TROYANOS

Bientos... Lo que veran a continuacion no va a ser como usar los troyanos o como meterselo a la PC de alguien, o etcéteras... Sino que voy a daros (daros...=? un par de consejos nomás, asi que los que buscaban lo primeramente nombrado tendran que esperarse a posteriores actualizaciones :)

Bueno en lo que respecta a los troyans hemos sabido de varios programas que proliferan y estan ahi dando vueltas en Internet, los cuales son muchos, asi que solo haré referencia a 2 de los mas usados que son el Netbus y el BO (Back Orifice).

Ante la proliferación de troyanos, que aprovechan al máximo las características de Internet, como los clasicos salones de charla(chats) como ejemplo el cliente mIRC voy a proporcionar algunas técnicas que, de forma manual y sin moverte de tu silla, permiten saber si somos víctimas de alguno.

El troyano se instala en la máquina de la víctima y se asegura de que se activa cada vez que se inicia el sistema y por lo general siempre estan invisibles a nuestros ojos, pero no a los ojos de la PC. Para conseguirlo, suelen añadir una entrada en el registro del sistema (como por ejemplo la más comun /nomsg) o se introducen en los ficheros de inicio (win.ini, autoexec.bat, etc). Una vez ejecutado, se abre una puerta en nuestro sistema (llamados también puertos) que es accesible a través de Internet mediante una puerta de conexión TCP.

La dirección IP permite al ordenador distinguir entre las muchas conexiones simultáneas que establece.

Para detectar si un troyano tiene abierta una puerta, o mejor dicho si estamos infectados por un troyano, se puede utilizar un comando muy basico de nuestro sistema, y que en muchas ocasiones, tiende a olvidarse. Se trata de la funcón NETSTAT y se realiza o ejecuta bajo el ambiente MS-DOS, este comando permite listar las conexiones TCP/IP de nuestro sistema.

En concreto, basta con abrir una sesión MS-DOS (INICIO->Ejecutar->command.com) y teclear la siguiente orden:

C:\>NETSTAT -na

A continuación se nos presentará el siguiente listado:

Active Connections

Proto     Local Address                Foreign Address         State
TCP       212.60.120.80:2035       209.235.102.9:80       ESTABLISHED
TCP       212.60.120.80:2036       206.235.102.9:80       ESTABLISHED
UDP       127.0.0.1:1934              *:*
UDP       127.0.0.1:1946              *:*
UDP       212.60.120.90:137         *:*
UDP       212.60.120.90:138         *:*

Ahora vamos a ver que significa o mejor dicho que es lo que reprentan cada una de estas columnas:

En la primera columna (Proto) aparecen los tipos de conexión, TCP y UDP son los servicios que utiliza Internet para el establecimiento de las comunicaciones.

La siguiente columna (Local Address) nuestra dirección IP que, en este caso, es la 212.60.120.80 en Internet y la 127.0.0.1, dirección que siempre indica que se trata de una máquina local. Después, separado por dos puntos, nos encontramos el puerto que tenemos abierto.

En la siguiente columna, (Foreign Address) se encuentra la dirección IP y el puerto de la máquina con la que estamos manteniendo la comunicación. En este caso, la IP 209.235.102.9 corresponde a www.raza-mexicana.org y el [puerto 80 al servicio HTTP del servidor Web] -> (el puerto HTTP osea el de las webs es el 80) lo que significa que, con nuestro navegador, estamos visualizando la página web de RazaMexicana.

Por último, tenemos la columna (State) que nos indica el estado de la conexión: establecida, a la escucha, etc...

Con la información adecuada, y a través de este listado, podremos saber si somos víctimas de un troyano. Así, por ejemplo, en el caso de la primera versión de Back Orifice, el puerto por defecto en el que se quedaba el troyano era el 31337. De esta manera, si nos encontramos una entrada tipo UDP 0.0.0.0:31337 tendremos grandes posibilidades de estar infectados. Otro caso muy conocido es el de NetBus que, por defecto, suele utilizar el puerto TCP 12345.

Por último, con este sistema también podremos detectar desde que dirección estamos siendo atacados, ya que en la columna (Foreign Address) se podrá visualizar la IP de la máquina del
atacante cuando se conecta con nosotros, asi que es mejor estar atentos.

Bueno creo que esto no esta totalmente relacionado con lo que son los troyanos en si, pero es bueno saber estas cosas tambien creo yo. Yo lo que di acá es una alternativa sobre la búsqueda de troyanos en nuestra PC, pero hay cientos de antitroyans, cleaner, etc en Internet por lo cual no se si te sirve esta opcion, pero bueno no me quiero embolar maz...