AGRADECIMIENTO

A Dios por brindarme la dicha de la salud y bienestar fsico y espiritual. Agradezco de todo corazn a mis padres, porque ellos siempre estn conmigo, son mi fuente de inspiracin y sobre todo me imparten valores para conducirme correctamente y estar ms cerca de mis metas profesionales. Gracias especialmente al impetuoso asesoramiento del docente, le atribuyo la finalizacin de este exitoso trabajo de investigacin. A las autoridades, personal administrativo de la Universidad Agraria del Ecuador, especialmente al Sr. Rector Ing. Agr. Jacobo Bucaram Ortiz, y al Ing. Coordinador de la Escuela de Computacin e Informtica. A los docentes, porque a pesar de todo confiaron en nosotros y nos dieron la oportunidad con su ejemplo de responsabilidad y generosidad de seguir en nuestro camino hacia el xito.

DEDICACION

A Dios, que me concede el privilegio de la vida y me ofrece lo necesario para lograr mis metas. A mis padres que me brindaron su apoyo incondicional y a mi hijo que es mi complemento de vida.

RESPONSABILIDAD

La

responsabilidad sustentados

por en

las esta

investigaciones, desarrollo, resultados y conclusiones monografa exclusivamente al autor corresponden

INDICE La responsabilidad por las investigaciones, desarrollo, resultados y conclusiones sustentados en esta monografa corresponden exclusivamente al autor.....................................................................................................................3 SubSeven 2.1.5 Legends...........................................................................25 SubSeven 2.2.............................................................................................25 SubSeven 2.3.............................................................................................26 Captulo II.........................................................................................................32 FORMAS, SINTOMAS DE INFECCION E IMPACTANTES AMENAZAS 32 2.1. Formas de infectarse de un Troyano..................................................33 3.2.1. The Cleaner 2012 8.0.0.1059..........................................................49 3.2.2. AVG INTERNET SECURITY 2011..............................................51 3.2.3. Kaspersky Anti-Virus 2011 11.0.2.556...........................................53 3.2.4. avast! Free Antivirus 6.0.1091........................................................53 3.2.5. Panda Cloud Antivirus 1.4 Free......................................................54 LITERATURA CITADA..................................................................................55

TEMA:

IMPACTO DE LOS TROYANOS EN LA ACTUALIDAD

I.- INTRODUCCIN En 1984 el Dr. Fred Cohen clasific a los emergentes virus de computadoras en tres categoras: caballos de Troya, gusanos y virus. Emple el trmino Caballos de Troya Troyanos, por la forma secreta de ingresar a los sistemas. Este concepto fue inspirado en clara alusin a la estrategia agresiva empleada en la Batalla de Troya, relatada en la obra pica griega escrita por Homero. Del mismo modo que el caballo de Troya mitolgico pareca ser un regalo pero contena soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en da son programas informticos malintencionados que parecen ser software til pero que ponen en peligro la seguridad y provocan muchos daos. Un troyano reciente apareci como un mensaje de correo

electrnico que incluye archivos adjuntos que aparentaban ser actualizaciones de seguridad de Microsoft, pero que resultaron ser virus que intentaban deshabilitar el software antivirus y de servidor de seguridad. El impacto de los troyanos en la actualidad, radica en que este no es en s un virus, an cuando tericamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" slo tiene que acceder y controlar la mquina anfitriona sin ser advertido, normalmente bajo una apariencia inofensiva y necesita del usuario para poder ser instalado, esto permite recabar informacin de un usuario y enviarla. Al contrario que un virus, que es un husped destructivo, la caracterstica principal y lo que lo hace potencialmente peligrosos es su capacidad de propagarse por diferentes medios. Este programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a travs de una red local o de Internet, suele ser un programa alojado dentro de una aplicacin, una imagen, un archivo de msica u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una funcin til pero internamente realiza otras tareas de las que el usuario no es consciente, habitualmente se utiliza para espiar, usando la tcnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legtimo de la computadora hace, esto se lo puede evitar no ejecutando nada de lo cual se desconozca el origen y mantener software antivirus actualizado, es recomendable tambin instalar algn software antitroyano, de los cuales existen versiones gratis aunque muchas de ellas constituyen a su vez un troyano. Otra solucin bastante eficaz contra los troyanos es tener instalado un firewall. Lo peor de todo es que ltimamente los troyanos estn siendo diseados de tal manera que, es imposible poder detectarlos excepto por programas que a su vez contienen otro tipo de troyano, inclusive y aunque no confirmado, existen

troyanos dentro de los programas para poder saber cul es el tipo de uso que se les da y poder sacar mejores herramientas al mercado llamados tambin "troyanos sociales". Los troyanos estn actualmente ilegalizados, pero hay muchos crackers que lo utilizan. Los ataques de troyanos constituyen una de las ms serias amenazas a la seguridad informtica. Objetivos Objetivo General Difundir el nivel de impacto de los troyanos en la actualidad a travs del anlisis de documentos e investigaciones estableciendo la importancia de las precauciones mediante el cual se eviten estas agresiones. Objetivos Especficos: Describir el propsito y los principales tipos de troyanos existentes. Explicar las formas y sntomas comunes que indican la infeccin por un troyano. Determinar precauciones para protegerse y conocer como eliminar un troyano si ya se est infectado. II. METODOLOGA Mtodo Emprico Anlisis de documentos

La documentacin acerca de los ataques de los troyanos referente al tema seguridad informtica es muy extensa, esta existentes en Internet y en libros, servirn para la recopilacin de la informacin y ayudaran para seleccionar gran parte de los datos, necesarios para reunir la investigacin del presente trabajo.

Mtodos Tericos Mtodo Inductivo

Se utiliza este mtodo debido a que se partir de la descripcin da cada uno de los tipos de troyanos existentes y lograr determinar las debidas precauciones para protegerse y conocer cmo eliminar un troyano si ya se est infectado. Mtodo Deductivo

Este mtodo va de la mano con el anterior debido a que del estudio de los efectos de los ataques de troyanos, mediante la descripcin de los tipos de troyanos existentes se lograr explicar las formas y sntomas comunes que indican la infeccin por un troyano.

Mtodo Anlisis

Con este mtodo se lograr distinguir los elementos necesarios para vincular la informacin existente obtenida de los diversos documentos e investigaciones realizadas en el Internet y en libros referente al tema, ya que se debe establecer la importancia de las precauciones mediante el cual se eviten el ataque de los troyanos y sus efectos. Mtodo de Sntesis

Se utilizar este mtodo, para lograr difundir el impacto de los troyanos en la actualidad, el mismo que se lo realizar mediante el anlisis de documentos e

investigaciones para considerar las debidas precauciones a la violacin de la privacidad que estos programas malignos ocasionan. Ya que muchos de estos programas son creados para sustraer informacin y de esta manera lucrarse.

III. RESULTADOS Y DISCUSIN Captulo I

PROPSITO DE LOS TROYANOS Y LOS PRINCIPALES TIPOS EXISTENTES.

1.1.

Qu son los Troyanos? Un virus informtico es un malware que tiene por objeto alterar el normal

funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden destruir, de manera

intencionada, los datos almacenados en un ordenador, aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos. Su funcin es de propagarse a travs de un software, no se replican a s mismos porque no tienen esa facultad como el gusano informtico, son muy nocivos y algunos contienen adems una carga daina (payload) con distintos objetivos, desde una simple broma hasta realizar daos importantes en los sistemas, o bloquear las redes informticas generando trfico intil. El cdigo del virus queda alojado en la memoria RAM de la computadora, aun cuando el programa que lo contena haya terminado de ejecutarse. El virus toma entonces el control de los servicios bsicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.

En informtica, se denomina troyano o caballo de Troya a un software malicioso que se presenta al usuario como un programa aparentemente legtimo e inofensivo pero al ejecutarlo ocasiona daos. El trmino troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero. Los troyanos pueden realizar diferentes tareas, pero, en la mayora de los casos crean una puerta trasera, en ingls backdoor, que permite la administracin remota a un usuario no autorizado. Estos programas que, enmascarados de alguna forma como un juego o similar, buscan hacer creer al usuario que son inofensivos, para realizar acciones maliciosas en su equipo. Estos troyanos no son virus ni gusanos dado que no tienen capacidad para replicarse por s mismos, pero en muchos casos, los virus y gusanos liberan troyanos en los sistemas que infectan para que cumplan funciones especificas, como, por ejemplo, capturar todo lo que el usuario ingresa por teclado (keylogger). Hoy en da, los troyanos suelen instalarse en secreto y lanzan su carga maliciosa sin que el usuario se entere de ello. Gran parte de los modernos programas delictivos (crimeware) la componen distintos tipos de troyanos que son especficamente diseados con propsitos netamente maliciosos. Los ms

10

comunes son los troyanos backdoor (a menudo incluyen un keylogger), los troyanos espa, los troyanos ladrones de contraseas, y los troyanos proxy que convierten el equipo del usuario en un centro de distribucin de spam.

1.2.

Evolucin Histrica Los troyanos se concibieron como una herramienta para causar el mayor

dao posible en el equipo infectado. Trataban de formatear el equipo o eliminar archivos del Sistema pero no tuvieron mucha repercusin ya que en la poca en la que los creadores de malware buscaban notoriedad, los troyanos no se propagaban por s mismos, un ejemplo de este tipo de troyano es el Autorooter. En los ltimos aos y por el mayor uso de Internet esta tendencia ha cambiado hacia el robo de datos bancarios o informacin personal. Desde sus orgenes, los troyanos han sido utilizados como arma de sabotaje por los servicios de inteligencia como la CIA, cuyo caso ms emblemtico fue el Sabotaje al Gasoducto Siberiano en 1982. La CIA instal un troyano en el software que se ocupara de manejar el funcionamiento del gasoducto, antes de que la URSS comprara ese software en Canad.

En 1984 el Dr. Fred Cohen clasific a los emergentes virus de computadoras en tres categoras: caballos de Troya, gusanos y virus. Emple el trmino Caballos de Troya Troyanos, por la forma secreta de ingresar a los sistemas. Del mismo modo que el caballo de Troya mitolgico pareca ser un regalo pero contena soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en da son programas informticos malintencionados que parecen ser software til pero que ponen en peligro la seguridad y provocan muchos daos. En los primeros tiempos de la informtica personal, los ordenadores susceptibles de contener informacin de riesgo, como por ejemplo, un nmero de tarjeta de crdito o cualquier otro dato de esta ndole eran muy pocos, restringidos sobre todo a los de empresas importantes que ya haban dado el paso de incorporar la informtica a sus rutinas de trabajo. En

11

cualquier caso, aunque ese tipo de informacin se encontrase almacenada en una mquina, no corra demasiado peligro, a no ser que se hallase conectada a una red a travs de la cual poder transmitirla. Por supuesto, hubo excepciones y se dieron casos de hackers que llegaron a realizar estafas a partir de datos almacenados en sistemas informticos. Sin embargo, lo consiguieron mediante tcnicas tpicas de ataques hacker, sin emplear ningn tipo de virus. La aparicin de Internet motiv un cambio de objetivo de los creadores de virus que, a partir de entonces, intentaron infectar el mximo nmero de ordenadores en el menor tiempo posible. Por su parte, la aparicin de los servicios asociados a Internet -como la banca electrnica, o las compras onlineconllev otro cambio. Algunos autores de virus no los creaban con el nimo de infectar muchos equipos, sino para robar los datos confidenciales asociados a dichos servicios y obtener un beneficio econmico personal. Evidentemente, para alcanzar dicho objetivo necesitaban un malware que infectasen muchos equipos de forma silenciosa. Pero no tuvieron que trabajar demasiado, ya que la respuesta estaba en un cdigo malicioso aparecido en 1986, al que se denomin genricamente troyano. Concretamente, llevaba por nombre PCWrite y se presentaba como una supuesta versin shareware de un procesador de textos. Si era ejecutado, un procesador de textos funcional se presentaba en pantalla. El problema era que, al tiempo que el usuario escriba, el troyano se encargaba de borrar y corromper archivos del disco duro. A partir de PC-Write, este tipo de cdigo malicioso evolucion rpidamente convirtindose en los troyanos que hoy conocemos. Por eso, en la actualidad, muchos de los creadores de troyanos diseados para robar datos no son autores de virus propiamente dichos, sino simples ladrones que en lugar de utilizar sopletes o dinamita utilizan virus para cometer sus robos. Ejemplos de ello, pueden ser Ldpinch.W, o las familias de troyanos Bancos o Tofger. De acuerdo con un estudio de la empresa responsable del software de seguridad BitDefender desde enero de 2009, "El nmero de troyanos est creciendo, representan el 83% del malware detectado". Dentro de los troyanos

