursos de un sistema remoto. Esta mecánica no es
adecuada, y por lo tanto no debe ser confundida con, compartir archivos o transferirlos entre sistemas.
La mecánica más común para esta actividad es mediate una VPN (Virtual Private Network o Red Privada Virtual).
Entre los programas usados para este fin tenemos: RealVNC, TightVNC, PCAnywhere y la opción de "escritorio
remoto" del NetMeeting.
ActiveX:
Tecnología diseñada por Microsoft para el intercambio de información entre dos aplicaciones diferentes. Surgió de la
combinación de dos tecnologías previas, OLE (Object Linking and Embedding - Inserción y vinculación de objetos) y
COM (Common Object Model - Simulación de objetos comunes).
Esta tecnología tiene varios usos prácticos, entre ellos, los ActiveX Controls (Controles ActiveX).
Adjunto:
Archivo o fichero vinculado a un correo electrónico. Puede ser un texto, un gráfico, un sonido o un programa.
Administrador:
1. Persona que se encarga de la gestión de equipos y redes en una determinada organización.
2. Usuario principal de Windows en los sistemas basados en el núcleo NT, entre los que encontramos Windows
2000, Windows XP y Windows 2003. Este usuario tiene, por defecto, los más altos privilegios a los que una
persona puede acceder en condiciones normales.
Adware:
1. Programa que es licenciado al usuario a condición de que acepte la publicidad que viene incorporada en vez
de pagar por el.
Informe Troyanos
23
2. Tipo de spyware que recolecta información del usuario sin notificación previa a fin de mostrar publicidad
específicamente relacionada con determinadas actividades. Esta publicidad suele mostrarse al usuario
mediante el uso de un navegador.
La segunda acepción es la distorsión que diversas empresas hicieron de un sistema legítimo de distribución de
software de forma gratuita.
Entre los primeros programas que popularizaron esta mecánica, la original no distorsionada, tenemos al navegador
Opera y al gestor de desargas GetRight.
Agujero de Seguridad: Un agujero de seguridad, o una vulnerabilidad, es un error en una aplicación o sistema
operativo por el cual se compromete de alguna manera la seguridad del equipo donde se está ejecutando dicho
programa vulnerable.
Si un usuario malicioso se aprovecha de un agujero de seguridad, puede causar graves daños en un equipo,
dependiendo el alcance de la vulnerabilidad.
Alpha:
1. Una de las primeras versiones de un programa antes de alcanzar el nivel estable de lanzamiento al público en
general. Las versiones alpha (alfa) de los programas no deben ser usadas por personas que no sepan mucho
del sistema operativo y del programa en si mismo ya que pueden ocasionar comportamientos extraños e
impredecibles.
2. Evolución de la sere VAX de DEC, su desarrollo dió paso a los SPARC
Analisis Heuristico:
Sistema de análisis basado en la suposición de comportamientos en vez de contrastar fragmentos de código con
patrones previamente conocidos como nocivos.
El análisis heurístico aplicado a antivirus busca nuevas especies de virus que se comporten de forma no preestudiada
en especies anteriormente encontradas, permitiendo así, detectar nuevos virus antes de que se expandan y
distribuyan por las redes.
Esta mecánica es útil para prevenir infecciones desconocidas, sin embargo, debe usarse con cuidado ya que aumenta
las falsas alrmas de los antivirus. Como usuario, al encontrar un aviso de un archivo infectado con un tipo de virus
desconocido o nuevo, debemos enviarlo a la empresa del antivirus para que lo analicen adecuadamente y si
realmente es un virus, desarrollen la forma de limpiarlo.
Antirastreo:
(En inglés Anti-debug/Anti-debugger) Se trata del conjunto de técnicas que los diseñadores de virus emplean para
evitar ser investigados.
Anti-Spyware: Es un programa desarrollado para el ámbito de la seguridad informática, el cual protege a los usuarios
de programas maliciosos, tales como (Spywares, Adwares, Hijackers, entre otros Malwares), que voluntaria o
involuntariamente se instalan en la computadora, detectándolos y eliminándolos de la misma.
Informe Troyanos
24
Antivirus: Los antivirus son programas cuya función es detectar y eliminar virus informáticos y otros programas
maliciosos (a veces denominados malware).
Básicamente, un antivirus compara el código de cada archivo con una base de datos de los códigos (también
conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla periódicamente a fin
de evitar que un virus nuevo no sea detectado. También se les ha agregado funciones avanzadas, como la búsqueda
de comportamientos típicos de virus (técnica conocida como heurística) o la verificación contra virus en redes de
computadores.
Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos
los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy común que tengan componentes que
revisen los adjuntos de los correos electrónicos salientes y entrantes, así como los scripts y programas que pueden
ejecutarse en un navegador web (ActiveX, Java, JavaScript).
Archivo Hosts:
Es un archivo de texto que se utiliza para resolver nombres de dominio en direcciones IP de forma local, es decir, una
libreta de direcciones. Fue concebido en tiempos en que sólo había unos pocos dominios que se enviaban en una lista
(archivo hosts) todos ellos con sus respectivas Ips y para resolver nombres de dominio en redes locales (LAN).
ASCII:
(American Standard Code for Information Interchange) Estándar Americano para el intercambio de información
electrónica. Normativa por la cual se estandariza la codificación de caracteres alfanuméricos. Código utilizado por los
ordenadores para representar los caracteres más habituales, como las letras, los números, los signos de puntuación o
los caracteres de control. El conjunto universal cuenta con 128 caracteres representadas por un dígito binario de 7
posiciones.
Auditoría:
Proceso sistemático, independiente y documentado para evaluar de manera objetiva las prestaciones de un sistema
con el fin de determinar e que se cumplen los requisitos previamente especificados por la norma, política o regla
contra la que se audita.
Autenticación:
A) Procedimiento de comprobación de la identidad de un usuario.
B) Servicio de seguridad que se puede referir al origen de los datos o a una entidad homóloga. Garantiza que el origen
de datos, o entidad homóloga, son quienes afirman ser (ISO 7498-2).
Backdoor: Puerta trasera. Permite a un usuario aislado ingresar sin autorización a otros sistemas por medio de la
instalación de un sistema de acceso considerado virus, permite revisar datos, borrar archivos, infectar con otro tipo
de virus, todo esto sin que el usuario este enterado de lo que sucede en su ordenador.
BHO: (Browser Helper Objects) El usuario descarga un software malicioso en apariencia inofensivo que se instala (el
usuario acepta un largo contrato a través del cual permite al atacante efectuar cualquier acción en su ordenador sin
opción a reclamar) en su propio sistema.
Informe Troyanos
25
Una vez ha instalado la aplicación, el programa puede detectar, analizar y enviar de vuelta al fabricante (atacante)
toda la información que se procese en nuestro explorador.
Bit:
Binary digit) Es la unidad más pequeña de la información digital con la que trabajan los sistemas informáticos, puede
tener dos estados "0" o "1". La unión de 8 bits da lugar a un byte.
Blindaje:
(En ingés Armouring) Técnica de autoprotección utilizada por algunos virus para impedir que los programas de
depuración puedan abrir los ficheros infectados y analizar su contenido.
Bot:
Tipo de troyano con el que el atacante se hace con el control de nuestro ordenador, habitualmente para atacar a
otros ordenadores (lanzar ataques de denegación de servicios en forma distribuida, enviar correo electrónico no
solicitado, etc.)
Los bots son propagados a través de Internet empleando un gusano como transporte, envíos masivos de ellos a
través de correo electrónico o aprovechando vulnerabilidades en navegadores.
Browser Hijackers: (Secuestradores del Navegador) Son los programas que procuran cambiar la pagina de inicio y
búsqueda y/o otros ajustes del navegador. Estos pueden ser instalados en el sistema sin nuestro consentimiento al
visitar ciertos sitos web mediante controles ActiveX o bien ser incluidos por un troyano.
Búfer:
Área de la memoria que se utiliza para almacenar datos temporalmente durante una sesión de trabajo.
Bug: Un error de software (computer bug en inglés), es el resultado de una falla de programación introducida en el
proceso de creación de programas de ordenador o computadora (software).
El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación,
pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870
Byte:
Es una unidad que mide la cantidad de información, tamaño y capacidad de almacenamiento. Un Byte, equivale a 8
Bits.
Certificado digital:
Documento digital mediante un sistema seguro de claves administrado por una tercera parte de confianza, la
autoridad de certificación, que permite a las partes tener confianza en las transacciones en Internet, garantizando la
identidad de su poseedor en Internet.Permite realizar un conjunto de acciones de forma segura y con validez legal:
firmar documentos, entrar en lugares restringidos, identificarse frente la administración, etc.
Código:
Contenido de los ficheros de un virus -código del virus, escrito en un determinado lenguaje de programación-.
También hace referencia a los sistemas de representación de información.En sentido estricto, puede definirse como
Informe Troyanos
26
conjunto de normas sistemáticas que regulan unitariamente una materia determinada, o combinación de signos que
tiene un determinado valor dentro de un sistema establecido.
