Índice

Índice 1

Introducción 2

¿Qué son los Troyanos? 3

Partes de un troyano 4

Tipo de Conexión en un troyano y métodos de notificación de IP 4

Clases de troyanos según función 6

Vida de un Troyano 10

Como funciona un Troyano 11

Tipo de Troyanos según lugar donde residen 12

Estrategias de Infección 12

¿Cómo se Oculta un Troyano y se mantiene a salvo? 13

Ingeniería social y troyanos 16

¿Qué es la Cuarentena? 17

¿Cómo se detecta un caballo de Troya? 17

Que extensiones atacan los virus troyanos 20

Listado de virus troyanos 20

Antivirus para Troyanos 22

Porque no se infecta un antivirus 23

Recomendaciones y prevención 23

Glosario de Términos 24

Opinión Personal 36

Conclusión 37

Bibliografía 38

Introducción Informe Troyanos 1

Debido al creciente uso de Internet, la cada vez más abundante documentación y el paso del tiempo, la cantidad de objetos informáticos infecciosos y las herramientas para el robo de información y otros cometidos, han aumentado enormemente. Aumentado también su variación y peligrosidad.

Las avanzadas técnicas de infección espionaje y ocultación, han traído consigo nuevas tecnologías nuevos conceptos, nuevas herramientas y nuevos perjuicios para el mundo informático.

Dentro de las aplicaciones informáticas los troyanos, han pasado a ser más que un simple término en la jerga informática, destacándose y convirtiéndose en un tema de gran problemática, muy investigado, controvertido he interesante.

La portabilidad, la seguridad, la confidencialidad y sucesos sociales, interactúan directamente con este nuevo cuadro informático, en donde lo que generalmente ocurre no es un hecho fortuito sino el victimizado ha sido parte fundamental en el éxito de tal suceso.

Existen gran cantidad de formas de infección, gran cantidad de métodos por los cuales estos objetos lograran ocultarse, protegerse y toda clase de actividad para conseguir su cometido. Es por ello que serán temas obligados de abordaje y profundización los sucesos sociales y temas informáticos relacionados, para lograr aprender u entender y así evitar tales contagios.

El método de abordaje de este informe, es de manera informativa en modo de resultados primarios para investigación o para desarrollo, para ello el trabajo se baso en entender el funcionamiento de un troyano efectivo, eficiente y –o exitoso, investigando no solo los aspectos superficiales sino también los aspectos internos en el funcionamiento de este; como técnicas comúnmente utilizadas, tendencias históricas y actuales. En contraposición la protección por parte de antivirus, herramientas y sistemas de protección de los efectos de estos.

El Abordaje se limita a información teórica, es decir no está destinado para desarrollo o aplicación, sin embargo, se intenta informar de manera detallada y consistente con material de buenas fuentes.

¿Qué son los Troyanos?

Informe Troyanos 2

Del mismo modo que el caballo de Troya mitológico parecía ser un regalo pero contenía soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en día son programas informáticos que parecen ser software útil pero que ponen en peligro la seguridad y provocan muchos problemas y ponen en riesgo nuestra información privada.

Se le denomina un caballo de Troya o Troyano a un programa malicioso (malware), capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona, pero generalmente sin afectar al funcionamiento de ésta.

Un troyano no es de por sí, un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su objetivo final. Para que un programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano evita provocar daños porque no es su objetivo.

Suele ser un programa pequeño alojado y distribuido dentro de una aplicación, una imagen, un archivo de música, sitios web, plugins u otro elemento de apariencia inocente (no necesariamente de un archivo auto ejecutable), se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado comienzan a realizar una función útil, de modo oculto y por tal motivo los antivirus o anti troyanos no los eliminan, pero internamente realiza otras tareas de las que el usuario no es consciente.

Estos códigos maliciosos tienen múltiples funcionalidades, algunos funcionan para realizar acciones destructivas y otros simplemente para espiar y robar información.

Generalmente se utiliza para espiar, software de acceso y administración remota que permite monitorizar lo que el usuario legítimo de la computadora hace (en este caso el troyano es un spyware o programa espía) y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas (cuando un troyano hace esto se le cataloga de keylogger u otra información sensible).

Partes de un troyano

Los troyanos están compuestos principalmente por dos programas: un cliente (es quien envía las funciones que se deben realizar en la computadora infectada) y un servidor (recibe las funciones del cliente y las realiza, estando

Informe Troyanos 3

situado en la computadora infectada). También hay un archivo secundario llamado Librería (pero que no todos los troyanos tienen de hecho los más peligrosos no lo tienen) que es necesaria para el funcionamiento del troyano pero no se debe abrir, modificar ni eliminar para el optimo funcionamiento de este. Algunos troyanos también incluyen el llamado EditServer, que permite modificar el Servidor para que se adapte al ordenador de la víctima o sea provisto de las funcionalidades y-o configuraciones que el cracker quiera. Sin embargo no todas las partes de un troyano antes mencionadas finalmente se instalan en el ordenador de la víctima, siendo solo parte del ordenador solo servidor y cliente.

Tipo de Conexión en un troyano

Un troyano puede poseer una conexión directa, inversa o mixta sin embargo existen troyanos que trabajan fuera de línea y su información o reportes pueden ser enviados a un servidor complementario que administra la información de todos los ordenadores infectados. Los troyanos de conexión directa son aquellos que requieren que el cliente se conecte al servidor; a diferencia de éstos, los troyanos de conexión inversa son los que hacen que el servidor sea el que se conecte al cliente; las ventajas de éste son que traspasan la mayoría de los firewall y pueden ser usados en redes situadas detrás de un router sin problemas (debido a que en un router generalmente es necesario configurar los virtualserver para poder redirigir correctamente los paquetes e información al puerto indicado y al PC correspondiente, este es un problema común para un troyano ) . El motivo de por qué éste obtiene esas ventajas es que la mayoría de los firewall no analizan los paquetes que salen de la computadora infectada, pero que sí analizan los que entran (por eso los troyanos de conexión directa no poseen tal ventaja); y se dice que traspasan redes porque no es necesario que se redirijan los puertos hacia una computadora que se encuentre en la red.

La conexión directa del troyano son realizadas por protocolo (tcp) y para ello el cliente siempre requerirá conocer la dirección IP del servidor, lo cual es un problema en las en ordenadores con direcciones IP dinámicas, por lo cual el troyano deberá dar a conocer la IP del servidor, para ello el servidor notificara al cliente directa o indirectamente valiéndose de servicios secundarios.

La conexión inversa del troyano se realiza a través del protocolo (upd) esta conexión tiene la particularidad, que una vez la víctima se conecta a internet, el servidor troyano llama al cliente, si en ese instante el cliente del troyano se encuentra activo y operando, automáticamente cliente y servidor estarán conectados.