12

bancarios, uno de los ms activos en la ltima poca es Trj/Sinowal, que es un kit que se vende en determinados foros rusos y que permite al comprador crear el troyano bancario que necesite para realizar un ataque. En el laboratorio de PandaLabs se ha observado una preocupante tendencia al alza en la creacin de troyanos bancarios, los troyanos actualmente representan ms del 70% del malware recibidos en el laboratorio. 1.3. Propsito de los Troyanos Los troyanos estn diseados para permitir a un individuo el acceso remoto a un sistema. Una vez ejecutado el troyano, el individuo puede acceder al sistema de forma remota y realizar diferentes acciones sin necesitar permiso. Las acciones que el individuo puede realizar en el equipo remoto dependen de los privilegios que tenga el usuario en el ordenador remoto y de las caractersticas del troyano. Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto son:

Utilizar la mquina como parte de una botnet, por ejemplo para realizar ataques de denegacin de servicio o envo de spam. Instalacin de otros programas, incluyendo otros programas maliciosos. Robo de informacin personal: informacin bancaria, contraseas, cdigos de seguridad. Borrado, modificacin o transferencia de archivos (descarga o subida). Ejecutar o terminar procesos. Apagar o reiniciar el equipo. Monitorizar las pulsaciones del teclado. Realizar capturas de pantalla. Ocupar el espacio libre del disco duro con archivos intiles, Borra el disco duro Caracterstica de los Troyanos

1.4.

13

Los troyanos estn compuestos principalmente por tres programas: un cliente, dividuo, que enva las rdenes que se deben ejecutar en la computadora infectada, un servidor situado en la computadora infectada, que recibe las rdenes del cliente, las ejecuta y casi siempre devuelve un resultado al programa cliente y por ltimo, un editor del servidor, el cual sirve para modificarlo, protegerlo mediante contraseas, unirlo a otros programas para que, al abrir el programa tambin se ejecute el servidor, configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma en la que se realiza la conexin entre el cliente y el servidor se pueden clasificar en: Conexin directa (el cliente se conecta al servidor) y Conexin inversa (el servidor se conecta al cliente). La conexin inversa tiene claras ventajas sobre la conexin directa, esta traspasa algunos firewall (la mayora de los firewall no analizan los paquetes que salen de la computadora, pero que s analizan los que entran), pueden ser usados en redes situadas detrs de un router sin problemas (no es necesario redirigir los puertos) y no es necesario conocer la direccin IP del servidor. Cabe destacar que existen otro tipo de conexiones, que no son de equipo vctima a equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a ambos, para realizar el proceso de control. Se suele utilizar para este propsito el protocolo IRC o incluso FTP, HTTP u otros. Funcionamiento de un Troyano Debido a que generalmente un Troyano intenta (y cada vez con ms frecuencia) abrir un puerto en la mquina para que un hacker pueda controlarla (por ejemplo, mediante el robo de datos personales almacenados en el disco duro), el primer objetivo del hacker es infectar la mquina obligando a abrir un archivo infectado que contiene el Troyano y, luego, acceder a la mquina a travs del puerto abierto. Sin embargo, para poder infiltrar la mquina, el hacker usualmente conoce su direccin de IP. Entonces: Usted puede tener una direccin de IP asignada (como ocurre con las empresas, personas que tienen una conexin por cable o similar, etc.), en ese caso esa direccin de IP se puede

1.5.

14

averiguar fcilmente, o puede tener una direccin de IP dinmica (reasignada cada vez que se conecta), como en el caso de las conexiones por mdem. En este caso, el hacker debe analizar la direccin IP aleatoriamente para detectar aquellas que corresponden a mquinas infectadas. La desconfianza de los internautas ha provocado que el correo ya no sea la forma mayoritaria de propagacin del 'phishing' - El 72% del cdigo malicioso es con fines lucrativos, segn PandaSoftware. Las mafias que roban cuentas de la banca en Internet cambian de estrategia. Estn dejando de mandar mensajes masivos que simulan proceder de bancos, conocidos como phishing, y suben las infecciones por los llamados troyanos bancarios, ms efectivos y selectivos, que entran en ordenadores con sistema operativo Windows al visitar un sitio web. Acaban los tiempos de los ataques masivos a discrecin. Los nuevos ladrones de datos bancarios son unos bichos silenciosos que donde ponen el ojo ponen la bala. Viajan por las redes P2P, foros, mensajes de correo y mensajera instantnea, ofreciendo enlaces o archivos adjuntos con ganchos como el vdeo de Daniella Cicarelli en la playa o la ejecucin de Sadam Hussein. Cuando el incauto pincha en el adjunto o visita el enlace, el troyano se mete en su ordenador. Estar inactivo hasta que su vctima visite alguno de los bancos para los que est programado, que pueden ser ms de cien. Entonces, grabar las contraseas que teclee, capturar imgenes de la pantalla o las pulsaciones. Y mandar los datos obtenidos al ladrn. PandaSoftware asegura que el 56% del cdigo malicioso actual corresponde a estos troyanos, surgidos en 2004 y que en 2006 "se dispararon". El servicio VirusTotal, de Hispasec Sistemas, detecta 50 diarios: "Se suelen disear para atacar a las entidades bancarias con mayor volumen de clientes", explican. La sofisticacin que representan estos troyanos es consecuencia de que al cibercrimen le cuesta cada vez ms engaar al internauta, explican en Hispasec: "El phishing requiere que se crean que el mensaje proviene de su

15

banco y que metan las claves en una pgina cuya direccin no corresponde a la de su entidad". La desconfianza de los internautas tambin ha provocado que el correo ya no sea la forma mayoritaria de propagacin de estos troyanos, segn el Instituto Nacional de Tecnologas de la Comunicacin Inteco: "Se usan mucho los sitios web maliciosos, a los que se intenta dirigir a los internautas con todo tipo de artimaas, enlaces en foros y mensajera instantnea, con el fin de aprovechar vulnerabilidades en sus navegadores por las que se introducirn los troyanos".

1.6.

Tipos de Troyanos Dentro de toda esta gran selva de la web, conviven diferentes tipos de

programas y diferentes tipos de tecnologas utilizadas para hacer dao o estafar al usuario. Los troyanos constituyen uno de los ejemplares con mayor difusin y el que ms variantes posee. Los nombres especficos que adoptan cada uno de ellos suele generar confusin en el usuario, quin termina identificndolos de forma errnea bajo el nombre general de virus.

Hay muchos diferentes tipos de Troyanos, que pueden ser agrupados en siete categoras principales, sin embargo, habitualmente es difcil clasificar un Troyano en un nico grupo ya que los Troyanos a menudo tienen atributos que los situaran en mltiples categoras. Las siguientes categoras definen las principales funciones que un Troyano puede tener. 1.6.1. Troyanos de acceso remoto Estos son probablemente los Troyanos ms publicitados, porque proporcionan al atacante el control total del equipo de la vctima. Ejemplos son los Troyanos Back Orifice y Netbus. Tras ellos est la idea de dar al atacante acceso COMPLETO al equipo de alguien, y por lo tanto acceso total a

16

archivos, conversaciones privadas, datos de cuenta, etc. Tradicionalmente, los Troyanos actuaban como un servidor y escuchaban un puerto que tena que estar disponible a los atacantes de Internet. Los atacantes ahora pueden tambin hacer uso de una conexin invertida para conseguir la entrada ilegal al anfitrin de forma que pueda alcanzar el servidor incluso si est detrs de un cortafuegos. Algunos Troyanos tambin pueden conectar automticamente a IRC y puede ser controlado mediante comandos IRC casi annimamente, sin que el atacante y la vctima hagan nunca una conexin TCP/IP real. 1.6.2. Troyanos que envan datos El propsito de estos Troyanos es devolver datos al hacker con informacin como contraseas (ICQ, IRC, FTP, http) o informacin confidencial como detalles de tarjetas de crdito, registros de conversaciones, listas de direcciones, entre otros. El Troyano podra buscar informacin especfica en lugares particulares o podra instalar un registrador de pulsaciones y simplemente enviar todas las pulsaciones de teclado al hacker (quin podr extraer las contraseas de los datos). Un ejemplo de esto es el virus de correo Badtrans.B (liberado en Diciembre de 2001) que poda registrar las pulsaciones de teclado de los usuarios. Los datos capturados pueden ser devueltos a la direccin de correo del atacante, que en la mayora de los casos est localizado en algn proveedor de correo gratuito basado en web. Alternativamente, los datos capturados pueden ser enviados conectando al sitio web del hacker probablemente utilizando un proveedor de pginas web gratuitas - y enviando los datos mediante un formulario web. Ambos mtodos pasaran desapercibidos y pueden ser hechos desde cualquier equipo de su red con Internet y acceso al correo electrnico. Ambos hackers internos y externos pueden utilizar Troyanos que envan datos para conseguir acceso a informacin confidencial sobre su empresa. 1.6.3. Troyanos Destructivos La nica funcin de estos Troyanos es destruir y eliminar archivos. Esto los hace muy sencillos de utilizar. Pueden eliminar automticamente todos los

17

archivos principales del sistema (por ejemplo, archivos .dll, .ini o .exe, y posiblemente otros) de su equipo. Los Troyanos pueden ser activados por el atacante o pueden trabajar como una bomba lgica que se inicia a una fecha y hora especficas. Un Troyano destructivo es un peligro para cualquier equipo de red. En muchos aspectos es similar a un virus, pero el Troyano destructivo se ha creado con el propsito de atacarle y, en consecuencia, no puede ser detectado por su software anti-virus. 1.6.4. Troyanos de ataque de denegacin de servicio (DoS) Estos Troyanos dan al atacante el poder de iniciar un ataque de denegacin de servicio (DoS) si hay suficientes vctimas La idea principal es que si usted tiene 200 usuarios ADSL infectados y se ataca a la vctima simultneamente desde cada uno, esto generar un trfico PESADO (ms de lo que el ancho de banda de la vctima puede soportar, en la mayora de los casos), haciendo que el acceso a Internet se venga abajo. WinTrinoo es una herramienta DDoS que recientemente se ha hecho muy popular; a travs suyo, un atacante que ha infectado muchos usuarios ADSL puede hacer caer importantes sitios de Internet; los ms tempranos ejemplos de esto datan de Febrero de 2000, cuando un nmero de destacados sitios de comercio electrnico como Amazon, CNN, E*Trade, Yahoo y eBay fueron atacados. Otra variacin de los Troyanos DoS es el Troyano bomba de correo, cuya principal meta es infectar tantos equipos como sea posible y simultneamente atacar direcciones de correo concretas con asuntos aleatorios y contenidos que no pueden ser filtrados. De nuevo, un Troyano DoS es similar a un virus, pero el Troyano DoS puede ser creado con el propsito de atacarle y, en consecuencia, no puede ser detectado por su software anti-virus. 1.6.5. Troyanos proxy Estos Troyanos convierten el equipo de la vctima en un servidor proxy, hacindolo disponible para todo el mundo o slo para el atacante. Se utiliza para hacer Telnet, ICQ, IRC, etc. annimo, para hacer compras con tarjetas de

18

crdito robadas, y para otras actividades ilegales. Esto proporciona al atacante un completo anonimato y la oportunidad de hacer cualquier cosa desde SU equipo, incluyendo la posibilidad de lanzar ataques desde su red. Si las actividades del atacante son detectadas y rastreadas, esto no los llevar al atacante sino a usted - lo que podra poner en aprietos legales a su organizacin. Estrictamente hablando, usted es responsable de su red y de los ataques lanzados desde ella. Deshabilitadores de software de seguridad.