Código malicioso:
(En inglés Malware) Software capaz de realizar un proceso no autorizado sobre un sistema con un deliberado
propósito de ser perjudicial. Virus, gusanos, troyanos son algunos ejemplos de código malintencionado.
Contraseña: Una contraseña (password en inglés) o clave, es una forma de autenticación que utiliza una información
secreta para controlar el acceso hacia algún recurso. La contraseña normalmente debe mantenerse en secreto ante
aquellos a quien no se les permite el acceso. Aquellos que desean acceder a la información se les solicita una clave, si
conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso.
Cortafuegos: Se trata de un mecanismo de protección, el cual puede ser construido mediante software, hardware o
ambos. Su función es proteger un equipo o conjunto de ellos mediante el análisis de paquetes de datos entrantes y
salientes.
Existen Cortafuegos que trabajan directamente a nivel de puertos de comunicaciones, permitiendole al usuario
autorizar o no la utilización de éstos por parte de aplicaciones o servicios.
Otros, utilizan reglas para determinar que información debe transitar desde y hacia el equipo en cuestión.
Actualmente es considerado como uno de los medios mas seguros para la protección de equipos dada su alta
dificultad de evasión por parte del atacante.
Cracker: Un cracker es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un
hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para
hacer daño a su objetivo.
El término deriva de la expresion "criminal hacker", y fue creado alrededor de 1985 por contraposicion al termino
hacker, en defensa de estos últimos por el uso incorrecto del término.
Se considera que la actividad de esta clase de cracker es dañina e ilegal.
También se denomina cracker a quien diseña o programa cracks informáticos, que sirven para modificar el
comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto
pretenda ser dañino para el usuario del mismo. Esta acepción está más cercana al concepto de hacker en cuanto al
interés por entender el funcionamiento del programa o hardware, y la adecuación a sus necesidades particulares,
generalmente desarrolladas mediante ingeniería inversa.
No puede considerarse que la actividad de esta clase de cracker sea ilegal si ha obtenido el software o harware
legítimamente, aunque la distribución de los cracks pudiera serlo.
Criptografía:
a) Diseño de procedimientos para cifrar los mensajes, de forma que si son interceptados no se pueda saber su
contenido.
Informe Troyanos
27
b) Disciplina que estudia los principios, métodos y medios de transformar los datos con objeto de ocultar la
información contenida en los mismos, detectar su modificación no autorizada y prevenir su uso no permitido.
Cuarentena: Una función de protección de nuestro ordenador que nos permite dejar sin efecto a archivos que
puedan estar infectados, hasta que nuestros sistemas de seguridad tengan una nueva actualización para poder
desinfectarlos.
DDoS:
(En inglés DDoS, Distributed Denial-of-Service) No se debe confundir con DOS (Disk Operating System).
Un ataque de Negación de servicio (DDoS) no es un virus pero es un método que utilizan los hackers para evitar o
negar el acceso de usuarios legítimo a un equipo.
Los ataques DDoS se ejecutan típicamente usando herramientas DDoS que envían muchos paquetes con peticiones a
un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor,
haciendo el sistema inutilizable. Cualquier sistema que esté conectado a Internet y equipado con servicios de red TCP
está expuesto a un ataque.
Por ejemplo, imagínese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas
contesta al teléfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita
que clientes legítimos ordenen una pizza porque la línea telefónica está ocupada. Esto es una negación de servicio, y
es análogo a un ataque del DDoS.
Pasado a la informática se refiere a cuando una computadora o un programa, dejan de responder al servicio
solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultáneos
con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturándolo), o se produce
algún tipo de sobrecarga o desbordamiento de búfer por un exceso de datos a procesar y el programa deja de
responder.
Defensa proactiva:
Nueva tecnología implementada en Antivirus como Kaspersky.
La defensa proactiva se basa en comportamiento, una vez que ni las firmas, ni la capacidad heurística han detectado
nada.
Tiene cuatro componentes:
1.
2.
3.
4.
Previene comportamientos tipo Rootkits, eylogger.
Control de aplicaciones. Ver si cambian, se ejecutan en segundo planto...
Control de macros de office
Vigilante del registro que controla los cambios que hay en claves importantes del registro.
*Nota* La heurística se basa en firmas y en que un nuevo virus se parece a uno anterior.
Informe Troyanos
28
Denegación de servicio:
(En inglés DDoS, Distributed Denial-of-Service) No se debe confundir con DOS (Disk Operating System).
Un ataque de Negación de servicio (DDoS) no es un virus pero es un método que utilizan los hackers para evitar o
negar el acceso de usuarios legítimo a un equipo.