Métodos de Notificación de IP

Para el caso de los troyanos que requieren de conexión directa estos se valdrán de aplicaciones secundarias o sub-módulos u otros troyanos para la notificación de su dirección IP, para ello se comunicaran con un servidor destinado para ello valiéndose de herramientas secundarias como:

Mensajería Instantánea: El troyano se vale de clientes de mensajería instantánea instalados tales como MSN, ICQ, Yahoo MSN, etc. Y a Través de estos Comunica la IP del ordenador infectado. (ej. troya.Optix)

IRC: En este método muy particular el Troyano notifica la IP del ordenador infectado a una sala de Chat de un servidor público o privado previamente configurado y definido en el troyano. (ej. sub 7)

Smtp: Este método muy sencillo consiste en una notificación vía correo electrónico a través de una comunicación directa con un servidor Smtp.

Informe Troyanos 4

Notificaciones Web: Consiste en enviar la dirección IP a una aplicación web, se considera un método muy exitoso.

Dyndns o ddns: Consiste en utilizar un servicio secundario de notificación que se traduce en una IP convertida en un una dirección de nombre asignada por un dns.

Un troyano es un problema multiplataforma, que también afecta muchas arquitecturas de sistemas diferentes. Se han detectado troyanos en distintos sistemas operativos Windows, Linux, Mac OS X, etc. Y en arquitecturas tales como equipos móviles celulares, router, etc. Sin embargo generalmente estos están programados en un lenguaje que no es multiplataforma o este solo se vale de las vulnerabilidades de un sistema operativo en específico. Se han detectado troyanos multiplataforma que se valen de vulnerabilidades de maquinas virtuales como es el caso de java.

Clases de troyanos según función

Informe Troyanos 5

Figura siguiente: Ejemplo de EditServer También se hace Muestra de los tipos de Notificaciones.

Troyanos de acceso remoto (Puertas traseras “Backdoors”)

Son el tipo de troyanos más habitual. Tan habituales como peligrosos y dañinos. Establecen una relación cliente-servidor entre el PC infectado y el PC del atacante. Para ello necesitan estar instalados en los dos ordenadores. La parte llamada servidor en el ordenador atacado y la parte llamada cliente en el ordenador atacante. Por medio de estos troyanos el atacante puede realizar en el PC infectado las mismas acciones que el dueño del PC de manera visual. Algunas de las funciones que pueden realizar activamente son:

• Enviar y recibir archivos • Activar y eliminar archivos • Ejecutar archivos • Mostrar notificaciones • Borrar datos • Reiniciar el ordenador

Troyanos de correoEste tipo de troyanos tan sólo actúa en modo servidor. Su función principal es la de capturar e informar. El troyano envía cierto tipo de información como certificados digitales, cookies, documentos confidenciales u otros archivos para los cuales esta configurado.

KeyloggersEste tipo de troyano captura toda la información tecleada y la envía a través de algún método de notificación secundario o un servidor de correo propio. (ftp, Smtp).

Fake TrojansMuy usados por los hackers en ataques de autentificación para hacerse con claves y nombres. Por medio de estos

Informe Troyanos 6

troyanos el atacante crea en el ordenador de la víctima ventanas o avisos de algún supuesto error. Normalmente se solicita el nombre y password de la víctima para subsanarlo. Cuando la víctima introduce su nombre y clave el "problema" se soluciona... y el troyano ya ha capturado ambos elementos y guardado en un archivo al que accederá más adelante el cliente (se usa para robar contraseñas de msn, Windows etc.) .

Troyanos de FTP Sólo actúan en modo servidor y permiten una conexión FTP con la máquina infectada, desde la cual se puede tanto subir como descargar archivos.

Troyanos de TelnetFuncionan en modo servidor y permiten ejecutar comandos del DOS en el ordenador infectado.

Troyanos de formaSon troyanos que acceden a datos privados como pudieran ser la dirección IP, usuarios, claves, etc. Envían esos datos a una Web por medio de una conexión HTTP. (Suelen ser troyanos complementarios.).

Clickers troyanos Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.

Los clickers suelen usarse para:

• Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios • Organizar ataques DoS contra el servidor o sitio especificado • Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos

(virus o troyanos).

Descargadores troyanos (Downloaders) Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin su consentimiento.

Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet.

Droppers troyanos Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica o en un disco local para luego ser ejecutado.

Por lo general los droppers tienen la siguiente estructura:

Informe Troyanos 7

Archivo principal

contiene la "carga útil" del troyano

File 1primera carga útil

File 2segunda carga útil

...el programador puede incluir todos los archivos que desee

El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.

En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración: chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.

Los hackers usan estos programas para alcanzar dos objetivos:

1. Ocultar o disimular la instalación de otros troyanos o virus 2. Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes

Proxies troyanos Funcionan como servidores proxy y proporcionan acceso anónimo a Internet desde los equipos de las víctimas. Hoy en día estos troyanos son muy populares entre los spammers que siempre necesitan de equipos adicionales para hacer sus envíos masivos. Los programadores de virus con frecuencia incluyen proxies-troyanos en sus paquetes de troyanos y venden las redes de equipos infectados a los spammers.

Trojan Spies Esta familia incluye un variedad de programas espías y key loggers, que monitorean la actividad del usuario en el equipo afectado y luego envían esta información a su "amo". Los espías troyanos recolectan varios tipos de información:

• Textos introducidos por medio del teclado • Capturas de pantalla (screenshots) • Logs de las aplicaciones activas • Otras acciones de los usuarios

Estos troyanos están siendo cada vez más utilizados para robar información bancaria y financiera que pueda servir de soporte para fraudes en línea.

Informe Troyanos 8

Notificadores troyanos Estos troyanos envían informes acerca del equipo infectado a su "amo", o cliente. Los notificadores confirman que un equipo ha sido infectado y envía información sobre la dirección IP, los puertos abiertos, las direcciones de correo electrónico y otros datos del equipo de la víctima. Esta información se puede enviar por correo electrónico, al sitio web del "amo", por ICQ y métodos ya antes mencionados.

Por lo general, los notificadores se incluyen en los paquetes troyanos y se usan solamente para informar al "amo" que el troyano ha sido instalado con éxito en el equipo de la víctima.

Rootkits Un rootkit es una colección de programas usados por un hacker para evitar ser detectados mientras buscan obtener acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un módulo de kernel. El hacker instala el rootkit después, obteniendo un acceso similar al del usuario: por lo general, crakeando una contraseña o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta conseguir el acceso de raiz o administrador.

A pesar de que el término tiene su origen en el mundo de Unix, ha sido usado para denominar las técnicas utilizados por los autores de troyanos para Windows. El uso de rootkits para enmascarar las actividades de los troyanos está creciendo, ya que muchos de los usuarios de Windows ingresan al sistema con credenciales de administrador.

"Bombas" para compresores de archivos Estos troyanos son archivos comprimidos programados para sabotear al programa de descompresión cuando éste intente abrir el archivo comprimido infectado. El equipo víctima puede ralentizarse o colapsar cuando la bomba troyana explota, o el disco duro se puede llenar de datos sin sentido. Las ArcBombs representan un especial peligro para los servidores, sobre todo cuando los datos entrantes son procesados de forma automática. En casos como éste, una ArcBomb puede hacer que el servidor colapse.

Hay tres tipos de ArcBombs: los que contienen un encabezamiento incorrecto, datos repetitivos o varios ficheros idénticos en el archivo.

Un encabezamiento incorrecto, o la presencia de datos corruptos pueden causar que el programa de descompresión colapse cuando intente abrir y descomprimir el archivo infectado.