1.6.6.

Estos son Troyanos especiales, diseados para detener/eliminar programas como software anti-virus, cortafuegos, etc. Una vez estos programas son deshabilitados, el hacker puede atacar su equipo ms fcilmente. El virus Bugbear instal un Troyano en los equipos de todos los usuarios infectados y fue capaz de deshabilitar los anti-virus y cortafuegos ms populares. El destructivo gusano Goner (Diciembre de 2001) es otro virus que inclua un programa Troyano que eliminaba los archivos anti-virus. Los deshabilitadores de software de seguridad son habitualmente diseados para software concreto de usuario final como cortafuegos personales, y en consecuencia menos aplicables a entornos corporativos.

1.7.

Troyanos ms famosos

1.7.1. NetBus Es un software para el control de una forma remota de sistemas informticos Microsoft Windows a travs de una red. Fue creado en 1998 y ha sido muy controvertido por su potencial de ser utilizado como una puerta trasera. NetBus se escribi en Delphi por Carl-Fredrik Neikter, un programador sueco en marzo de 1998. Entro en circulacin antes que Back Orifice, fue liberado en agosto de 1998. El autor afirm que el programa estaba destinado a ser usado para bromas, no para irrumpir ilegalmente en los sistemas informticos. Traducido del sueco, el nombre significa "NetPrank". Sin

19

embargo, el uso de NetBus ha tenido graves consecuencias. En 1999, NetBus se utiliz para la pornografa infantil en el equipo de trabajo de Magnus Eriksson, un erudito en Derecho Universidad de Lund. Las 3500 las imgenes fueron descubiertas por los administradores del sistema, y Eriksson se supone que lo haba descargado a sabiendas. Eriksson perdi su puesto de investigador en la facultad, y tras la publicacin de su nombre huyo del pas y tuvo que buscar atencin mdica profesional para hacerle frente al problema. Fue absuelto de los cargos penales a finales de 2004, cuando un tribunal dictamin que se haba utilizado NetBus para el control de su ordenador. 1.7.1.1. Caractersticas

Existen dos componentes para la arquitectura cliente-servidor. El servidor debe ser instalado y ejecutado en el equipo que quiere ser controlado a distancia, el tamao de archivo es de casi 500 KB. El nombre y el icono han variado mucho de versin a versin. Nombres comunes eran "Patch.exe" y "SysEdit.exe". Cuando se inicia por primera vez, el servidor se instala en el ordenador host, incluyendo la modificacin de Windows del Registro para que se inicie automticamente en cada inicio del sistema. El servidor atiende las conexiones en el puerto 12345 (en algunas versiones, el puerto es configurable), el puerto 12346 se utiliza para ciertas tareas, as como el puerto 20034. El cliente es un programa separado de la presentacin con una interfaz grfica que permite al usuario realizar una serie de actividades en el equipo remoto, como pueden ser: Registro de las pulsaciones del teclado (Keylogging), Inyeccin de teclas de manera remota, Captura de pantalla, permitiendo descargarla al cliente, Ejecucin remota de aplicaciones, Navegacin por los archivos y carpetas del servidor, Apagado del sistema, Abrir / cerrar la bandeja del CD, Tunneling. NetBus hace conexiones a travs de un sin nmero de sistemas, el cliente de NetBus fue diseado para las siguientes versiones de Windows: Windows 95, Windows ME, Windows NT 4.0, Windows 2000 y Windows XP (Netbus client v1.70). La mayor parte del

20

protocolo utilizado entre el cliente y el servidor es textual. Por lo tanto, el servidor puede ser controlado por comandos, permitiendo administrar equipos con NetBus desde sistemas operativos distintos a Windows. Las caractersticas, tales como la captura de pantalla, requieren una aplicacin con capacidad de aceptar datos binarios, tales como netcat. La mayora de los protocolos ms comunes (como el Internet Relay Chat protocolo POP3, SMTP,HTTP) tambin se puede utilizar con conexiones de una manera similar. NetBus Pro 2.0 fue liberado en febrero de 1999. Se comercializa como una poderosa herramienta de administracin remota, pero existen versiones especiales hacker que permiten utilizarlo con fines ilegales. Todas las versiones del programa han sido ampliamente utilizadas por los "script Kiddies" y fue popularizado por el lanzamiento de Back Orifice. Debido a su pequeo tamao, Back Orifice se puede utilizar para obtener acceso y control a una mquina remota. El atacante puede utilizar Back Orifice NetBus para instalar el servidor en el equipo de destino. Tambin existe una herramienta llamada NetBuster. Lo que Pretende es ejecutar en un servidor, NetBuster podra ser utilizado para mando a distancia.

1.7.2. Back Orifice Es un programa de control remoto de ordenadores que funciona bajo un servidor y un cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el cliente, gobernar cualquier funcin del ordenador remoto, entre los que destaca abrir y cerrar programas, controlar el CD-ROM, leer y modificar ficheros o borrar parte del disco duro. Para ello el servidor se autoejecuta y se borra cada vez que el ordenador ajeno se enciende, el cliente escanea el puerto elegido y cuando ste est abierto acta a travs de l, desde un men repleto de pestaas y opciones de control remoto. El sistema es bueno para controlar un ordenador u ordenadores dentro de nuestra red LAN, aunque dejar esta puerta abierta para Windows es toda una amenaza.

21

Back Orifice fue diseado con una arquitectura cliente-servidor. Un pequeo y discreto programa servidor es instalado en una mquina, la cual es controlada remotamente por un programa cliente a travs de una interfaz grfica desde otro ordenador. Los dos componentes se comunican usando los protocolos de red TCP y UDP. Normalmente el programa usa el puerto 31337. 1.7.2.1. Back Orifice 2000 (BO2k)

Back Orifice fue seguido de Back Orifice 2000, que fue presentado el 10 de julio de 1999 en el DEF CON 7. El cdigo original fue escrito por Dildog, un miembro de grupo de hackers estadounidenses Cult of the dead cow (cDc). Fue el sucesor de la herramienta de administracin remota Back Orifice, liberada el ao anterior. Mientras que el Back Orifice original estaba limitado a Windows 95 y Windows 98, BO2K tambin soporta Windows NT. Adems, el cdigo fuente de BO2K fue liberado. 1.7.3. Sub 7 Es un software que afecta a los sistemas Microsoft Windows a travs del Internet, es tambin categorizado como troyano o Puerta trasera por ciertas caractersticas similares a las de un Virus informtico. Tambin puede ser usado para actividades de espionaje, Hacking, y a veces hasta criminales o robo de informacin sensible. El nombre del software deriva de otro software de la misma categora llamado NetBus cuya escritura a la inversa es suBteN en la que sustituyendo la silaba ten por seven que formara la palabra SubSeven. Originalmente el software fue diseado y escrito en Borland Delphi por un programador auto-denominado como Mobman de origen Rumano desde 1999. Por varios aos el proyecto estuvo descontinuado y sin noticia alguna, luego que la pgina oficialwww.subseven.org fue actualizada anunciando una nueva versin el cual su lanzamiento est preparado para el 28 de febrero del 2010. El proyecto estuvo inactivo por ms de 6 aos, cuando en Julio del ao 2009, el autor y su co-programador fc decidieron re-iniciar el proyecto, marcando 10

22

aos despus de la creacin de la primera versin del software en 1999, en donde el autor obtuvo copia de la versin 4.0 del entorno de desarrollo Borland Delphi, donde us como base el cdigo fuente del NetBus creado por CarlFredrik Neikteragregando ms opciones avanzadas y re-estructurndolo, formando as el Sub7. 1 2 3. 1.7.3.1. Caractersticas y funcionamiento

El Cliente es el software que enva los comandos de control interpretados por el servidor como instrucciones de control y es usado por el usuario que tiene por objetivo obtener informacin y control sobre el sistema remoto, siendo as el usuario tendra las habilidades de control remoto tales como la posibilidad de editar el archivo registro del servidor windows, girar la pantalla, modificar los colores de los escritorios, obtener informacin, realizar grabaciones de vdeo o de sonido, apagar y reiniciar el sistema, visualizar cmara y pantalla del computador remotamente e incluso obtener teclas presionadas. El Editor del Servidor es usado para editar y configurar la forma en que se instala el servidor en la computadora remota y especificar el Puerto de red en la cual se establecer la conexin remota, tambin se puede configurar notificaciones de instalacin exitosa, auto-copiado del servidor a una carpeta diferente a donde fue ejecutado como mtodo para evitar la eliminacin del archivo por parte del usuario controlado, cambiar icono del servidor "camuflaje", inyectar procesos, proteger el servidor por contrasea evitando la manipulacin del sistema remoto por otro usuario que posea el cliente del SubSeven y otras funciones que permiten la instalacin del servidor de forma invisible para el sistema que va a ser controlado por el cliente. El Servidor es el programa que residir en el sistema que ser controlado, no posee interfaz grfica ya que sus funciones estn orientadas a recibir y ejecutar instrucciones enviadas desde el cliente del SubSeven, siendo invisible para el sistema y controlado de forma furtiva, normalmente el tamao del

23

servidor est entre los 25Kb a 120Kb dependiendo de la capacidad de funciones que se incluyan en dicho software, normalmente se usan plugins o complementos para usar ms funciones no incluidas en el servidor, que son instaladas desde el cliente como archivos de extensin Dll, obteniendo ms control sobre el sistema sin necesidad de aumentar el tamao del servidor. Sus funciones bsicas son:

Captura del teclado obtiene las pulsaciones del teclado. Chat: Le da la posibilidad de chatear al usuario remoto o de otros clientes que ya estn conectados a la misma computadora. Chat Matrix: Le permite chatear con el usuario remoto al estilo "matrix", al usuario remoto se le abrir una ventana totalmente negra con letras verdes fosforescentes y cubre toda la pantalla del computador, obligndolo a solo chatear con el usuario que usa el cliente de SubSeven. MSG Manager (Administrador de mensajes de alertas): Esta opcin sirve para configurar y enviar una notificacin de alerta de Microsoft Windows con un mensaje personalizable por parte del Cliente. Instant usuario Messenger remoto en Spy las (Espa de Mensajera aplicaciones Instantnea): deMensajera

Caracterstica que posibilita ver en tiempo real conversaciones del diferentes instantnea como lo son: Windows Live Msn, ICQ, AIM , etc. FileManager (Administrador de Archivos): Esta caracterstica permite explorar en disco duro remoto por medio del sistema de ficheros del windows, usted puede cargar / descargar / modificar / eliminar cualquier archivo que desee. Bsicamente, es como el Explorador de Windows pero en forma remota. Windows Manager (Administrador de Ventanas): Aqu usted puede controlar cualquier ventana abierta en el computador remotamente, por ejemplo, bloquear, cerrar, minimizar y maximizar una de sus ventanas de su explorador web, Bloc de notas, o algn otro programa abierto.