Los ataques DDoS se ejecutan típicamente usando herramientas DDoS que envían muchos paquetes con peticiones a
un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor,
haciendo el sistema inutilizable. Cualquier sistema que esté conectado a Internet y equipado con servicios de red TCP
está expuesto a un ataque.
Por ejemplo, imagínese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas
contesta al teléfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita
que clientes legítimos ordenen una pizza porque la línea telefónica está ocupada. Esto es una negación de servicio, y
es análogo a un ataque del DDoS.
Pasado a la informática se refiere a cuando una computadora o un programa, dejan de responder al servicio
solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultáneos
con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturándolo), o se produce
algún tipo de sobrecarga o desbordamiento de búfer por un exceso de datos a procesar y el programa deja de
responder.
Dirección IP: El Protocolo de Internet (IP, de sus siglas en inglés Internet Protocol) es un protocolo no orientado a
conexión usado tanto por el origen como por el destino para la comunicación de datos a través de una red de
paquetes conmutados. Los datos en una red basada en IP son enviados en bloques conocidos como paquetes o
datagramas (en el protocolo IP estos términos se suelen usar indistintamente). En particular, en IP no se necesita
ninguna configuración antes de que un equipo intente enviar paquetes a otro con el que no se había comunicado
antes.
Archivo DDL:
Ejecutan acciones o rutinas de uso frecuente en Windows, y un mismo archivo DLL puede ser usado por varios
programas al mismo tiempo (como el Kernel32.dll). Por ejemplo el procesador de palabras, la hoja de cálculo y otros
programas pueden usar un mismo archivo DLL para desplegar el cuadro diálogo Abrir, cada vez que usted usa el
comando Abrir.
Gracias a ese esquema modular, hay muchas funciones que los creadores de software no tienen que incluir en sus
programas; cuando un programa necesita enviar un documento a la impresora, simplemente llama el archivo DLL
respectivo para que este cargue y ejecute la tarea. De esa forma, los programas son más pequeños y se ahorra
espacio en el disco duro.
El hecho de que estos módulos de rutinas (Archivos DLL) no sean parte de programas, sino que se guardan como
archivos independientes, también optimiza el uso de la memoria RAM. Un DLL se carga en la memoria RAM y se
ejecuta únicamente cuando un programa lo llama para que realice una función, mientras que otros módulos de
rutinas que sí hacen parte del programa permanecen cargados en la memoria mientras trabaja con un programa.
Windows incluye muchos archivos DLL que son usados por otros programas (la mayoría en la carpeta
Informe Troyanos
29
c:\windows\system). Pero algunos programas también instalan sus propios archivos DLL (y generalmente los colocan
en la carpeta del disco duro en la que está guardado dicho programa).
DMA: (Direct Memory Access) Permite a cierto tipo de componentes de ordenador acceder a la memoria del sistema
para leer o escribir independientemente de la CPU principal. Es una característica esencial en todos los ordenadores
modernos, ya que permite a dispositivos de diferentes velocidades comunicarse sin someter a la CPU a una carga
masiva de interrupciones.
Dropper: Llamado cuentagotas. Es un fichero que al ejecutarse "gotea" o dispersa un virus. Un fichero "dropper"
puede crear un virus e infectar el ordenador al ejecutarse. Cuando un "dropper" es escaneado por un antivirus,
generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el
momento que se ejecuta el "dropper".
EICAR:
(European Institute of Computer Anti-Virus Research)Institución informática que ha creado un método para evaluar
la fiabilidad y el comportamiento de los antivirus: el test EICAR.
Ejecutable:
Es el término genérico que se utiliza para definir a los programas o aplicaciones. Se utiliza sobre todo cuando se habla
de ficheros, para diferenciarlos de aquellos que no se pueden ejecutar por sí mismos. Un ejemplo de fichero que no
se puede ejecutar por sí mismo es un documento, una imagen o un fichero de sonido. Para poder abrir, visualizar o
reproducir este tipo de ficheros se necesita un ejecutable. Los ejecutables tienen las extensiones "EXE" Y "COM".
Encriptar: Es la acción de proteger archivos expresando su contenido en un lenguaje cifrado. Los lenguajes cifrados
simples consisten, por ejemplo, en la sustitución de letras por números mediante complejos algoritmos. El proceso
inverso se denomina desencriptar (decrypt). Los datos encriptados suelen llamarse "texto cifrado".
Ensambladores:
En un lenguaje ASSEMBLER (ensamblador o compiladores) toman las instrucciones, las colocan una detrás de otra en
lenguaje máquina, calculan las direcciones relativas de cada campo o etiqueta y dan como resultado un programa en
código máquina que se llama código objeto.