Un archivo grande que contiene datos repetitivos puede ser comprimido en un archivo diminuto: 5 gigabytes pueden convertirse en 200KB si se usa RAR y en 480 KB si se usa ZIP.

Además, existen tecnologías especiales que permiten empaquetar un enorme número de archivos idénticos en un solo fichero sin afectar significativamente el tamaño del archivo en sí mismo: así, es posible empaquetar 10100 archivos idénticos en un archivo RAR de 30 KB o en un ZIP de 230 KB.

Vida de un Troyano

Al igual que los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son erradicados completamente, el troyano también posee, pero de manera distinta.

Informe Troyanos 9

Creación La creación del troyano es la face de desarrollo de la aplicación no obstante cabe destacar que quien lo crea no será el usuario final o usuario único. Además la face de desarrollo no tiene directa relación con el uso final que le dé el usuario. De tal manera que no siempre es utilizado para lo que se hizo. Esta face de desarrollo puede ser intervenida o retomada por la descompilación del código de un tercero.

Gestación Después de que el virus es creado, el programador hace copias asegurándose de que se diseminen. Generalmente esto se logra infectando un programa popular y luego enviándolo a un BBS o distribuyendo copias en oficinas, colegios u otras organizaciones. No obstante el troyano no posee esta característica en sí y así ocurre es porque un virus o una persona se encarga de ello.

Reproducción Se reproducen naturalmente, un virus bien diseñado se reproducirá por un largo tiempo antes de activarse, lo cual permite que se disemine por todos los lados. Esta es característica que el troyano posee para protegerse pero solo es a nivel local de ordenador.

Activación La activación de un troyano es inmediata o bajos ciertas condiciones, cada cierto tiempo o de forma aleatoria (ramdom), o determinadas fechas.

Descubrimiento Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un troyano, se envía al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento normalmente, ocurre por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.

Asimilación En este punto, quienes desarrollan los productos antivirus, modifican sus programas para que estos puedan detectar los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de quién lo desarrolle y el tipo de virus.

Eliminación Sí suficiente cantidad de usuarios instalan una protección antivirus actualizada, puede eliminar cualquier virus. Hasta ahora ningún virus ha desaparecido completamente pero han dejado de ser una amenaza. En el caso del Troyano seria según el caso.

Como funciona un Troyano

Una vez descargado el archivo infectado y ejecutado el mismo, el troyano comenzara a funcionar y quedara instalado en el sistema, el contenido de esta instalación puede ser de uno o más troyanos que trabajaran en conjunto o por separado.

Un troyano se vale de una serie de herramientas u otros troyanos para funcionar y estar oculto, como por ejemplo un troyano rootkits el cual cumplirá la función de falsear la información proporcionada a un antivirus, de parte del sistema operativo, como un listado de procesos falsos, falsa información de registro, etc.

Informe Troyanos 10

Consecuencia de la instalación de un troyano uno o más archivos son copiados en unidades físicas por lo general en directorios de Windows, Windows/system, Windows/system32 en el caso de los troyanos que afectan a este sistema operativo, como también modificaciones del registro de Windows y en algunos casos uno o más servicios son levantados. El troyano agrega entradas para iniciar con el pc en ubicaciones y archivos como:

HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

system.ini

Msconfig

Como resultado de su instalación operación y conexión, un troyano quedara en modo puerto escucha, por lo cual en consecuencia de ello y sin que un rootkits no falsee la información o lo impida, su conexión será advertida lo cual será visualizado fácilmente a través del comando netstat –an .

Tipo de Troyanos según lugar donde residen

Parásitos: estos infectan ficheros ejecutables o programas de la computadora. No modifican el contenido del programa Huésped, pero se adhieren a él de tal manera que el código del virus se ejecuta en primer lugar. Estos virus pueden ser de acción directa o residentes. Un virus de acción directa selecciona uno o más programas para infectar cada vez que se ejecuta. Un virus residente ocupa en la memoria de la computadora e infecta un programa determinado cuando se ejecuta dicho programa.

Del Sector Arranque Inicial: estos residen en la primera parte del disco duro o flexible, conocido como sector de arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio físico de discos flexibles.

Multipartitos: estos combinan las capacidades de los virus parásitos y del sector arranque inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.

Acompañantes: estos no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un programa legítimo y engañan al sistema operativo para que lo ejecute.

De vinculo: estos modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que lo ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede aceptar todo el directorio de una computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus.

De fichero de dato: estos pueden infectar programas que contienen programas de macro potentes que pueden abrir, manipular y cerrar fichero de datos. Están escritos en lenguaje de macros y se ejecutan automáticamente cuando se abre el programa legítimo. Son independientes de la máquina y del sistema operativo.

Estrategias de Infección

Añadidura o empalme:

Informe Troyanos 11

El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección.

Inserción:

El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.

Reorientación:

Es una variante del anterior. Se introduce el código principal del Troyano en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con rescribir los sectores marcados como defectuosos.

Polimorfismo:

Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus.

Sustitución:

Es el método más tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.

¿Cómo se Oculta un Troyano y se mantiene a salvo?

Uno de los métodos que usa un troyano para ocultarse mientras funciona bajo un sistema son los llamados métodos criptográficos ello consiste en alterar uno o varios archivos ya sea para insertar su código sustituirlo o verificación de polimorfismo y encriptarlos nuevamente con el sistema de cifrado predeterminado del archivo, algunos de los métodos de encriptado de estos ficheros son CryptApi, RC4, MD5, SHA, etc.

Otro de los métodos que se vale un troyano para protegerse son las llamadas técnicas anti-debugger (Anti-depuración), estas consisten en limitar o anular la capacidad de depuración del archivo infectado o la totalidad del

Informe Troyanos 12

sistema; la depuración es el proceso de reparación de errores de un archivo o sistemas la cual se vería afectada con esta acción del troyano o sus partes.

Modificando offset's del archivo esto consiste en modificar partes binarias del código de un programa con códigos aleatorios manteniendo o cambiando el tamaño del archivo final conservando su funcionalidad los offset’s son zonas modificables como por ejemplo el fin de un archivo.

Killers: Herramientas mata proceso de forma al parecer vigente en la actualidad se encuentra Av-firewall Killer, que ha sido testiado con Nod32, Kaspersky, Norton, Ad-Aware, Ccleaner, System Mechanic, Algunos firewall y más y funciono exitosamente y denegando el levantamiento de los procesos de estos programas.