24

Process Manager (Administrador de tareas): Con esta opcin, podr ver los procesos en ejecucin, y detalles de esos archivos, como su peso, consumo de memoria de la Unidad central de procesamiento, etc. Clipboard Manager (Administrador del Porta papeles): Captura cualquier texto grabado en el portapapeles del computador.

SubSeven 2.1.5 Legends Esta edicin fue lanzado en el mes de Febrero del 2003, considerado por el autor como "Edicin de aniversario", ya que su primera versin fue desarrollado en el mismo mes pero en el ao 1999. Es la versin ms estable y confiable de todas las versiones existentes, a diferencia de sus versiones anteriores, este soporta plataformas de Microsoft Windows NT/2K/XP, pero quedando en la categora de troyanos de conexin directa (Conexin de Cliente a Servidor) en la cual el computador remoto abre un puerto de red (en la versin 2.1.5 por defecto es: 27374) , y luego el Cliente se conecta a ese puerto estableciendo una conexin entre dos computadoras de forma remota a travs de la red , pero este queda obsoleto a cortafuegos actuales que bloquean cualquier conexin remota. SubSeven 2.2 Esta versin es segn el autor, de tipo Beta o versin de prueba, es la nica versin modular de sub7, ya que permite de forma personalizada editar y crear funciones, algunas inestables, pero agrega tres nuevas formas para autocargarse en Windows, ejecutndose en cada reinicio del sistema, de esa manera siempre estar disponible al conectarse el sistema remoto a Internet: Usando la opcin de Componentes Instalados del registro, Creando una carpeta de inicio personalizada, Creando un archivo EXPLORER. EXE en el directorio raz. A diferencia de versiones anteriores, la 2.2 agrega la posibilidad de enviar comandos en lnea y utiliza plugins (actualizaciones) va Internet, como lo hace el BO2K (Back Oriffice 2000). Estos plugins se descargan de cualquier sitio Web o Alojamiento web en la que este alojado el archivo DLL, y se instalan en la computadora remota descargndose de dicho servidor web. Los mismos

25

llevan la extensin Dll con nombres aleatorios, y son guardados en la carpeta C:\WINDOWS\SYSTEM.11 12 SubSeven 2.3 Esta versin fue lanzado el 28 de febrero del 2010, formar parte de la nueva generacin de troyanos de conexin inversa, en la cual consiste en que el servidor se conectara al cliente quien tendr el puerto de red abierto para establecer una conexin entre las dos computadoras, de esta forma configurando el servidor , especificara su IP o Dominio de red para que el servidor de SubSeven se conecte a su computador o sistema al puerto de red especificado. Incluye nuevas funciones:

Desinstalacion silenciosa de programas. Obtener contrasea de red Wifi. Control completo del sistema remoto / y visualizador de pantalla remota como el Teamviewer. Recupera contraseas de VNC. Obtiene contraseas guardadas por el explorador Google chrome , Internet Explorer. Obtiene Obtiene contrasea guardadas de de redes compartidas Microsoft (Incluye office /

contraseas de Windows Live Messenger)

contraseas

sistemas

Windows / Microsoft SQL Server.

Sistema de Scaner bluetooth (32bit) esto hace un Scaneo por 30 segundos para encontrar alguna informacin sobre los dispositivos bluetooth conectados como telfonos etc, entonces descarga potencialmente al texto obteniendo datos del telfono o contraseas.

Recopila informacin acerca de dispositivos USB conectados. Obtiene cuentas y contraseas de Microsoft Outlook 2000 (solo cuentas POP3 y SMTP), Microsoft Outlook 2002/2003/2007 (cuentas de POP3, IMAP, HTTP y SMTP)y Windows Mail.

26

Obtiene cuentas y contraseas de Windows Live Mail, IncrediMail y Eudora. Netscape 6.x/7.x (si la contrasea no est cifrada con la contrasea maestra) Mozilla Thunderbird (si la contrasea no est cifrada con la contrasea maestra) Group Mail Free Correos Yahoo!- Si la contrasea est guardado en el Yahoo! Messenger. Hotmail/MSN mail - Si la contrasea est guardado en el MSN/Windows/Live Messenger. Gmail - Si la contrasea esta guardada en el Gmail Notifier, Google Desktop, o por el Google Talk. ICQ Lite 4.x/5.x/2003 AOL Instant Messenger v4.6 o versiones anteriores, AIM 6.x, y AIM Pro. Trillian Astra* Miranda GAIM/Pidgin* MySpace IM PaltalkScene Digsby El 1 de Abril del ao 2010, a los 5 das despus de que el sitio

web www.subseven.org fue desfigurado por un pirata informtico que se hace llamar -Punk-, el equipo del portal de Sub7 anunci en su sitio web que el proyecto ha llegado a su fin, debido al incidente con el pirata informtico. El equipo de Sub7 anunci que el hacker ha robado el cdigo fuente y la base de datos del sitio eliminado todos los proyectos. En primer lugar, se crea que era una broma de April Fools, pero despus que el sitio web se restauro ms tarde luego de que estuviera fuera de la red, al da siguiente se rastreo una fuerte argumentacin en un foro abierto donde el intruso publico informacin de su hazaa, result que no era una broma de April Fools. Aunque si se haya cancelado el proyecto el 1/4/2010. Han habido visitas recientemente, en las

27

cuales, anuncian en el sitio web www.subseven.org que en un corto tiempo se abrir un nuevo proyecto llamado SubSeven 2.3.1 desde 1/11/2010. 1.7.4. Nuclear RAT Abreviatura de Nucleares de administracin remota Tool es una puerta trasera troyano que infecta los sistemas Windows de la familia NT (Windows 2000, XP, 2003). Se utiliza un creador servidor, un cliente y un servidor para tomar el control de un mando a distancia equipo. Utiliza el proceso de secuestro para engaar a los cortafuegos, y permite que el componente del servidor de secuestrar los procesos y obtener los derechos para acceder a Internet. El componente de servidor (217600 bytes) se ha cado en Windows, System32, carpetas o archivos de programa, en virtud de un llamado carpeta personalizada, el valor predeterminado es NR. Una vez que el componente de servidor se ejecuta, intenta conectarse a su cliente, que escucha las conexiones entrantes en un puerto configurable, para permitir al atacante ejecutar cdigo arbitrario o desde su computadora.

El componente de edicin servidor tiene las siguientes capacidades:

Crear el componente de servidor Cambiar el componente de servidor de puerto serie y / o direccin IP / DNS , de reintento de conexin directa o inversa modo de conexin, el intervalo. Cambio de nombre del ejecutable del componente del servidor, la carpeta de instalacin, proceso de destino secuestro Cambie el nombre del registro de Windows la entrada de inicio Cambiar la ubicacin de notificar a PHP Incluya todos los plugins que se ejecutar una vez que corri Incluir un falso mensaje de error que se mostr sobre la ejecucin

28

El componente cliente tiene las siguientes capacidades:

Realizar capturas de pantalla Ver fotos webcam La captura de movimientos clave del teclado ( registro de pulsaciones ) Informacin general sobre el equipo (nombre de usuario, zona horaria, la versin instalada, de idioma, las unidades disponibles, etc) Control del ratn Remoto MTD / la ejecucin del script VBS Resolucin del monitor SOCKS 5 Servidor web HTTP Shell consola Administrador de archivos (Descargar archivos y carpetas, borrar, cargar, ejecutar, renombrar, copiar, atributos Set, crear carpetas, etc) Window Manager (Ocultar, mostrar, cerrar, minimizar / maximizar, activar / desactivar X, el ttulo renombrar, enviar llaves, etc) Process Manager (matar, descargar DLL, DLL de la lista) Registro Manager (Crear clave, editar los valores REG_DWORD, REG_BINARY, REG_MULTI_SZ, REG_SZ, crear valores, los valores de cambio de nombre) Portapapeles gerente Administrador de plugins (para aadir funcionalidad adicional para el malware) Parada de la computadora Cuadro de mensaje Chat con la mquina infectada Web Downloader IP Scanner Puerto redirigir TCP tnel Cam caplute

29

Ver Eden / Jimbolance

1.7.5. ALS/BURSTED Software escrito para el lenguaje AutoLISP de AutoCAD, creado el 17 de julio del 2006 se replica en un archivo separado, llamado ACAD.LSP, que es ejecutado automticamente por AutoCAD. Se localiza en el mismo directorio de los DWG. Cuando un DWG es abierto, AutoCAD carga y ejecuta el contenido de ACAD.LSP. Se copia a s mismo en el directorio de soporte de AutoCAD como ACADAPP.LSP. Agrega un comando de carga al archivo ACAD.LSP en el mismo directorio, de modo que el virus se ejecuta cada vez que AutoCAD es iniciado. Despus, se copiar en cada directorio en que el usuario abra archivos DWG, con el nombre ACAD.LSP. Este troyano se engancha a tres comandos internos de AutoCAD, deshabilitndolos, a la vez define un nuevo comando BURST que despliega el siguiente mensaje: BURST----". En la primera de las variantes, BURST [DESCBLQ], est disponible en el men Express -> Blocks -> Explode, y sirve para "explotar" bloques, convirtiendo los valores de los atributos en texto. Cuando el usuario intenta acceder a este comando, recibe el siguiente mensaje: was not able to be explode. En el segundo caso, reemplaza el comando ATTEDIT con uno falso, que le pide al usuario seleccionar objetos (Select objects:), y entonces muestra un mensaje diciendo que no se ha encontrado ninguno (Seltct objects: ?found), donde "?" es un nmero. Finalmente muestra otro mensaje diciendo que el objeto "?" no est disponible (? was not able to be attedit). 1.7.6. BAT/BOOHOO.A Troyano creado el 26 de julio del 2003, es un conjunto de archivo de proceso por lotes y aplicaciones capaces de copiar el software mediante recursos de red con contraseas dbiles. Los componentes del virus podemos dividirlos en dos grupos, unos con cdigo malicioso y otro compuesto de aplicaciones las cuales ayudan a su funcionamiento.