Este programa posteriormente se carga en una posición de memoria de la máquina y ese cargador le suma a las
direcciones relativas el valor de la dirección de carga con lo cual tenemos un programa listo para ejecutarse, a este
programa se le llama absoluto. Todos los ensambladores que existen para el Spectrum, dan como resultado un
programa absoluto.
Falso Positivo: Se le llama así cuando un programa Anti-Virus, Anti-Spyware o similar, detecta un archivo legitimo
como infectado.
Los creadores de Malwares cada día utilizan procesos muy sofisticados para que las aplicaciones puedan fallar.
Para más información puede consultarse este enlace:
Fichero:
Hace referencia a la información que se encuentra en un soporte de almacenamiento informático. Es el trabajo real
que realiza cada usuario (textos, imágenes, bases de datos, hojas de cálculo,...,etc.). Cada uno de ellos se caracteriza
Informe Troyanos
30
por tener un nombre identificativo. El nombre puede estar seguido de un punto y una extensión, compuesta por tres
caracteres que identifican el tipo de fichero del que se trata. Algunas extensiones comunes son: EXE y COM (ficheros
ejecutables, programas), TXT y DOC (ficheros de texto),..., etc.
Fichero binario:
Es una sucesión de bytes, uno tras otro, que puede almacenar cualquier tipo de información (texto, imágenes...y
cualquier tipo de datos) . Estan formados por unos y ceros.
Fichero de proceso por lotes (.bat o batch):
Los ficheros de proceso por lotes o ficheros Batch se caracterizan por tener extensión BAT. Son ficheros de texto que
contienen comandos de MS/DOS, uno por cada línea escrita. Cuando se ejecuta este tipo de ficheros, cada una de las
líneas en él escritas se va ejecutando de forma secuencial. Un fichero muy importante de este tipo es el
AUTOEXEC.BAT, el cual se encuentra siempre en la raíz del disco duro y se ejecuta automáticamente cuando el
ordenador arranca, cargando una serie de controladores y programas.
Ficheros SCR:
Ficheros de Script cuya extensión es SCR y sirven para determinar los parámetros ('condiciones') con los que se deben
ejecutar unos determinados programas. Permiten iniciar un programa con unas pautas fijadas de antemano.
Firewall: Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en las redes para
prevenir algunos tipos de comunicaciones prohibidas por las políticas de red, las cuales se fundamentan en las
necesidades del usuario. La configuración correcta de cortafuegos se basa en conocimientos considerables de los
protocolos de red y de la seguridad de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor
como herramienta de seguridad.
Firma electrónica:
Código encriptado que se usa en las redes de comunicaciones para autenticar la identidad del usuario emisor y la
propiedad de un documento en circulación.
Hacker: Hacker (del inglés hack, recortar), también conocidos como "white hats" (sombreros blancos) o "black hats"
(sombreros negros), según una clasificación de sus acciones (según sean sólo destructivas o no, etc.). Es el
neologismo utilizado para referirse a un experto (ver: Gurú) en varias o alguna rama técnica relacionada con las
Tecnologías de la Información y las Telecomunicaciones: programación, redes de comunicaciones, sistemas
operativos, hardware de red/voz, etc.
El glider, emblema hackerSu entendimiento es más sofisticado y profundo respecto a los sistemas informáticos, ya
sea de tipo hardware o software. Se suele llamar hackeo y hackear a las obras propias de un hacker.
Hijacker: (Secuestradores del Navegador) es el software encargado de cambiar la pagina de inicio de cualquier
navegador, no dejando al usuario la posibilidad de cambiarlo.
Hoaxes: La palabra hoax viene del inglés y tiene dos interpretaciones. Por un lado, puede ser utilizado como un verbo
que significa embaucar; en cambio, si se utiliza como sustantivo, se traduce como engaño, bulo o broma de mal
gusto.
Informe Troyanos
31
Ingeniería Social:
Son técnicas basadas en engaños que se emplean para dirigir la conducta de una persona u obtener información
sensible. El afectado es inducido a actuar de determinada forma (pulsar en enlaces, introducir contraseñas, visitar
páginas, etc.) convencido de que está haciendo lo correcto cuando realmente está siendo engañado por el ‘ingeniero
social’.
IP (dirección): La dirección IP está conformada por un número de 32 bits la cual identifica cada emisor y receptor de
paquetes de información a través de Internet.
Cada paquete enviado dentro del protocolo TCP/IP incluye la dirección IP de origen y de destino para poder distribuir
los datos de manera correcta y si fuese necesario confirmar al emisor la recepción de éstos.