Para mantenerse oculto y a salvo, un troyano recurrirá a muchas técnicas, las cuales le aseguraran o aumentaran sus posibilidades de residencia permanente. Existen una gran cantidad de técnicas que ocupan algunos troyanos a continuación se mencionan algunas de ellas:

*Anti-Debugger*Anti-Sandboxie*Anti-virtualpc*Realig Sections

Informe Troyanos 13

*Anti-IDA Debugger*Anti-CWSandbox*Anti-Norman Sandbox*Anti-Anubis*OEP Stolen Bytes (Enhanced)*Checksum CRC*Anti-OllyDbg*Anti-ThreatExpert*Anti-JoeBox*Anti-VMWARE*Anti-VirtualBOX*Anti-Debugger2*Overlay support (EOF Data)*Sleep Sec. Run program after x Seconds.*Exceptions (0 to 1000)*Get All Privileges*Change Icon (Enhanced)*OEP Stolen Bytes (Enhanced)*Anti Virtual Machine (Max) = Heuristic*Anti-SunBelt Sandbox*Anti Deep-Freeze*Anti-Returnil Vistual System*Anti-Malware Defender*Anti-Wine(Linux)*Anti-Xen Virtual Machine*Password Protect*Execute With Command Line (parameters)*UnHook All API*Anti-Attach Loader (Protect RDG Loder)*Execute as NT AUTHORITY\SYSTEM

Informe Troyanos 14

Ingeniería social y troyanos

La Ingeniería social es parte importante de un virus troyano y forma parte de en el proceso de infección y vida de un virus o programa troyano y es parte importante en el éxito de infección de este objeto. Es por ello que se ara mención a ello a continuación:

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales (mejor conocidos como Script Kiddies o Defaces, aunque el termino correcto es cracker) para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, pretendiendo, por ejemplo, ser un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

Informe Troyanos 15

Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "intimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros e-mails maliciosos llevaron a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales.

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

1. Todos queremos ayudar.2. El primer movimiento es siempre de confianza hacia el otro.3. No nos gusta decir No.4. A todos nos gusta que nos alaben.

¿Qué es la Cuarentena?

La Cuarentena es un área especial y protegida de NAV. Los archivos colocados en Cuarentena no pueden interactuar con el resto del sistema. Si los archivos en Cuarentena están infectados, entonces el virus, gusano o caballo de Troya no pueden propagarse. Esto significa que si un archivo infectado forma parte de un programa legítimo, entonces dicho programa no tendrá acceso al archivo en cuarentena. El programa puede o no funcionar correctamente, dependiendo de la función del archivo colocado en cuarentena.

Desde la Cuarentena, se puede enviar un archivo directamente al centro de revisión del antivirus instalado a través de la internet, utilizando la opción “Analizar y enviar”.

El centro de revisión del antivirus determinará si el archivo enviado está infectado. Si el archivo no está infectado, se

Informe Troyanos 16

le enviará un reporte de los resultados. Si se descubre un nuevo virus en su envío, entonces crearán y le enviarán archivos de definiciones de virus actualizadas, para detectar y eliminar el nuevo virus en su equipo.

Además de los archivos en cuarentena, se almacenan otros dos grupos de elementos:

• Elementos de respaldo. Para seguridad de los datos, se está configurado de forma predeterminada para realizar una copia de respaldo de un archivo antes de intentar repararlo. Estas copias de respaldo se almacenan en Cuarentena. Después de verificado el archivo reparado, puede borrar el elemento infectado de Cuarentena.

• Los archivos enviados para su análisis se encuentran aislados. Después de recibir los resultados del análisis.

¿Cómo se detecta un caballo de Troya?

Detectar un caballo de Troya es relativamente fácil si provees a tu sistema de los mejores servicios de seguridad, si no detectarlo puede ser una tarea realmente difícil. La mayor parte de los métodos de detección descansan sobre los principios llamados "object reconciliation", que trabajan de la siguiente forma: "objects" son los ficheros y directorios, "reconciliation" es el proceso de comparación de esos objetos antes y después de una fecha determinada.

Este método es simple y consiste en testear la integridad de los ficheros para así detectar cambios en la información que contenían. Se examina el rango de integridad de los diferentes ficheros de forma primitiva pero sofisticada. Por ejemplo: tu puedes testear la integridad de cualquier fichero siguiendo alguno de estos casos:

- La última fecha ha sido modificada

- La fecha de creación del fichero

- Tamaño del fichero.

Desafortunadamente, todos estos métodos son insuficientes.

Cada vez que un fichero es alterado sus variables cambian. De cualquier manera esa fecha puede ser manipulada fácilmente. Examinar las manipulaciones en los programas del PC, ¿es muy difícil? Cambiar la hora del sistema, editar ficheros y archivar ficheros son acciones que cambian la hora. Por esa razón es difícil comparar ficheros tomando en cuenta la fecha.

Otra forma de chequear la integridad de un fichero es examinando su tamaño. De cualquier forma ese método es extremadamente irrealizable porque el tamaño es un valor fácilmente modificable. Es fácil comenzar un fichero con tamaño de 1,024KB y terminarlo con el mismo tamaño, incluso después de editarlo. Aun así, este proceso es más complejo cuando se alteran ficheros binarios. Aunque, estos ficheros casi siempre implican la inclusión de funciones especiales de librerías sin las cuales el programa no funcionaría. Por lo tanto manteniendo las funciones indispensables del programa , se puede encontrar la ubicación del código del caballo de Troya.

Informe Troyanos 17

El caso más fácil es aquel en el que el caballo de Troya modifica ficheros clave en el sistema (por ejemplo csh en UNIX o el command.com en DOS). Estos ficheros fueron instalados inicialmente en el PC y tienen una fecha y tamaño determinados. Por tanto es fácil comprobar si han sido modificados.

Los programadores de caballo de Troya saben esto. Por lo tanto su trabajo es examinar el código fuente de esos ficheros y comprobar que hay en ellos que sea imprescindible, los crackes podrían borrar comentarios y texto que no fuese esencial en el fichero, introducir el código desautorizado y recompilar el fichero. El cracker examina el tamaño del fichero, si es más o menos largo se pueden comenzar el proceso otra vez hasta que el tamaño coincida con el original. Esto hace pensar que no hay ninguna técnica suficiente. Pero existe una técnica bastante potente, que implica el uso de distintos algoritmos que calculan los "digital fingerprint". Esta técnica está basada en una de las implementaciones más populares de algoritmos de seguridad: el sistema llamado MD5.

- SHA(The Nist Secure Hash Algorithm): Es muy fuerte y fue usado en sistemas de defensa. Por ejemplo el Departamento de Defensa exigía a todos los controladores de sistemas DoD que adquiriesen el Multilevel Information System Security Initiative (MISSI) y que sólo usase productos "limpiados" con él. SHA es usado en uno de los productos de búsqueda de caballos de Troya llamado Fortezza card, es una tarjeta PCMCIA que proporciona una capa extra de seguridad en los envíos de email desde DoD.

MD5 pertenece a una familia de funciones llamadas " message digest algorithms". El sistema MD5 está definido en RFC 1321. Cuando se ejecuta un fichero a través de MD5, sale un "fingerprint" con un valor de 32-caracteres. Parecido a esto:

2d50b2bffb5357fcch48g54g84g18784

Muchos sitios web que distribuyen software UNIX usan MD5 para generar fingerprint digitales para sus productos.

Luego el navegador puede examinar el fingerprint original de cada fichero. Si descargas un fichero desde un servidor y encuentras un ficngerprint digital diferente hay un 99.9999% de que haya habido un cambio en el contenido del fichero.

Algunos programas de seguridad extrema usan algoritmos MD4 y MD5. Uno de esos programas son S/Key de Bell Laboratories. S/Key genera un password y es usada por logins remotos. S/Key ofrece seguridad avanzada para sesiones remotas (del tipo de conexiones Telnet o Rlogin).