30

Archivos maliciosos:

hacker.bat ip.bat scan.bat starter.bat Xecuter.bat regkeyadd.reg ntscan.exe service.exe svhost.exe drvrquery32.exe (servidor ftp) CYGWIN1.dll CommonDlg32.dll Firedaemon.exe (usado para registrar servicios) HideRun.exe (ocultador de procesos) clearlogs.exe (elimina los registros del sistema) psexec.exe (inicia procesos en forma remota) psexec.bat random.exe (generador de nmeros aleatorios) NT-pass.dic (archivo de datos usado por ntscan.exe) NT-user.dic (archivo de datos usado por ntscan.exe) rep.exe (archivo usado por ntscan.exe para editar los resultados) rep.bat (archivo usado por ntscan.exe para editar los resultados) replace.txt (archivo usado por ntscan.exe para editar los resultados) proreset.txt (archivo de configuracin de la puerta trasera) protmp.txt (archivo de configuracin de la puerta trasera) pro.gif (archivo de configuracin de la puerta trasera) sys.txt wm.txt

Aplicaciones:

31

Cuando el virus es ejecutado copia todos los archivos arriba listados al directorio C:\Windows\System con atributo de archivo oculto. Utilizando el Firedaemon genera los siguientes servicios: Startupdll Psexec.bat (script de arranque), Msinet Svhost.exe (troyano de puerta trasera), Drvmanager Drvrquery32.exe (servidor ftp). El archivo Svhost.exe es un troyano de IRC el cual se conecta a servidores predeterminados mediante los puertos 6666 o 7000. Luego agrega adems los siguientes valores a la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run dichos archivos sean ejecutados al inciar Windows: "drvmanager"="C:\Windows\System\drvrquery32.exe /S" "HideRun.exe"="C:\Windows\System\Hiderun.exe C:\Windows\System\svhost.exe C:\Windows\System\pro.gif" "Xecuter.bat"="C:\Windows\System\psexec.bat" logrando que

Captulo II

FORMAS, SINTOMAS DE INFECCION E IMPACTANTES AMENAZAS

A grandes rasgos, los troyanos son programas maliciosos que estn disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar ms programas indeseables o

32

maliciosos. Los troyanos conocidos como droppers son usados para empezar la propagacin de un gusano inyectndolo dentro de la red local de un usuario. Una de las formas ms comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto tambin. Los autores de spyware que intentan actuar de manera legal pueden incluir unos trminos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender. 2.1. Formas de infectarse de un Troyano La forma de intrusin a nuestro sistema es muy conocida por quienes alguna vez han sido afectados por este programa, se aloja dentro de alguna aplicacin de una Web no confiable ya sea, una imagen gif, un archivo de msica (mp3, mov, mva), videos, programas, etc. Otro mtodo de infeccin es por correo electrnico, cuando recibimos archivos adjuntos de algn remitente desconocido, al estar instalado en la PC este programa se desarrolla normalmente sin ser detectado por el antivirus ya que aparentemente est ejecutando la aplicacin que queremos, pero internamente el troyano se encarga de vulnerar nuestra PC, por eso es que se le conoce como caballo de Troya por que utiliza alguna distraccin y al igual que los pobladores troyanos dejan ingresar al ente que les causara mucho dao y destruccin. La mayora de infecciones con troyanos ocurren cuando se ejecuta un programa infectado con un troyano. Estos programas pueden ser de cualquier tipo, desde instaladores hasta presentaciones de fotos. Al ejecutar el programa, este se muestra y realiza las tareas de forma normal, pero en un segundo plano y al mismo tiempo se instala el troyano. El proceso de infeccin no es visible para el usuario ya que no se muestran ventanas ni alertas de ningn tipo. Evitar la infeccin de un troyano es difcil, algunas de las formas ms comunes de infectarse son: Descarga de programas de redes p2p y sitios web que no son de confianza.

33

 Pginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o aplicaciones Java). Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia, clientes de mensajera instantnea). Ingeniera social (por ejemplo un cracker manda directamente el troyano a la vctima a travs de la mensajera instantnea). Archivos adjuntos en correos electrnicos y archivos enviados por mensajera instantnea. Para un usuario de red que est protegido por un cortafuegos y cuyas conexiones ICQ e IRC estn deshabilitadas, la infeccin ocurrir en la mayora de las ocasiones a travs de un adjunto de correo o descargando software de un sitio web. Muchos usuarios argumentan no abrir nunca un adjunto o descargar software de sitios desconocidos, sin embargo, astutas tcnicas de ingeniera social utilizadas por los hackers pueden engaar a la mayora de los usuarios para ejecutar el adjunto infectado o descargar el software malicioso sin ninguna sospecha. Un ejemplo de un Troyano que hace uso de la ingeniera social fue el Septer.troj, que fue transmitido por correo en Octubre de 2001. Este se camuflaba como un formulario de donacin para los esfuerzos de socorro del desastre de la Cruz Roja de Amrica y requera a los usuarios a completar un formulario, incluyendo sus detalles de tarjeta de crdito. El Troyano encriptaba estos detalles y los enviaba al sitio web del atacante. Es asombroso cmo muchas personas son infectadas por ejecutar un adjunto enviado a su buzn. Imagine el siguiente escenario: La persona que se ha centrado en usted sabe que tiene un amigo llamado Alex y tambin conoce su direccin de correo. El atacante camufla un Troyano como contenido interesante, por ejemplo, un chiste basado en Flash, y le enva un correo a usted con el nombre de su amigo. Para hacer esto, el atacante utiliza algn servidor de retransmisin de correo para falsificar el FROM del correo y hacer que

34

parezca que quien lo enva es Alex: La cuenta de correo de Alex es alex@example.com, por lo que el campo FROM del atacante se cambia por alex@example.com. Usted comprueba su correo, ve que Alex le ha enviado un correo con un adjunto que contiene un chiste, y lo ejecuta sin pensar que podra ser malicioso "porque Alex no me enviara algo como esto, el es mi amigo!. La informacin es poder: solo por que el atacante saba que tiene un amigo llamado Alex, y sabia y adivin que le gustara un chiste, consigui infectar su equipo!. Son posibles varios escenarios. Lo principal es que slo toma UN usuario para infectar a su red. Adems, si no dispone de software de seguridad de correo que pueda detectar ciertos abusos, entonces los adjuntos podran incluso ejecutarse automticamente, lo que quiere decir que un hacker puede infectar un sistema tan sencillamente como envindole el Troyano como un adjunto, sin intervencin por parte del usuario. Los Troyanos tambin pueden distribuirse a travs de un sitio web. Un usuario puede recibir un correo con un enlace a un sitio interesante, por ejemplo. El usuario visita el sitio, descarga algn archivo que cree que necesita o quiere, y sin su conocimiento, se instala un Troyano listo para ser utilizado por el atacante. Un ejemplo reciente es el Troyano ZeroPopUp, que fue diseminado a travs de una difusin spam e incitaba a los usuarios a descargar el Troyano, describindolo como un producto que bloqueara los anuncios popup. Una vez instalado el Troyano enviara un correo a toda la libreta de direcciones del usuario infectado, promocionando la URL y el software ZeroPopUp. Como este correo se enviaba desde un amigo o compaero, uno es ms dado a comprobar la URL y descargar el software. Adems, hay miles de archivos de "hacking/seguridad" en proveedores de espacio web gratuito como Xoom, Tripod, Geocities y muchos otros. Dichos archivos estn llenos de programas de hacking, escneres, mail-bombers, y otras herramientas. A menudo muchos de estos programas son infectados por la

35

persona que cre el sitio. De nuevo, un nico usuario podra infectar a toda la red. En Enero de 2003, TruSecure, la firma de gestin de riesgo que tambin posee ICSA Labs e InfoSecurity Magazine, alertaba que los autores de cdigo malicioso incrementarn el camuflaje de los Troyanos de acceso remoto como entretenimiento 'adulto', por ejemplo, y publicarn estos programas en sitios pornogrficos o grupos de noticias, para dirigirse a nuevos usuarios. Usuarios concretos tambin sern captados de esta forma, por lo que el atacante podr entonces enviar la URL que contiene el programa malicioso camuflado a una vctima que no sospecha. En similares trminos, el Troyano Migmaf o "migrant Mafia" que apareci en Julio de 2003 atac unos 2.000 PCs basados en Windows con conexiones de Internet de alta velocidad, permitindoles ser utilizados para enviar anuncios de pornografa. El Troyano Migmaf convierte el equipo de la vctima en un servidor proxy que se utiliza como una especie de intermediario entre las personas que pulsan sobre un correo o enlace a sitios porno - esto permita al equipo de la vctima traer anuncios web pornogrficos desde un servidor sin identificar y pasar los anuncios a otros equipos a travs de un correo spam o navegador web.

2.2. Sntomas de comunes de la infeccin por un Troyano La infeccin de un Troyano generalmente aparece despus de abrir un archivo contaminado que contiene el Troyano (consulte el artculo acerca de cmo protegerse de los gusanos) y la infeccin es evidente por los siguientes sntomas: Actividad anormal del mdem, adaptador de red o disco duro: los datos se cargan aunque el usuario no registre actividad. Reacciones extraas del ratn. Programas que se abren en forma inesperada. Bloqueos repetidos.

36

 Aparicin y/o desaparicin de archivos. Ralentizacin del sistema. Aparicin de archivos temporales sin justificacin. Bloqueos continuos del PC. Reinicios continuos del PC. Inicializacin/Finalizacin de programas sin justificacin. La bandeja del CD se abre/cierra sin motivo alguno. El teclado deja de funcionar. Actividad en el mdem cuando no se est realizando ningn tipo de comunicacin. Las luces indicadoras del modem (externo) o el LED de actividad del disco duro (interno) pueden indicar este tipo de actividad. El servidor de Internet no reconoce nuestro nombre y contrasea o indica que ya est siendo utilizado. Lo mismo con el correo. Ejecucin de sonidos sin justificacin. Presencia de ficheros TXT o sin extensin en el HD (normalmente en -c:-) en los que reconocemos palabras/frases/conversaciones/comandos, que hemos escrito anteriormente (captura del teclado por parte del atacante). Presencia de archivos y/o carpetas con caracteres extraos, (como por ejemplo -| c-, que es el path por defecto del NetBus 2.X, o -%windir%patch.exe%windir%KeyHook.dll-, path por defecto del NetBus 1.X). Aparicin de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO" -Este podra ser ya es un sntoma muy claro de una infeccin de troyano. 2.3. Ejemplos de Impactantes Amenazas 2.3.1. Nuevo troyano se hace pasar por Microsoft Security Essentials La creatividad de los diseadores de software malicioso no se detiene. Aprovechando el temor de los usuarios por infecciones con malware y virus,

37

han creado un troyano que se hace pasar por la herramienta de seguridad de Microsoft, Security Essentials, para lograr que los usuarios descarguen este software malicioso, pensando que se trata del antivirus de Microsoft. Esta nueva tcnica de engao, basada en disfrazar a un troyano como esta popular herramienta de seguridad de Microsoft, est teniendo una expansin de cuidado. Esta modalidad fue descubierta en un anlisis de seguridad hecho por la compaa F-Secure y fue publicada directamente en su blog. El objetivo del engao es simple, se trata de engaar a la victima creando una infeccin falsa, dando un mensaje de que para remover el software malicioso se debe adquirir una herramienta de seguridad extra, la cual tambin es falsa y posiblemente tenga algn software capturador de claves, estafas electrnicas o ingreso a la mquina infectada en una botnet. La compaa Microsoft detect en el mes de febrero un Security Essential falso, con la misma modalidad de uso. Esto refleja un aumento de atencin de los creadores de software malicioso hacia Security Essentials, ya que aumenta su nmero de usuarios, calculndose en cerca de 30 millones. Para evitar ser vctimas de este tipo de fraudes, es recomendable mantener nuestros sistemas de seguridad actualizados y realizar la descarga de software directamente de las pginas web oficiales de los programas.

2.3.2. Bohu: Nuevo troyano que desafa a los antivirus cloud La aparicin de un nuevo troyano llamado Bohu desafa a los antivirus cloud, ya que cuenta con la capacidad de esconderse del sistema de deteccin de estos programas de proteccin que se encuentran en la nube. Lo peligroso de este troyano, es que comienza un proceso de deshabilitacin del antivirus que opera en la nube con la finalidad de instalar otro malware en el equipo infectado e incluso, es capaz de bloquear las pginas de seguridad de los software de proteccin para impedir las actualizaciones de los sistemas de proteccin.