Ésta consta de dos partes, una que identifica a cada red dentro de Internet y un identificador para cada dispositivo, el
cual puede ser un router, un servidor o una estación de trabajo.
Un ejemplo de una dirección IP puede ser, por ejemplo: 200.45.9.201.
IP spoofing: Es una técnica que permite que un bandido tome la identidad de un host "confiable" (cambiando su
dirección IP por la dirección de éste) y obtenga de este modo accesos no autorizados a otros sistemas.
Kernel:
Es el corazón de un sistema operativo, su componente más importante. Su función es brindar servicios básicos para el
resto del sistema y las aplicaciones que se ejecutan en él. Las tareas que el Kernel (o Núcleo) administra son, entre
otras, todas las operaciones de entrada/salida con los dispositivos de hardware del ordenador, la memoria del
sistema, la ejecución de procesos y servicios. Sin importar el sistema operativo, aquellos que se basan en un Kernel
normalmente incluyen en éste las mismas funciones antes mencionadas, aunque en otros casos le agregan otras
tareas, o quizás, manejan por separado la gestión de memoria. Algunos sistemas operativos basados en un Kernel son
Windows y Linux, entre otros.
Keylogger: (Capturadores de Teclado) Aplicaciones encargadas de almacenar en un archivo todo lo que el usuario
ingrese por el teclado. Son ingresados por muchos troyanos para robar contraseñas e información de los equipos en
los que están instalados.
Malware: Es la abreviatura de Malicious software, término que engloba a todo tipo de programa o código de
computadora cuya función es dañar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos
encontrar términos como: Virus, Trojan (Caballo de Troya), Gusano (Worm), Parásito, Spyware, Adware, Hijackers,
Keyloggers, etc….
MBR:
(Master Boot Record) En castellano, Sector de Arranque, o Sector Maestro de Booteo. Es una pequeña parte de
memoria cuyo contenido se ejecuta en el inicio del ordenador. Puede contener un programa cargador, y
normalmente se encuentra en el primer sector del disco rígido. Los virus residentes suelen alojarse en el MBR para
ejecutarse desde el inicio mismo del sistema. Algunos ejemplos son el Stoned, Michelangelo y Jersusalem, entre
otros.
Informe Troyanos
32
Ocultación:
(En inglés Stealth) Técnica utilizada por algunos virus para no ser localizables, haciendo parecer que los ficheros
infectados no lo estan, interceptan peticiones de acceso a disco, por tanto cuando una aplicación antivirus intenta
leer ficheros o sectores de arranque para encontrar virus, encuentra que el fichero no esta afectado, ocultando en
algunos casos el tamaño real del fichero, devolviendo el tamaño anterior a la infección.
Polimórfico (Virus): Este tipo de virus tienen una cualidad muy importante: pueden cambiar de forma. Pero, ¿qué
quiere decir que un programa informático, como un virus, pueda cambiar de forma? Lo que realmente hace el virus
es copiarse en memoria, volver a compilarse tras cambiar su estructura interna, tal como nombres de variables,
funciones, etc, y volver a compilarse, de manera que una vez creado nuevamente un especimen del virus, es distinto
del original.
Existen virus de un polimorfismo avanzado que no sólo cambian varialbes y funciones sino mucho más, e incluso hay
algunos nuevos tipos de virus polimórficos que son llamados metamórficos por su capacidad de cambiarse casi
completamente creando una copia nueva de si misma, que puede no ser detectada por la mayoría de los antivirus.
Para los fanáticos de los virus informáticos, los polimórficos son uno de los especimenes más interesantes dada su
capacidad cameleónica.
Proxy:
Software que permite a varios ordenadores acceder a Internet a través de una única conexión física y puede permitir
acceder a páginas Web, FTP, correo electrónico, etc., y también, servidor de comunicaciones, responsable de
canalizar el tráfico entre una red privada e Internet, que contiene un cortafuegos.
Puerto: Un puerto es una conexión lógica utilizada específicamente por el protocolo de Internet (TCP/IP). Los
programas que requieren de la utilización de un servidor se conectan a éstos mediante un puerto.
Algunas aplicaciones poseen puertos ya asignados, éstos son llamados "puertos ya conocidos" y han sido asignados
por IANA (Internet Assigned Numbers Authority) organismo encargado de regular la asignación de números de
puertos.
Otras aplicaciones utilizan números dinámicos, los cuales son establecidos en cada conexión.
Los números de los puertos pueden ir desde el 0 al 65.536, de los cuales los primeros 1024 están reservados para
ciertos servicios privilegiados.