Sin o con MD5buscar caballos de Troya es un proceso complejo. Es verdad que en una estación de trabajo con recursos limitados, técnicamente se pueden comparar a mano cada fichero y directorio. A pesar de ello en grandes estaciones de trabajo en red eso es simplemente imposible. Existen varios productos que han sido desarrollados para usar "object reconciliation". El producto más reclamado es una aplicación de nombre "TRIPWIRE"

Tripwire

Fue escrito en 1992, es una herramienta externa sobre la integridad de ficheros. Está bien definido, es fácilmente entendible y está implementado con una mínima dificultad.

El sistema lee el entorno desde un fichero de configuración. Ese fichero contiene todas las variables de los ficheros. Este sistema puede ser bastante penetrante. Por ejemplo: puedes especificar que cambios pueden ser realizados en

Informe Troyanos 18

los ficheros y Tripwire mantendrá un fichero de los cambios. Este fichero original se guarda sin case de datos, simplemente en ASCII, y se accede cuando necesita ser calculado un posible cambio. Las funciones hash incluidas en la distribución son:

- CRC 32: este método hash es llamado chequeo cíclico redundante. CRC general es usado para chequear la integridad de los ficheros empezando por la transmisión. Al comienzo de la transmisión el fichero está dividido en pequeñas partes las cuales tienen el tamaño predeterminado. Para cada parte se genera un valor criptográfico justo antes de ser enviado. Cuando cada parte llega a su destino el receptor recalcula el valor criptográfico. Si los dos valores coinciden no se ha producido ningún error, sino significa que los datos han sufrido una modificación. CRC32 es una mejora de CRC, está en 32 bit y a menudo se usa para chequear la integridad de ficheros.

ATP (The anti-tampering program)

ATP trabaja como Tripwire: asume que tienes una configuración perfecta y limpia y genera unos números de chequeo cobre el entorno, los cuales guardará para comprobar los cambios que pueden aparecer en los ficheros.

Que extensiones atacan los virus troyanos

Al hablar de las extensiones que ataca un virus troyano tienen a confundirse las extensiones de propagación he infección del troyano con las extensiones en las cuales reside para su ejecución vale destacar que generalmente estas son distintas pero siempre cuando de virus y troyanos se trata hay excepciones a casi cualquier regla u estándar.

Algunas de las extensiones por las cuales el virus se distribuye son:

MP3, BMP, WMV, EXE, BAT. (Por lo general extensiones que pueden ser leidas o ejecutas).

Algunas de las extensiones por las cuales el troyano funciona de manera parasitaria o indepensiente son:

PIF, SRC, DLL, EXE, BAT,VBS, COM.

Cabe destacar que los archivos por los cuales comunmente se distribuye son archivos de datos (tales como: DOC, TXT, XLS, RTF, MDB, etc.) y funciona por accion residente, independiente o parasitaria en archivo de tipo ejecutables (tales como EXE, COM, BAT, DLL, etc.).

Listado de virus troyanos

Troyanos actuales disponibles para descarga, configuración y envió (Actualizado: 07/03/09):

Shark 3.1 FixedBifrost 1.2b Private BuildBifrost 1.2.1 Unpacked

Informe Troyanos 19

Bifrost 1.2.1 en EspañolBifrost 1.2bBifrost 1.2d --- RCBF V1.3.3Biodox v1.0 OpenSource Edition -Flux V1.0.1 -Poison Ivy 2.1.4 version privadaPoison Ivy 2.3.2Poison Ivy 2.3.0Poison Ivy 2.3.2 Mod - Bypass Connection LimitJumper trojan 3.7 - Spy Net RAT 0.1 --- Spy Net RAT 0.2 Spy Net RAT 0.3 ENSpy-Net RAT 1.0Turkojan 4DarkLabel 1.0 B4Bandook 1.35 Troyano bancarioPaiNRAT 0.1 Beta --- Pinch 3 Pro BuilderOctopus v0.1 - Demo Breaksoft -

Troyanos históricos:

Nombre [editar]

Alias del autor [editar]

Creación [editar]

Comentarios [editar]

Back Orifice Sir Dystic 1998 Troyano de puerta trasera

Back Orifice 2000 Dildog 1999 Sucesor de Back Orifice

Bifrose KSV 2004 Destructivo troyano TCP

NetBus Carl-Fredrik Neikter 1997 Troyano TCP

Subseven MobMan 1999 Troyano TCP

RemoteHak Hakka *** Troyano TCP

Abacab *** *** Abware.F

Downloader-EV *** 2006 ***

Pest Trap *** 2005 ***

Poison Ivy *** 2007 ***

Informe Troyanos 20

Antivirus para Troyanos

Existen software anti-troyanos dedicados y no dedicados ello quiere decir que existen software dedicas exclusivamente a la búsqueda y eliminación de troyanos y otros no tantos llamados genéricos.

Listado de Antivirus genéricos (ello quiere decir que no buscan exclusivamente la detección de archivos troyanos):

Eset Nod32 Panda Software McAfee Enterprise

Symantec Norton Antivirus Kaspersky Avast

Informe Troyanos 21

Las herramientas anti troyanas no son muy extendidas, o muy poco conocidas pero no por ello menos eficientes Algunos Anti-troyanos son:

BoDetect 3.5, Trojan Remover 6.7.8, Tauscan 1.66 build 1212 , The Cleaner Professional 5.2, TrojanHunter 4.7, a-squared Anti-Malware 4.0.0.73, Trojan Defense Suite (TDS-3) 3.2.1 , DieHard Trojan Cleaner 1.0, Anti-Trojan Shield 1.4.0.15, Anti-Trojan Shield 1.4.0.15, etc.

Porque no se infecta un antivirus

Un antivirus no se infecta debido a que posee herramientas para la verificación de integridad de el mismo, es decir verifica datos como su timeofdat y otras variables de su archivo, también verifica la integridad de sus archivos a través de firmas digitales en sus archivos, hash deacuerdo a las variables y propiedades, tales del archivo(generalmente a través de la encriptación con métodos como md5,SHA-1, Tiger, u otro), verificas sus variables y configuraciones de sistema etc. Que por lo general son iniciadas al iniciar el ordenador. Verifica sus EOF y procede a su depuración generalmente.

Recomendaciones y prevención

1.- Tener un antivirus actualizado al dia (hay muchos gratuitos).

2.- Actualizar nuestro sistema operativo y programas de sus posibles vulnerabilidades criticas, estas actualizaciones realizarlas de los sitios oficiales, nunca por email desconfié de estas actualizaciones.

3.- En su gestor de correo electronico desactive la vista previa.

4.- Ver los correos electronico en formato texto evitara algun susto, muchos correos en formato html pueden tener codigo malignos.

5.- Si recibe un correo sospechoso o no deseado, desconfie siempre de el.

6.- Cuando reciba un mail con un fichero adjunto no lo ejecute hasta que no le pase un antivirus actualizado, si el adjunto es de un correo de un desconocido tenga mas precaución (lo recomendable es borrarlo).