38

Bohu ha sido detectado en Taiwn por parte del equipo de seguridad Chino de Microsoft. Los investigadores han descrito que el troyano se hace pasar por un reproductor de video de alta definicin, o como un falso codec de video para poder ser instalado en el PC, y utiliza tres estrategias determinantes para dejar fuera de combate a los antivirus: Altera el hash que enva el antivirus cloud a sus servidores, aadiendo bites de ms para burlar el anlisis que se hace directamente en el servidor. Instala controladores NDIS, para bloquear las comunicaciones con el servidor del antivirus. Instala su propia interfaz de proveedor de servicio, para bloquear el trfico entre el cliente y el servidor del antivirus en la nube. Con estas estrategias han logrado burlar diferentes antivirus cloud Chinos, pero no se descarta que las tcnicas puedan extenderse para bloquear antivirus cloud occidentales estables. 2.3.3. Oleada de troyanos Mitglieder Contina la avalancha de troyanos Mitglieder: ya son ms de 30 los pases afectados por las diversas variantes de esta amenaza. Cuatro de las cinco variantes (las correspondientes a las variantes FK, FL, FM y FN) se encuentran entre las 6 amenazas ms detectadas por la solucin antivirus online de Panda Software, Panda ActiveScan. Adems, PandaLabs ha confirmado la asociacin del gusano Bagle.FN con el troyano Mitglieder.FK, envindolo desde los equipos a los que infecta, lo que favorece su propagacin. Este gusano se propaga envindose como un adjunto en un correo a direcciones que consigue del ordenador afectado. Su principal accin, adems de desproteger el equipo, se centra en tratar de descargar un archivo que contiene caractersticas para generar correos, a los que enviar copias de Mitglieder.FK. Pese a la proliferacin de nuevas variantes de Mitglieder, la funcionalidad es similar: troyanos que se instalan en el equipo y, en el caso de las variantes

39

FK, FL y FN, intentan descargar un fichero de un sitio web remoto, en lo que podra suponer un punto de entrada para otras amenazas. La variante FM centra su actividad en deshabilitar las protecciones antivirus del equipo, bloquear el acceso a pginas web, principalmente de compaas de seguridad informtica, y eliminar toda posibilidad de modificar el registro, para que dichas acciones no puedan ser revertidas. Sin duda la gran baza de estas variantes est siendo su amplsima distribucin, tanto por medio de spam manual, como gracias a su asociacin a gusanos Bagle, algo que no es nuevo en esta familia, comenta Luis Corrons, director de PandaLabs. Uno de los grandes perjudicados de estas oleadas pueden ser las empresas, que pueden ver inundado su correo con emails conteniendo los troyanos: por ello, recomendamos que se activen todos los filtros para contener esta infeccin, principalmente en entornos corporativos. 2.3.4. Dispositivos USB podran ser utilizados como troyanos de hardware Una investigacin realizada por ingenieros del Royal Military College de Canad, ha logrado demostrar que puede robarse informacin de un ordenador y trasmitirla de manera remota, aprovechando una vulnerabilidad del sistema plug & play del protocolo USB. Dicho protocolo es el que permite que los dispositivos USB puedan ser instalados y aceptados por el ordenador sin necesidad de software de instalacin. Durante la investigacin se demostr que se puede crear un exploit que puede robar y enviar informacin del disco duro -utilizando Flash Led, datos de audio imperceptibles o incluso, a travs de correo electrnico- convirtindose en una verdadera amenaza potencial para nuestros ordenadores y datos. Segn este estudio, es recomendable ser cautelosos con el uso de gadgets USB, ya que stos en un futuro bastante cercano podran ser utilizados como troyanos de hardware para ingresar a nuestros sistemas y robar informacin vital. 2.3.5. Troyanos sern utilizados por el Estado suizo para espiar a la gente Suiza, un pas muy civilizado, que utilizar tcnicas de intrusin por medio de virus troyanos para escuchar conversaciones de voz en Internet (VoIP). La

40

empresa suiza ERA IT Solutions facilitara este programa espa, que est siendo estudiado por del departamente de gobierno. El proceso sera el siguiente: una vez obtenida la orden de un Juez, el gobierno podra obligar a un proveedor de Internet a registrar las charlas telefnicas, pero en pequeos paquetes de datos para evitar las sospechas. Los programas antivirus no podran actuar contra este programa porque el mencionado virus troyano es desconocido para ellos, es decir que no est en las bases de datos de los antivirus, y los firewalls no representan ningn problema, en palabras del fabricante de este troyano. Pero el troyano espa no se queda all: puede tambin prender el micrfono conectado a la PC con Windows y la cmara web, para espiar completamente la sala en la que se encuentra la mquina. No hay demasiada informacin acerca de si los gobiernos de otros pases tienen planeado usar programas espa en el futuro o si (como es de suponerse) ya los estn utilizando en estos momentos. Por lo pronto la nica solucin confiable sera utilizar un sistema GNU/Linux (o BSD o Minix, etc.) completamente renovado (cuanto ms nuevo o raro sea el kernel, mejor), de tal modo que todo el software hecho para Windows no tendr cabida en nuestra mquina y es recomendable esta solucin no porque como ciudadanos hayamos hecho algo digno de ser espiado, sino para defender ciertamente el derecho a la privacidad y la intimidad. 2.3.6. El fraude bancario en Ecuador, un tema en auge Se ve en los medios de comunicacin y anuncios en la radio que la nueva modalidad de robo es dirigido a las cuentas bancarias, es ms simple para un ciber delicuente crear un sitio falso, crear un programa infeccioso, robar tus ahorros y desparecer con tu dinero. Aunque no es algo nuevo este tema, en nuestro pas poco a poco va llamando la atencin y ya se ve reuniones entre representantes del Gobierno y de la Banca con la finalidad de llegar a acuerdos para las personas que han sufrido estos robos y mecanismos de prevencin que ayuden a evitar estas situaciones.

41

Para que un fraude se produzca por la presencia de un troyano bancario se han de dar tres circunstancias: 1. El equipo del usuario ha de estar infectado por este tipo de troyanos. 2. El espcimen que infect la mquina del usuario ha de atacar a la entidad bancaria con la que opera el usuario. 3. El usuario ha de iniciar sesin en su espacio de banca electrnica y rellenar los datos adicionales que se le soliciten. Para ayudar a no ser vctima de intento de fraude a travs de Internet o telefnico, a continuacin se recogen unas recomendaciones generales: 1. Utilizar cuentas de usuario con permisos limitados. 2. Utilizar contraseas seguras. 3. No enviar informacin personal o financiera a travs del correo electrnico. 4. Limitar la informacin personal que se proporciona en las redes sociales. 5. Usar programas de seguridad en los equipos en los que se realicen operaciones a travs de Internet. 6. Tener precaucin a la hora de descargar o abrir archivos adjuntos. 7. Mantenerse informado sobre cuestiones de seguridad informtica, conocer los riesgos y las principales amenazas de las que protegerse. Las estadsticas revelan el crecimiento en nuestro pas de los ataques informticos (Ver Anexo 2). Personalmente considero estos nmeros bajos, ya que estos valores son cuantificados en base a denuncias presentadas en la Fiscala en la unidad de Delitos Informticos. Con tantas amenazas que existen y nuevas que se generan cada da se recomienda al usuario no solo utilizar un antivirus, sino contar con mecanismos adicionales de proteccin como firewalls, software antispyware entre otros, pero sobre todo el sentido comn. 2.3.7. Facebook, Android y Anonimous protagonizan los ataques en el primer trimestre de 2011

42

En los tres primeros meses del ao el nmero de nuevas amenazas ha crecido un 26% respecto al mismo perodo del ao anterior, alcanzando las 73.000 diarias. El 70% de ellas son troyanos. Tres graves incidentes de seguridad han sido los protagonistas durante el primer trimestre del ao. A primeros de marzo tuvo lugar el mayor ataque de malware, hasta el momento, en Android. En cuatro das, las aplicaciones que instalaban con el troyano haban tenido ms de 50.000 visitas. Este malware no slo robaba informacin, sino que poda descargar e instalar otras aplicaciones sin el conocimiento del usuario. Google elimin dichas aplicaciones de su tienda y de los mviles afectados. Esta es una de las conclusiones del primer informe trimestral de 2011 sobre infecciones presentado por PandaLabs, que tambin seala el protagonismo cobrado en los ltimos meses por Anonymous. Este grupo de ciberactivismo, que lanz un ataque contra la SGAE en 2010, hacke la web y la cuenta de Twitter de Aaron Barr, CEO de la firma de seguridad norteamericana HBGary Federal. El ataque se produjo despus de que Barr asegurara tener datos de los cabecillas de Anonymous. El asalto a estas cuentas permiti el robo de decenas de miles de correos electrnicos que, posteriormente, fueron distribuidos desde The Pirate Bay. Entre ellos se han encontrado algunas informaciones que apuntan a que la compaa de seguridad ha llevado a cabo prcticas como la propuesta de desarrollo de un rootkit. Estas revelaciones han llevado al CEO a dimitir. En tercer lugar, el informe de PandaLabs seala que un californiano de 23 aos se ha declarado culpable de utilizar la informacin disponible en Facebook para hacerse con cuentas de correo y utilizar la informacin obtenida para chantajear a sus vctimas. Al parecer, el propio creador de esta red social, Mark Zuckerberg, ha sido vctima de un ataque de este tipo. En los primeros tres meses del ao se han registrado diariamente 73.000 nuevos ejemplares de malware, un 26% ms que en el mismo perodo de 2010. Los troyanos suponen casi el 70% de las nuevas amenazas. Por pases, China, Tailandia y Taiwn

43

siguen siendo los que presentan mayor ratio de infecciones; en el otro extremo del ranking se encuentran Irlanda, Per y Ecuador.

Captulo III PROTECCION Y ELIMINACION DE UN TROYANO En la actualidad, las motivaciones que estn detrs de los ataques informticos tienen que ver con que la informacin en s misma tiene un valor, y eso ha generado un verdadero comercio clandestino a partir del robo de datos, por este motivo es fundamental que se tomen precauciones no slo para proteger su continuidad operativa al ser vctimas de un ataque, sino tambin la

44

seguridad de la informacin de sus clientes y sus propios datos estratgicos. El acceso a internet sin medidas de proteccin son fuente de cdigos maliciosos y, por el momento, los usuarios no tienen conciencia de la necesidad de aplicar medidas contra troyanos. Los usuarios no tienen en cuenta la importancia de tomar medidas para mantener protegida la informacin. La falta de antivirus o algn tipo de aplicacin que impida el ingreso de cdigos maliciosos puede implicar un alto costo debido a la prdida de datos y todava no hay real conciencia sobre este tema. En el ao 2010 los ataques en comparacin al ao anterior han incrementado en un 65%. En el ao 2009 el 57% de los ataques informticos que afectan a las empresas se produjeron por troyanos que buscaban robar informacin desde los computadores y servidores de las compaas. 3.1. Protecciones ante un Troyano Existen algunos mtodos de proteccin, siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son: Proteccin a travs del nmero de cliente y la del generador de claves dinmicas Tener el sistema operativo y el navegador web actualizados. Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automticamente de forma regular ya que cada da aparecen nuevas amenazas. Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuando sea necesario cambiar la configuracin o instalar un nuevo software. Tener precaucin al ejecutar software procedente de Internet o de medios extrables como CDs o memorias USB. Es importante asegurarse de que proceden de algn sitio de confianza. Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia. Utilizar contraseas de alta seguridad para evitar ataques de diccionario.

45

Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extrables como CDs o DVDs para poderlos recuperar en caso de infeccin por parte de algn malware.