Un ejemplo es el puerto 80 utilizado por el servicio HTTP, que nos permite navegar por sitios Web.
Registro de Windows: El Registro de Windows, también llamado Registry (en inglés) o Registro del Sistema, contiene
información de configuración del sistema operativo. Entre dicha información podemos encontrar las definiciones de
las extensiones de archivos, las librerías dinámicas instaladas, configuraciones de software propio del sistema
operativo o de terceros, etc.
Está organizada a manera de directorios o carpetas, siendo los principales los siguientes:
•
•
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
Informe Troyanos
33
•
•
•
•
HKEY_USERS
HKEY_LOCAL_MACHINE
HKEY_CURRENT_CONFIG
HKEY_DYN_DATA
Rootkit: Los rootkits se iniciaron bajo los sistemas operativos Unix, basándose en un conjunto de herramientas
específicamente modificadas para ocultar la actividad de quien las utilizará.
Por esto, se define a rootkit como un conjunto de herramientas especiales que permiten esconder procesos activos,
archivos en uso, modificaciones al sistema, etc., de manera que las utilidades de seguridad tradicionales no puedan
detectarlas una vez en el sistema.
Cuando se habla de “técnicas rootkit” en un código malicioso, básicamente nos referimos al hecho de que el
malware en cuestión es capaz de aprovechar funciones propias o de herramientas externas para esconder parte o
todo su funcionamiento.
Sniffing: Se trata de dispositivos que permiten al atacante "escuchar" las diversas comunicaciones que se establecen
entre ordenadores a través de una red (física o inalámbrica) sin necesidad de acceder física ni virtualmente a su
ordenador.
Spyware: Software espía. Es todo aquel programa o aplicación que sin el conocimiento del usuario recolecta
información de su equipo o de lo que hace al utilizar internet. Normalmente utilizado con fines de publicidad o
marketing. Son programas que invaden la privacidad de los usuarios y también la seguridad de sus computadoras.
Actualmente, este tipo de software es incluido junto a aplicaciones gratuitas de gran difusión, como las utilizadas
herramientas de intercambio de archivos.
Podría considerarse una rama de la familia de los troyanos dado que básicamente su función es similar a la de estos.
TCP/IP:
(Transfer Control Protocol / Internet Protocol) Protocolo de control de transmisión/Protocolo de Internet.
Conjunto de protocolos sobre los cuales funciona Internet, permite la comunicación entre los millones de equipos
informáticos conectados a dicha red.
El protocolo IP, que se ocupa de transferir los paquetes de datos hasta su destino adecuado y el protocolo TCP, se
ocupa de garantizar que la transferencia se lleve a cabo de forma correcta y confiable.
Variante: Es un virus, ú otra sub clase de software malicioso, que es creado modificando un virus ya conocido.
Normalmente agregan funcionalidades a la versión original, o se corrigen para evadir la detección de antivirus.
Zombie: Un ordenador generalmente infectado con un troyano de acceso remoto, capaz de recibir órdenes externas,
y de actuar, generalmente en actividades maliciosas, sin el conocimiento de sus dueños.
Opinión Personal
Informe Troyanos
34
Los troyanos son una fácil y masiva herramienta hacker o cracker, existe bastante documentación, es un tema muy
extenso, que abarca muchas areas de la informática. Su existencia está estrechamente relacionado a temas sociales, a
los negocios a las tendencias y necesidades humanas.
En opinión personal no estoy en contra de los troyanos ni en la forma que se distribuyen aunque ética o moralmente
no sean aceptados; ya que su producción en muchos casos responde a necesidades particulares que el mismo
mercado genera, me refiero específicamente a las necesidades spammer troyan y la necesidad de conseguir dinero
por publicidad click troyan, personalmente me he visto interesado en esta última función que se les ha dado a los
troyanos, ya que debido a que trabajo hace algunos años como desarrollador web, se de que manera funciona la web
y el sistema de pago por publicidad , de hecho me he visto particularmente afectado por este tipo de troyanos y veo
lo rentables que pueden llegar a ser si se traducen en ingresos.
Particularmente he utilizado algunos troyanos, específicamente el Subseven y me asombro la capacidades con que
están provistos estos sistemas.
Por otra parte, considerando que el desarrollo de este objeto infeccioso o herramienta se es considerado este viene a
resolver una necesidad particular dentro de las personas la cual es la de reconocimiento y hasta en algunos casos de
autorrealización, para el caso cuando no se ha desarrollado con fines de espionaje ni lucro.