7.- Muchos correos simulan ser actualizaciones, desconfié también de ellos. En la actualidad pocas casas de software hacen esto, lo mas logico es que le manden un dirección oficial para que se descargue la actualización.

8.- Hay correos que simulan ser enviados por nuestros amigos (su maquina puede estar infectada y manda correos con virus a su libreta de direcciones), si este mail no lo esperaba o hace referencia a temas que desconoce no se fie, contacte primero con su amigo para poder verificar este envio.

9.- Tener un gestos de correo con funciones anti-spamn o con filtros/reglas para que borre directamente del servidor el correo no deseado o que sobrepasa de ciertos tamanos.

Informe Troyanos 22

10.- Estar al dia o si ve noticias referentes a un nuevo "brote" de algun virus muy peligroso ponga un poco de atencion para conocer su metodo de actuacion de esta forma puede evitar que la cadena sea mas grande y librarse de estos parasitos que inundan la red.

11.- Si puede instalar un cortafuegos en su maquina tambien evitara algun gusano que usa tecnicas de vulnerabilidades de sistemas.

12.- Hay virus que tambien usan como metodo de contagio los programas P2P, tenga cuidado con lo que se baja y siempre verifique los archivos antes de ejecutarlos.

Glosario de Términos

Acceso remoto: Acción de usar una máquina a la que no tenemos acceso físico mediante una utilidad o programa para este fin. El motivo más común para realizar esta acción es administrar los recursos de un sistema remoto. Esta mecánica no es adecuada, y por lo tanto no debe ser confundida con, compartir archivos o transferirlos entre sistemas.

La mecánica más común para esta actividad es mediate una VPN (Virtual Private Network o Red Privada Virtual).

Entre los programas usados para este fin tenemos: RealVNC, TightVNC, PCAnywhere y la opción de "escritorio remoto" del NetMeeting.

ActiveX:Tecnología diseñada por Microsoft para el intercambio de información entre dos aplicaciones diferentes. Surgió de la combinación de dos tecnologías previas, OLE (Object Linking and Embedding - Inserción y vinculación de objetos) y COM (Common Object Model - Simulación de objetos comunes).

Esta tecnología tiene varios usos prácticos, entre ellos, los ActiveX Controls (Controles ActiveX).

Adjunto:Archivo o fichero vinculado a un correo electrónico. Puede ser un texto, un gráfico, un sonido o un programa.

Administrador:

1. Persona que se encarga de la gestión de equipos y redes en una determinada organización.2. Usuario principal de Windows en los sistemas basados en el núcleo NT, entre los que encontramos Windows

2000, Windows XP y Windows 2003. Este usuario tiene, por defecto, los más altos privilegios a los que una persona puede acceder en condiciones normales.

Adware:

1. Programa que es licenciado al usuario a condición de que acepte la publicidad que viene incorporada en vez de pagar por el.

Informe Troyanos 23

2. Tipo de spyware que recolecta información del usuario sin notificación previa a fin de mostrar publicidad

específicamente relacionada con determinadas actividades. Esta publicidad suele mostrarse al usuario mediante el uso de un navegador.

La segunda acepción es la distorsión que diversas empresas hicieron de un sistema legítimo de distribución de software de forma gratuita.

Entre los primeros programas que popularizaron esta mecánica, la original no distorsionada, tenemos al navegador Opera y al gestor de desargas GetRight.

Agujero de Seguridad: Un agujero de seguridad, o una vulnerabilidad, es un error en una aplicación o sistema operativo por el cual se compromete de alguna manera la seguridad del equipo donde se está ejecutando dicho programa vulnerable.

Si un usuario malicioso se aprovecha de un agujero de seguridad, puede causar graves daños en un equipo, dependiendo el alcance de la vulnerabilidad.

Alpha:

1. Una de las primeras versiones de un programa antes de alcanzar el nivel estable de lanzamiento al público en general. Las versiones alpha (alfa) de los programas no deben ser usadas por personas que no sepan mucho del sistema operativo y del programa en si mismo ya que pueden ocasionar comportamientos extraños e impredecibles.

2. Evolución de la sere VAX de DEC, su desarrollo dió paso a los SPARC

Analisis Heuristico:Sistema de análisis basado en la suposición de comportamientos en vez de contrastar fragmentos de código con patrones previamente conocidos como nocivos.

El análisis heurístico aplicado a antivirus busca nuevas especies de virus que se comporten de forma no preestudiada en especies anteriormente encontradas, permitiendo así, detectar nuevos virus antes de que se expandan y distribuyan por las redes.

Esta mecánica es útil para prevenir infecciones desconocidas, sin embargo, debe usarse con cuidado ya que aumenta las falsas alrmas de los antivirus. Como usuario, al encontrar un aviso de un archivo infectado con un tipo de virus desconocido o nuevo, debemos enviarlo a la empresa del antivirus para que lo analicen adecuadamente y si realmente es un virus, desarrollen la forma de limpiarlo.

Antirastreo:(En inglés Anti-debug/Anti-debugger) Se trata del conjunto de técnicas que los diseñadores de virus emplean para evitar ser investigados.

Anti-Spyware: Es un programa desarrollado para el ámbito de la seguridad informática, el cual protege a los usuarios de programas maliciosos, tales como (Spywares, Adwares, Hijackers, entre otros Malwares), que voluntaria o involuntariamente se instalan en la computadora, detectándolos y eliminándolos de la misma.

Informe Troyanos 24

Antivirus: Los antivirus son programas cuya función es detectar y eliminar virus informáticos y otros programas maliciosos (a veces denominados malware).

Básicamente, un antivirus compara el código de cada archivo con una base de datos de los códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado. También se les ha agregado funciones avanzadas, como la búsqueda de comportamientos típicos de virus (técnica conocida como heurística) o la verificación contra virus en redes de computadores.

Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy común que tengan componentes que revisen los adjuntos de los correos electrónicos salientes y entrantes, así como los scripts y programas que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript).

Archivo Hosts:Es un archivo de texto que se utiliza para resolver nombres de dominio en direcciones IP de forma local, es decir, una libreta de direcciones. Fue concebido en tiempos en que sólo había unos pocos dominios que se enviaban en una lista (archivo hosts) todos ellos con sus respectivas Ips y para resolver nombres de dominio en redes locales (LAN).

ASCII:(American Standard Code for Information Interchange) Estándar Americano para el intercambio de información electrónica. Normativa por la cual se estandariza la codificación de caracteres alfanuméricos. Código utilizado por los ordenadores para representar los caracteres más habituales, como las letras, los números, los signos de puntuación o los caracteres de control. El conjunto universal cuenta con 128 caracteres representadas por un dígito binario de 7 posiciones.

Auditoría:Proceso sistemático, independiente y documentado para evaluar de manera objetiva las prestaciones de un sistema con el fin de determinar e que se cumplen los requisitos previamente especificados por la norma, política o regla contra la que se audita.

Autenticación:A) Procedimiento de comprobación de la identidad de un usuario.

B) Servicio de seguridad que se puede referir al origen de los datos o a una entidad homóloga. Garantiza que el origen de datos, o entidad homóloga, son quienes afirman ser (ISO 7498-2).