Las precauciones que recomiendo para evitar este tipo de programas, es que siempre al abrir con un archivo adjunto estar seguro de que el contacto es confiable y no un contacto desconocido ya que los correos por mail son una de las formas ms comunes de intrusin en los sistemas. Configura tu correo electrnico para que los archivos adjuntos que recibas ya no se abran automticamente sino que al abrir el mensaje te muestre algn aviso de seguridad para que este seguro que el archivo que te ah llegado es de un remitente conocido, si tu servicio de correo no cuenta con esta posibilidad entonces lo ms recomendable que puedes hacer es cambiar de cliente de correo ya que la vulnerabilidad que corre tu PC es muy grande, los correos que cuentan con esta propiedad son msm, yahoo, gmail entre otros. Revisa peridicamente los parches de tu sistema operativo ya que cada da se encuentran nuevos fallos en estos y mantn actualizado tus antivirus contra las nuevas amenazas que se presentan diariamente. Por ltimo evita utilizar programas peer to peer o P2P (emule, Kazaa, Limewire, Ares, Imesh o Gnutella) ya que generalmente al descargar de estos programas suelen traer consigo troyanos. 3.1.1. Cmo proteger su red de Troyanos Un error comn de concepto es que el software anti-virus ofrece toda la proteccin que usted necesita. La realidad es que el software anti-virus solo ofrece proteccin limitada. El software anti-virus solo reconoce una parte de todos los Troyanos conocidos y no reconoce los Troyanos desconocidos. A pesar de que la mayora de escneres de virus detectan muchos de los troyanos pblicos/desconocidos, son incapaces de analizar Troyanos desconocidos. Esto es porque el software anti-virus se basa principalmente en reconocimiento de las "firmas" de cada Troyano. Es ms, como el cdigo fuente de muchos

46

Troyanos est disponible, un hacker ms avanzado puede crear una nueva versin de ese Troyano, cuya firma NO la tendr el escner anti-virus. Si la persona planea atacarle descubrir qu software anti-virus utiliza, por ejemplo a travs de la nota de renuncia automtica agregada al correo saliente por algunos motores anti-virus, crear un Troyano especficamente para evitar su motor de virus. Aparte de fallar en detectar Troyanos desconocidos, los escneres de virus no detectarn todos los Troyanos conocidos - la mayora de fabricantes no buscan activamente nuevos Troyanos y la investigacin ha mostrado que cada motor anti-virus detecta un conjunto particular de Troyanos. Para detectar un porcentaje ms grande de Troyanos conocidos, necesita implantar mltiples escneres de virus; esto incrementara drsticamente el porcentaje de Troyanos capturados. Para proteger de forma efectiva su red contra los Troyanos, debe seguir una estrategia de seguridad multinivel: 1. Necesita implementar un analizador de virus para gateway y anlisis de contenido en el permetro de su red para el correo, HTTP y FTP - no es bueno tener una proteccin anti-virus de correo si un usuario puede descargar un Troyano de un sitio web e infectar su red. 2. Necesita implementar mltiples motores anti-virus en el gateway - A pesar de que un buen motor anti-virus habitualmente detecta todos los virus conocidos, es un hecho que utilizar mltiples motores anti-virus juntos detecta muchos ms Troyanos conocidos que un nico motor. 3. Necesita poner en cuarentena/comprobar los ejecutables que entran en su red va correo electrnico y web/FTP en el gateway. Usted tiene que analizar que podra hacer el ejecutable. Afortunadamente, hay herramientas disponibles que automatizarn una gran parte de este proceso. La deteccin de Troyanos desconocidos solo puede hacerse mediante la revisin manual del ejecutable, o utilizando un escner de Troyanos y ejecutables. El proceso de revisin manual de ejecutables es un trabajo tedioso

47

e intensivo en tiempo, y puede estar sujeto a error humano. Por lo tanto es necesario acometer este proceso inteligentemente y automatizar parte de l. Este es el propsito de un analizador de Troyanos y ejecutables. Un escner de ejecutables analiza inteligentemente qu hace un ejecutable y le asigna un nivel de riesgo. Desensambla el ejecutable, y detecta en tiempo real qu podra hacer. Compara stas acciones con una base de datos de acciones maliciosas y entonces evala el riesgo de seguridad del ejecutable. De esta forma pueden detectarse los Troyanos potencialmente maliciosos, desconocidos o excepcionales. El escner de Troyanos y ejecutables se ocupa de hackers avanzados que crean sus propias versiones de Troyanos, las firmas de los cuales no son conocidas por los software anti-virus. La proteccin a nivel de gateway, junto con mltiples motores anti-virus Y un escner de Troyanos y ejecutables proteger su red de los efectos peligrosos de los Troyanos. Proteccin a nivel de pasarela (gateway), dos productos que ofrecen proteccin gateway con mltiples motores anti-virus y un escner de Troyanos y ejecutables, as como otras caractersticas de seguridad, son: GFI MailSecurity for Exchange/SMTP es una solucin de anlisis de contenido, deteccin de vulnerabilidades, anlisis de Troyanos y ejecutables, anlisis de amenazas y anti-virus para el correo que elimina todo tipo de amenazas de correo antes de que puedan afectar a los usuarios de su organizacin. Las caractersticas clave de GFI MailSecurity incluyen mltiples motores antivirus, para independencia del motor y una mejor seguridad; anlisis de contenido y adjuntos, para poner en cuarentena adjuntos y contenido peligroso; una pantalla de vulnerabilidades, para detectar correos con vulnerabilidades de SO y aplicaciones; un motor de amenazas HTML, para desactivar los scripts HTML; y un Escner de Troyanos y Ejecutables, para detectar ejecutables potencialmente maliciosos. 3.1.2. Lista de puertos generalmente utilizados por Troyanos

48

Por lo general, los Troyanos abren un puerto en la mquina infectada y esperan que se abra una conexin en ese puerto para que los hackers puedan controlar el ordenador totalmente. (Ver Anexo 1) En caso de infeccin, el firewall pide la confirmacin de la accin antes de iniciar una conexin si un programa, cuyos orgenes desconoce, intenta abrir una conexin. Es muy importante que no autorice conexiones para un programa que desconoce porque podra tratarse de un Troyano. Si esto vuelve a ocurrir, es conveniente verificar que su ordenador no est infectado con un Troyano usando un programa que los detecta y elimina. (Denominado bouffetroyen). 3.2. Herramientas para eliminacin de Troyanos Una de las principales caractersticas de los troyanos es que no son visibles para el usuario. Un troyano puede estar ejecutndose en un ordenador durante meses sin que el usuario perciba nada. Esto hace muy difcil su deteccin y eliminacin de forma manual. Algunos patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automtica, el ordenador funciona ms lento de lo normal, errores en el sistema operativo. Por otro lado los programas antivirus estn diseados para eliminar todo tipo de software malicioso, adems de eliminarlos tambin previenen de nuevas infecciones actuando antes de que el sistema resulte infectado. Es muy recomendable tener siempre un antivirus instalado en el equipo y a ser posible tambin un firewall. 3.2.1. The Cleaner 2012 8.0.0.1059 The Cleaner es una nueva versin del programa de usos mltiples para la limpieza de su equipo frente al spyware, troyanos, gusanos. Software que protege el ordenador en tiempo real de los intentos no autorizados para instalar software malicioso. Tambin se implement la zona de cuarentena, comprobar si el equipo en un horario, para recibir las actualizaciones de la base de datos de firmas de troyanos y otro software malicioso a travs de Internet. Sistema

49

Compatible con S.O: XP/Vista/ XP x64/ Vista x64 / Win7 / Win7 x64. (Ver anexo 3) Una de las amenazas presentes en Internet son los troyanos, que son programas similares a un malware, camuflado dentro de programas inofensivos. The Cleaner limpiar el sistema de todos los troyanos que conozca, manteniendo tu sistema limpio de estos peligrosos elementos. The Cleaner busca en su disco duro y lo limpia de todos los troyanos conocidos. Usando una tecnologa avanzada nica The Cleaner compara cada archivo con una lista de troyanos conocidos. Puede escanear todo el sistema o simplemente un archivo. El programa tambin le permite actualizar peridicamente la base de datos de troyanos para mantenerla actualizada con las ltimas investigaciones. The Cleaner Pro incluye la deteccin en segundo plano, un nuevo y ms rpido motor de exploracin (alrededor de 100 archivos por segundo), la exploracin dentro de los archivos comprimidos, una nueva interfaz de usuario (GUI). Pruebas objetivas han demostrado que The Cleaner tiene mayor velocidad de anlisis y encuentra ms troyanos que otros programas de la competencia. 3.2.1.1. Caractersticas Proteccin contra malware : Actualizaciones en vivo Registro de seguimiento Activos de exploracin Planificacin del Lnea de comandos Alertas de correo electrnico TCMonitor Lista negra Los datos de configuracin de cifrado

50

exploracin avanzada que la informacin Opciones de Pausa / Reanudar exploracin Fuentes mejorada En TCActive!

3.2.2. AVG INTERNET SECURITY 2011 AVG Internet Security ha sido diseado como una completa suite de proteccin contra todo el tipo de malware. Puede vigilar el trfico de la red a travs de su cortafuegos o proteger la bandeja de entrada de tu correo electrnico con los filtros anti-spam. Asimismo, otro mdulo puede comprobar el trfico en busca de las conexiones peligrosas para detenerlas. AVG Internet Security 2011 - una serie de programas para proteger su PC de objetos peligrosos y las amenazas de la red. El programa se bloquea virus, troyanos, gusanos, spyware y firewall para proteger contra ataques de red. Al utilizar AVG Internet Security 2011 protege al usuario del robo de identidad, el spam y los virus. 3.2.2.1. Ventajas El nivel necesario de proteccin Fcil de utilizar la seguridad Sistema de seguridad AVG certificado por todas las empresas de certificacin independientes ms importantes, como la ICSA, Virus Bulletin, Checkmark AVG Internet Security 2011 incluye los siguientes mdulos: o Anti-Virus - encontrar y eliminar varios virus, troyanos, gusanos de Internet. o Anti-Spyware - proteccin de su equipo desde la instalacin de programas espa y otros programas maliciosos. o Anti-Rootkit - Proteccin contra amenazas ocultas, la difusin de contenido malicioso. o Anti-Spam - Correo electrnico filtrado y eliminacin de correo no deseado.

51

o Identity Protection - Proteccin contra amenazas nuevas y desconocidas. o LinkScanner Active Surf-Shield - Proteccin en tiempo real de las pginas web infectados mientras navega por Internet. o LinkScanner Search-Shield - una asignacin de cuotas de seguridad en tiempo real para todos los resultados de bsqueda de Google, Yahoo y MSN Live /. o Web de Proteccin y Firewall - un servidor de seguridad de pleno derecho de proteger su ordenador mientras se est ejecutando en la web. o ID Proteccin - ahora tus contraseas, nmeros de tarjetas de crdito y otros datos personales estn protegidos contra robos. 3.2.2.2. Caractersticas La combinacin nica de mtodos de deteccin de AVG proporciona una proteccin completa contra virus, gusanos y troyanos. Deteccin \ sobre la marcha. \ Escner AVG controla las llamadas al sistema de archivos y produce archivos compruebe si el acceso a ellos, lo que le permite construir otra capa de proteccin de los archivos infectados. AVG escanea todo el trfico de correo electrnico, y se conecta a los clientes de correo tales como: MS Outlook, The Bat, Eudora y otros clientes de correo SMTP/POP3, como Outlook Express. Tambin con el apoyo de la comprobacin Phisher trfico. Anti-spam y filtros de phishing. Cada letra, entrando en un buzn que se verifica por medio de bases de datos de la firma se actualizan cada minuto. Conexiones de red de seguimiento. Con una funcin de servidor de seguridad AVG analiza todas las solicitudes de conexin entrantes y salientes del ordenador, prevenir los ataques de red en el equipo y la actividad de la red para los troyanos.

52

 Programacin de gran alcance. AVG proporciona automticamente un programa diario para la digitalizacin y actualizacin, y le dar la oportunidad de crear sus propios eventos programados. Soporta 23 idiomas.