Me interesa de sobremanera la interacción de estos objetos y su monitoreo como troyanos sociales y malignos, para
lo cual creo que seguiré interiorizándome para hacerlo desde la web y quien sabe obtener algún beneficio, alguna
habilidad, o simplemente reconocimiento u autorrealización personal.
Conclusión
Informe Troyanos
35
En conclusión un troyano es una herramienta hack, los existen en diferentes distribuciones variadas y hasta
ingeniosas, existen dotados con diferentes funcionalidades y estos son utilizados generalmente por usuarios no
necesariamente avanzados, en su distribución un troyano trae una serie de archivos, que se encargaran de tareas
como protegerse y ocultarse de herramientas que puedan eliminarlo.
Las técnicas de seguridad de hoy en día han evolucionado, consigo los troyanos han heredando tales características.
La existencia de una nueva definición de virus o troyano nace de la masividad o coincidencia del análisis de un archivo
por ello es poco probable la detección temprana de un troyano nuevo, por tanto, la desinfección total de un sistema
es poco presumible.
La contaminación del troyano no es de por sí independiente, esta se genera a través de acciones inseguras cometidas
por parte del afectado, por lo tanto, teóricamente cualquier infección de tipo troyano podría ser evitada con una
buena seguridad antitroyana, pero principalmente con una buena política de seguridad.
Informe Troyanos
36
Bibliografía
Microsoft, Centro de Protección: ¿Qué son los virus, gusanos y troyanos?, Consulta 4 Abril 2009,
<http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx>
Forospyware, Glosario: Glosario Completo, Consulta 4 Abril 2009, < http://www.forospyware.com/glossary.php>
McAfee, Glosario: Abstracto de conceptos, Consulta 4 Abril 2009,
<http://es.mcafee.com/virusInfo/default.asp?id=glossary>
McAfee, Glosario: Abstracto de conceptos, Consulta 4 Abril 2009,
<http://es.mcafee.com/virusInfo/default.asp?id=glossary>
McAfee, Cómo identificar un troyano y eliminarlo: Modo en que operan y modo de identificación, Consulta 5 Abril
2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary>
McAfee, Cómo identificar un troyano y eliminarlo: Modo en que operan y modo de identificación, Consulta 5 Abril
2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary>
Symantec, Que es la Cuarentena: Que es la Cuarentena, Consulta 5 Abril 2009,
<http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/la_docid/20040525091926905?Open&src=w_arg&seg=h
m&lg=es&ct=mx>
Wikilearning, Que es un Troyano y Como funciona: Acerca de la conexión, Consulta 5 Abril 2009,
<http://www.wikilearning.com/tutorial/que_es_un_troyano-como_funciona_un_troyano/238-4>
Ultranet, Crypters: Definición y Ejemplos, Consulta 5 Abril 2009,
<http://www.ultranet.webcindario.com/crypters.html>
Infospyware, Rootkits: Que son, Consulta 5 Abril 2009, < http://www.infospyware.com/articulos/que-son-losrootkits.htm >
Blogdelhacker, Troyanos: Que son y cómo funcionan, Consulta 6 Abril 2009,
<http://www.blogdelhacker.com/2007/02/15/troyanos-que-son-y-como-funcionan/ >
Wikipedia, Troyanos(informática): Que son y cómo funcionan, Consulta 4 Abril 2009,
<http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)>
Informe Troyanos
37
Wikipedia, Troyanos(informática): Que son y cómo funcionan, Consulta 4 Abril 2009,
<http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)>
Viruslist, Programas Troyanos: Que son y cómo funcionan, Consulta 8 Abril 2009,
<http://www.viruslist.com/sp/virusesdescribed?chapter=152540521>
Wikipedia, Hash y encriptación: Que es y algunos métodos de encriptación, Consulta 8 Abril 2009,
<http://es.wikipedia.org/wiki/Hash>
Panda Software, Formulas de Infección: Mención y descripción de formulación de infección utilizadas por objetos
infecciosos, Consulta 8 Abril 2009, < http://www.pandasecurity.com/spain/homeusers/media/pressreleases/viewnews?noticia=2525&ver=2002,all&pagina=3&numprod=&entorno=>
Panda Software, Formulas de Infección: Mención y descripción de formulación de infección utilizadas por objetos
infecciosos, Consulta 8 Abril 2009, < http://www.pandasecurity.com/spain/homeusers/media/pressreleases/viewnews?noticia=2525&ver=2002,all&pagina=3&numprod=&entorno=>
ISSA - International Systems Security Association, Actualidad en Seguridad, Consulta 9 Abril 2009
<http://www.issa.org >
Andy Hormazabal Budin
www.andy.cl
[email protected]
Informe Troyanos
38