Backdoor: Puerta trasera. Permite a un usuario aislado ingresar sin autorización a otros sistemas por medio de la instalación de un sistema de acceso considerado virus, permite revisar datos, borrar archivos, infectar con otro tipo de virus, todo esto sin que el usuario este enterado de lo que sucede en su ordenador.

BHO: (Browser Helper Objects) El usuario descarga un software malicioso en apariencia inofensivo que se instala (el usuario acepta un largo contrato a través del cual permite al atacante efectuar cualquier acción en su ordenador sin opción a reclamar) en su propio sistema.

Informe Troyanos 25

Una vez ha instalado la aplicación, el programa puede detectar, analizar y enviar de vuelta al fabricante (atacante) toda la información que se procese en nuestro explorador.

Bit:Binary digit) Es la unidad más pequeña de la información digital con la que trabajan los sistemas informáticos, puede tener dos estados "0" o "1". La unión de 8 bits da lugar a un byte.

Blindaje:(En ingés Armouring) Técnica de autoprotección utilizada por algunos virus para impedir que los programas de depuración puedan abrir los ficheros infectados y analizar su contenido.

Bot:Tipo de troyano con el que el atacante se hace con el control de nuestro ordenador, habitualmente para atacar a otros ordenadores (lanzar ataques de denegación de servicios en forma distribuida, enviar correo electrónico no solicitado, etc.)

Los bots son propagados a través de Internet empleando un gusano como transporte, envíos masivos de ellos a través de correo electrónico o aprovechando vulnerabilidades en navegadores.

Browser Hijackers: (Secuestradores del Navegador) Son los programas que procuran cambiar la pagina de inicio y búsqueda y/o otros ajustes del navegador. Estos pueden ser instalados en el sistema sin nuestro consentimiento al visitar ciertos sitos web mediante controles ActiveX o bien ser incluidos por un troyano.

Búfer:Área de la memoria que se utiliza para almacenar datos temporalmente durante una sesión de trabajo.

Bug: Un error de software (computer bug en inglés), es el resultado de una falla de programación introducida en el proceso de creación de programas de ordenador o computadora (software).

El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870

Byte:Es una unidad que mide la cantidad de información, tamaño y capacidad de almacenamiento. Un Byte, equivale a 8 Bits.

Certificado digital:Documento digital mediante un sistema seguro de claves administrado por una tercera parte de confianza, la autoridad de certificación, que permite a las partes tener confianza en las transacciones en Internet, garantizando la identidad de su poseedor en Internet.Permite realizar un conjunto de acciones de forma segura y con validez legal: firmar documentos, entrar en lugares restringidos, identificarse frente la administración, etc.

Código:Contenido de los ficheros de un virus -código del virus, escrito en un determinado lenguaje de programación-. También hace referencia a los sistemas de representación de información.En sentido estricto, puede definirse como

Informe Troyanos 26

conjunto de normas sistemáticas que regulan unitariamente una materia determinada, o combinación de signos que tiene un determinado valor dentro de un sistema establecido.

Código malicioso:(En inglés Malware) Software capaz de realizar un proceso no autorizado sobre un sistema con un deliberado propósito de ser perjudicial. Virus, gusanos, troyanos son algunos ejemplos de código malintencionado.

Contraseña: Una contraseña (password en inglés) o clave, es una forma de autenticación que utiliza una información secreta para controlar el acceso hacia algún recurso. La contraseña normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. Aquellos que desean acceder a la información se les solicita una clave, si conocen o no conocen la contraseña, se concede o se niega el acceso a la información según sea el caso.

Cortafuegos: Se trata de un mecanismo de protección, el cual puede ser construido mediante software, hardware o ambos. Su función es proteger un equipo o conjunto de ellos mediante el análisis de paquetes de datos entrantes y salientes.

Existen Cortafuegos que trabajan directamente a nivel de puertos de comunicaciones, permitiendole al usuario autorizar o no la utilización de éstos por parte de aplicaciones o servicios.

Otros, utilizan reglas para determinar que información debe transitar desde y hacia el equipo en cuestión.

Actualmente es considerado como uno de los medios mas seguros para la protección de equipos dada su alta dificultad de evasión por parte del atacante.

Cracker: Un cracker es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño a su objetivo.

El término deriva de la expresion "criminal hacker", y fue creado alrededor de 1985 por contraposicion al termino hacker, en defensa de estos últimos por el uso incorrecto del término.

Se considera que la actividad de esta clase de cracker es dañina e ilegal.

También se denomina cracker a quien diseña o programa cracks informáticos, que sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo. Esta acepción está más cercana al concepto de hacker en cuanto al interés por entender el funcionamiento del programa o hardware, y la adecuación a sus necesidades particulares, generalmente desarrolladas mediante ingeniería inversa.

No puede considerarse que la actividad de esta clase de cracker sea ilegal si ha obtenido el software o harware legítimamente, aunque la distribución de los cracks pudiera serlo.

Criptografía:

a) Diseño de procedimientos para cifrar los mensajes, de forma que si son interceptados no se pueda saber su contenido.

Informe Troyanos 27

b) Disciplina que estudia los principios, métodos y medios de transformar los datos con objeto de ocultar la información contenida en los mismos, detectar su modificación no autorizada y prevenir su uso no permitido.

Cuarentena: Una función de protección de nuestro ordenador que nos permite dejar sin efecto a archivos que puedan estar infectados, hasta que nuestros sistemas de seguridad tengan una nueva actualización para poder desinfectarlos.

DDoS:(En inglés DDoS, Distributed Denial-of-Service) No se debe confundir con DOS (Disk Operating System).

Un ataque de Negación de servicio (DDoS) no es un virus pero es un método que utilizan los hackers para evitar o negar el acceso de usuarios legítimo a un equipo.

Los ataques DDoS se ejecutan típicamente usando herramientas DDoS que envían muchos paquetes con peticiones a un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor, haciendo el sistema inutilizable. Cualquier sistema que esté conectado a Internet y equipado con servicios de red TCP está expuesto a un ataque.

Por ejemplo, imagínese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas contesta al teléfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita que clientes legítimos ordenen una pizza porque la línea telefónica está ocupada. Esto es una negación de servicio, y es análogo a un ataque del DDoS.

Pasado a la informática se refiere a cuando una computadora o un programa, dejan de responder al servicio solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultáneos con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturándolo), o se produce algún tipo de sobrecarga o desbordamiento de búfer por un exceso de datos a procesar y el programa deja de responder.

Defensa proactiva: Nueva tecnología implementada en Antivirus como Kaspersky.

La defensa proactiva se basa en comportamiento, una vez que ni las firmas, ni la capacidad heurística han detectado nada.

Tiene cuatro componentes:

1. Previene comportamientos tipo Rootkits, eylogger.2. Control de aplicaciones. Ver si cambian, se ejecutan en segundo planto...3. Control de macros de office4. Vigilante del registro que controla los cambios que hay en claves importantes del registro.

*Nota* La heurística se basa en firmas y en que un nuevo virus se parece a uno anterior.

Informe Troyanos 28

Denegación de servicio:(En inglés DDoS, Distributed Denial-of-Service) No se debe confundir con DOS (Disk Operating System).