3.2.3. Kaspersky Anti-Virus 2011 11.0.2.556 Kaspersky Anti-Virus es un antivirus que realiza una excelente combinacin de proteccin reactiva y preventiva, protegindote eficazmente de virus, troyanos y todo tipo de programas malignos. Adicionalmente, dentro del grupo de programas malignos, Kaspersky Anti-Virus 2011 tambin se encarga de proteger el Registro y todo el sistema contra programas potencialmente peligrosos como los spyware. Cuenta con una merecida fama de ser uno de los antivirus que posee un mejor anlisis en 'busca y captura' de virus. Eso s, Kaspersky realiza un anlisis muy a fondo con lo que suele tardar bastante. (Ver anexo 5) 3.2.3.1. Ventajas Fcil uso con mens claros Anlisis rpido o completo Bajo consumo de recursos Perfil para juegos Disco de rescate

3.2.4. avast! Free Antivirus 6.0.1091 Avast! Free Antivirus es un antivirus gratuito y sin publicidad. Con sus ocho escudos, mantiene el ordenador constantemente a salvo de una gran variedad de amenazas. Para una proteccin adicional, avast! Free Antivirus muestra la reputacin de una pgina web en tu navegador y carga los programas desconocidos en un espacio aislado. La sexta edicin de avast! Free Antivirus

53

presenta pocos cambios estticos en comparacin con la anterior, pero ampla an ms el abanico de la proteccin gratuita. A los escudos de la versin 5 se aaden los de scripts y comportamiento. Y con el mdulo AutoSandbox, avast! Free Antivirus impide que programas potencialmente dainos puedan afectar el sistema. La gran novedad de avast! Free Antivirus 6 es WebRep, el complemento para Firefox, Chrome e Internet Explorer que comprueba la reputacin de una pgina a partir de las valoraciones de los usuarios. Tres barras coloreadas indican la calidad del sitio y hay recuadros para clasificar el sitio web en distintas categoras. Lo cierto es que ningn antivirus gratuito ofrece tanto como avast! Free Antivirus. Traducido y apoyado por una inmensa comunidad de usuarios, se postula como el antivirus gratuito por excelencia. 3.2.4.1. Ventajas Ocho escudos de proteccin en tiempo real Defensa proactiva con el escudo conductual Sandbox para ejecutar software sospechoso Mdulo de reputacin web Widget para Windows Vista y 7

3.2.5. Panda Cloud Antivirus 1.4 Free Panda Cloud Antivirus emplea una filosofa de proteccin distinta. Su capacidad para detectar y eliminar virus, troyanos, spyware y otros peligros se basa en una red de servidores que facilita la recoleccin de muestras y el despliegue de firmas. El resultado es un antivirus ligersimo y rpido como el rayo. Tras la instalacin, lo primero que notars de Panda Cloud Antivirus es la sencillez de su interfaz. El panel principal muestra un icono que resume la situacin de seguridad. Tres grandes botones dan acceso a los anlisis bajo demanda, al informe de sucesos

54

3.2.5.1. Ventajas No necesita actualizaciones Proteccin en tiempo real Anlisis bajo demanda Filtrado de pginas maliciosas Gasta poqusima memoria

LITERATURA CITADA 1. Seguridad en Internet, Pc Tech, por Olaf Adam, publicado por Marcombo 2001, 295 pginas. Consulta 22/09/2010. 2. Pc: Cmo Usarla en Forma Segura, por Gustavo Talavn, Publicado por Imaginador, 2006, 64 pginas. Consulta 22/09/2010.

55

3.

Seguridad en la informtica de empresa, por Jean-Marc Royer, Xavier Angelet, Ediciones ENI, 2004, 424 pginas. Consulta 22/09/2010.

4.

http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx# EOD. Consulta 22/09/2010.

5.

http://es.wikipedia.org/wiki/Caballo_de_Troya_(inform%C3%A1tica). Consulta 22/09/2010.

6. 7.

http://virus.dst.usb.ve/article/articleprint/47/-1/7/. Consulta 23/09/2010. http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica). Consultada 23/09/2010.

8.

http://www.infospyware.eu/tipos-de-troyanos.html.Consultada 23/09/2010.

9.

http://www.holacape.com/2010/04/cuatro-programas-para-eliminartroyanos.html. Consultada 23/09/2010.

10. http://www.troyanos.tk/. Consultada 23/09/2010. 11. http://www.pandasecurity.com/spain/homeusers/security-info/classicmalware/trojan/. Consultada 24/01/2011 12. http://www.kaspersky.com/sp/crimeware. Consultada 07/02/2011 13. http://www.forospyware.com/t70539.html. Consultada 08/02/2011 14. http://es.wikipedia.org/wiki/NetBus Consultada 08/02/2011 15. http://es.wikipedia.org/wiki/Back_Orifice. Consultada 08/02/2011

56

16. http://es.wikipedia.org/wiki/Sub7 17. http://www.viruslist.com/sp/weblog?weblogid=208187858 18. http://www.viruslist.com/sp/weblog?weblogid=208187366 19. http://www.rompecadenas.com.ar/articulos/bohu-nuevo-troyanodesafia.php 20. http://en.wikipedia.org/wiki/Nuclear_RAT 21. http://www.rompecadenas.com.ar/articulos/nuevo-troyano-pasarmicrosoft.php 22. http://www.rompecadenas.com.ar/articulos/vulnerabilidad-por-troyano-enexcel.php 23. http://freakshare.com/files/31kr958d/The-Cleaner-2012-build-8.1.0.1079 esp-.rar.html 24. http://www.fileserve.com/file/Uhh9Vdz 25. http://www.megaupload.com/?d=L97E7MZ9

ANEXOS Anexo 1 A continuacin hay una lista (incompleta) de los puertos ms usados por los Troyanos: Puerto 21 Troyano Back construction, Blade runner, Doly, Fore, FTP trojan,

57

23 25

Invisible FTP, Larva, WebEx, WinCrash TTS (Tiny Telnet Server) Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy Agent 31, Hackers Paradise, Masters Paradise Deep Throat DMSetup FireHotcker Executor, RingZero Hidden port ProMail trojan Kazimas Happy 99 JammerKillah TCP Wrappers Hackers Paradise Rasmin Ini-Killer, NetAdmin, Phase Zero, Stealth Spy Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre Dark Shadow Deep Throat, WinSatan Silencer, WebEx Doly Trojan NetSpy Bla Rasmin Xtreme Psyber Stream Server, Streaming Audio Trojan, voice Ultor trojan BackDoor-G, SubSeven, SubSeven Apocalypse VooDoo Doll Mavericks Matrix BO DLL FTP99CMP Psyber Streaming Server Shivka-Burka SpySender Shockrave BackDoor TransScout TransScout TransScout Trojan Cow

31 41 59 79 80 99 110 113 119 121 421 456 531 555 666 911 999 1002 1010 a 1015 1024 1042 1045 1090 1170 1234 1243 1245 1269 1349 (UDP) 1492 1509 1600 1807 1981 1999 1999 2000 2001 2001

58

2002 2003 2004 2005 2023 2115 2140 2155 2283 2565 2583 2600 2801 2989 (UDP) 3024 3128 3129 3150 3459 3700 3791 3801 (UDP) 4092 4321 4567 4590 5000 5001 5011 5031 5321 5400 5401 5402 5550 5512 5555 5556 5557 5569 5742 6400 6669 6670 6771 6776

TransScout TransScout TransScout TransScout Ripper Bugs Deep Throat, The Invasor Illusion Mailer HVL Rat5 Striker WinCrash Digital RootBeer Phineas Phucker RAT WinCrash RingZero Masters Paradise Deep Throat, The Invasor Eclipse 2000 portal of Doom Eclypse Eclypse WinCrash BoBo File Nail ICQTrojan Bubbel, Back Door Setup, Sockets de Troie Back Door Setup, Sockets de Troie One of the Last Trojans (OOTLT) NetMetro FireHotcker Blade Runner, Back Construction Blade Runner, Back Construction Blade Runner, Back Construction Xtcp Illusion Mailer ServeMe BO Facil BO Facil Robo-Hack WinCrash The Thing Vampyre Deep Throat Deep Throat BackDoor-G, SubSeven

59

6912 6939 6969 6970 7000 7300, 7306, 7308 7789 8080 9400 9872,

Shit Heep (no el puerto 69123!) Indoctrination GateCrasher, Priority, IRC 3 GateCrasher Remote Grab, Kazimas 7301, NetMonitor 7307, Back Door Setup, ICKiller RingZero InCommand 9873, portal of Doom Cyber Attacker TransScout iNi-Killer portal of Doom BrainSpy portal of Doom Acid Shivers Coma Senna Spy Progenic trojan Gjamer Hack99 KeyLogger GabanBus, NetBus, Pie Bill Gates, X-bill GabanBus, NetBus, X-bill Whack-a-mole WhackJob Senna Spy Priority Kuang2 The Virus Millennium NetBus 2 Pro Logged GirlFriend Prosiak Evil FTP, Ugly FTP, Whack Job Donald Dick Donald Dick Delta Source SubSeven 2.0 The Unexplained AOL Trojan NetSphere

9874, 9875 9876 9878 9989 10067 (UDP) 10101 10167 (UDP) 10520 10607 11000 11223 12076 12223 12345 12346 12361, 12362 12631 13000 16969 17300 20000, 20001 20034 20203 21544 22222 23456 23476 23477 26274 (UDP) 27374 29891 (UDP) 30029 30100, 30101,

60

30102 30303 30999 31336 31337 31337 (UDP) 31338 31338 (UDP) 31339 31666 31785 31787 31788 31789 (UDP) 31791 (UDP) 31792 33333 33911 34324 40412 40421 40422 40423 40426 47262 (UDP) 50505 50766 53001 54320 54321 54321 (UDP) 60000 61466 65000

Sockets de Troie Kuang2 Bo Whack Baron Night, BO client, BO2, Bo Facil BackFire, Back Orifice, DeepBO NetSpy DK Back Orifice, DeepBO NetSpy DK Bo Whack HackaTack HackaTack HackaTack HackaTack HackaTack HackaTack Prosiak Spirit 2001 BigGluck, TN The Spy Agent 40421, Masters Paradise Masters Paradise Masters Paradise Masters Paradise Delta Source Sockets de Troie Fore, Schwindler Remote Windows Shutdown Back Orifice 2000 School Bus Back Orifice 2000 Deep Throat Telecommando Devil

Anexo 2

61

62

Anexo 3

Anexo 4

63

Anexo 5

Anexo 6

64

Anexo 7

GLOSARIO DE TERMINOS malware.- es un tipo de software que tiene como objetivo infiltrarse o daar una computadora sin el consentimiento de su propietario. El trmino malware es muy utilizado por profesionales de la informtica para referirse a una variedad de software hostil, intrusivo o molesto.1 El trmino virus informtico es utilizado en muchas ocasiones de forma incorrecta para referirse a todos los tipos de malware, incluyendo los verdaderos virus. keylogger crimeware spam

65

shareware Crimeware.- son programas maliciosos que se instalan de manera encubierta en un ordenador. La mayora de los programas maliciosos o "crimeware" est; constituido por troyanos. Existen muchos tipos de troyanos diseados para diferentes propsitos. Por ejemplo, algunos se usan para registrar cada tecla que se pulsa (keyloggers), algunos capturan fotos de pantalla cuando el usuario visita sitios web de banca online (consiguiendo asi las contraseas), algunos descargan cdigos maliciosos, y otros permiten que un pirata acceda al sistema del usuario de forma remota. La caracterstica que tienen en comn es su habilidad para "robar" informacin confidencial del usuario, como contraseas y PINs, y envirselas al hacker. Una vez en posesin de esta informacin, el ciberdelincuente podr robar el dinero del usuario. redes P2P

66