Un ataque de Negación de servicio (DDoS) no es un virus pero es un método que utilizan los hackers para evitar o negar el acceso de usuarios legítimo a un equipo.

Los ataques DDoS se ejecutan típicamente usando herramientas DDoS que envían muchos paquetes con peticiones a un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor, haciendo el sistema inutilizable. Cualquier sistema que esté conectado a Internet y equipado con servicios de red TCP está expuesto a un ataque.

Por ejemplo, imagínese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas contesta al teléfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita que clientes legítimos ordenen una pizza porque la línea telefónica está ocupada. Esto es una negación de servicio, y es análogo a un ataque del DDoS.

Pasado a la informática se refiere a cuando una computadora o un programa, dejan de responder al servicio solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultáneos con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturándolo), o se produce algún tipo de sobrecarga o desbordamiento de búfer por un exceso de datos a procesar y el programa deja de responder.

Dirección IP: El Protocolo de Internet (IP, de sus siglas en inglés Internet Protocol) es un protocolo no orientado a conexión usado tanto por el origen como por el destino para la comunicación de datos a través de una red de paquetes conmutados. Los datos en una red basada en IP son enviados en bloques conocidos como paquetes o datagramas (en el protocolo IP estos términos se suelen usar indistintamente). En particular, en IP no se necesita ninguna configuración antes de que un equipo intente enviar paquetes a otro con el que no se había comunicado antes.

Archivo DDL:Ejecutan acciones o rutinas de uso frecuente en Windows, y un mismo archivo DLL puede ser usado por varios programas al mismo tiempo (como el Kernel32.dll). Por ejemplo el procesador de palabras, la hoja de cálculo y otros programas pueden usar un mismo archivo DLL para desplegar el cuadro diálogo Abrir, cada vez que usted usa el comando Abrir.

Gracias a ese esquema modular, hay muchas funciones que los creadores de software no tienen que incluir en sus programas; cuando un programa necesita enviar un documento a la impresora, simplemente llama el archivo DLL respectivo para que este cargue y ejecute la tarea. De esa forma, los programas son más pequeños y se ahorra espacio en el disco duro.

El hecho de que estos módulos de rutinas (Archivos DLL) no sean parte de programas, sino que se guardan como archivos independientes, también optimiza el uso de la memoria RAM. Un DLL se carga en la memoria RAM y se ejecuta únicamente cuando un programa lo llama para que realice una función, mientras que otros módulos de rutinas que sí hacen parte del programa permanecen cargados en la memoria mientras trabaja con un programa.

Windows incluye muchos archivos DLL que son usados por otros programas (la mayoría en la carpeta

Informe Troyanos 29

c:\windows\system). Pero algunos programas también instalan sus propios archivos DLL (y generalmente los colocan en la carpeta del disco duro en la que está guardado dicho programa).

DMA: (Direct Memory Access) Permite a cierto tipo de componentes de ordenador acceder a la memoria del sistema para leer o escribir independientemente de la CPU principal. Es una característica esencial en todos los ordenadores modernos, ya que permite a dispositivos de diferentes velocidades comunicarse sin someter a la CPU a una carga masiva de interrupciones.

Dropper: Llamado cuentagotas. Es un fichero que al ejecutarse "gotea" o dispersa un virus. Un fichero "dropper" puede crear un virus e infectar el ordenador al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".

EICAR:(European Institute of Computer Anti-Virus Research)Institución informática que ha creado un método para evaluar la fiabilidad y el comportamiento de los antivirus: el test EICAR.

Ejecutable:Es el término genérico que se utiliza para definir a los programas o aplicaciones. Se utiliza sobre todo cuando se habla de ficheros, para diferenciarlos de aquellos que no se pueden ejecutar por sí mismos. Un ejemplo de fichero que no se puede ejecutar por sí mismo es un documento, una imagen o un fichero de sonido. Para poder abrir, visualizar o reproducir este tipo de ficheros se necesita un ejecutable. Los ejecutables tienen las extensiones "EXE" Y "COM".

Encriptar: Es la acción de proteger archivos expresando su contenido en un lenguaje cifrado. Los lenguajes cifrados simples consisten, por ejemplo, en la sustitución de letras por números mediante complejos algoritmos. El proceso inverso se denomina desencriptar (decrypt). Los datos encriptados suelen llamarse "texto cifrado".

Ensambladores:En un lenguaje ASSEMBLER (ensamblador o compiladores) toman las instrucciones, las colocan una detrás de otra en lenguaje máquina, calculan las direcciones relativas de cada campo o etiqueta y dan como resultado un programa en código máquina que se llama código objeto. Este programa posteriormente se carga en una posición de memoria de la máquina y ese cargador le suma a las direcciones relativas el valor de la dirección de carga con lo cual tenemos un programa listo para ejecutarse, a este programa se le llama absoluto. Todos los ensambladores que existen para el Spectrum, dan como resultado un programa absoluto.

Falso Positivo: Se le llama así cuando un programa Anti-Virus, Anti-Spyware o similar, detecta un archivo legitimo como infectado.

Los creadores de Malwares cada día utilizan procesos muy sofisticados para que las aplicaciones puedan fallar.

Para más información puede consultarse este enlace:

Fichero: Hace referencia a la información que se encuentra en un soporte de almacenamiento informático. Es el trabajo real que realiza cada usuario (textos, imágenes, bases de datos, hojas de cálculo,...,etc.). Cada uno de ellos se caracteriza

Informe Troyanos 30

por tener un nombre identificativo. El nombre puede estar seguido de un punto y una extensión, compuesta por tres caracteres que identifican el tipo de fichero del que se trata. Algunas extensiones comunes son: EXE y COM (ficheros ejecutables, programas), TXT y DOC (ficheros de texto),..., etc.

Fichero binario:Es una sucesión de bytes, uno tras otro, que puede almacenar cualquier tipo de información (texto, imágenes...y cualquier tipo de datos) . Estan formados por unos y ceros.

Fichero de proceso por lotes (.bat o batch):Los ficheros de proceso por lotes o ficheros Batch se caracterizan por tener extensión BAT. Son ficheros de texto que contienen comandos de MS/DOS, uno por cada línea escrita. Cuando se ejecuta este tipo de ficheros, cada una de las líneas en él escritas se va ejecutando de forma secuencial. Un fichero muy importante de este tipo es el AUTOEXEC.BAT, el cual se encuentra siempre en la raíz del disco duro y se ejecuta automáticamente cuando el ordenador arranca, cargando una serie de controladores y programas.

Ficheros SCR: Ficheros de Script cuya extensión es SCR y sirven para determinar los parámetros ('condiciones') con los que se deben ejecutar unos determinados programas. Permiten iniciar un programa con unas pautas fijadas de antemano.

Firewall: Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en las redes para prevenir algunos tipos de comunicaciones prohibidas por las políticas de red, las cuales se fundamentan en las necesidades del usuario. La configuración correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor como herramienta de seguridad.

Firma electrónica:Código encriptado que se usa en las redes de comunicaciones para autenticar la identidad del usuario emisor y la propiedad de un documento en circulación.

Hacker: Hacker (del inglés hack, recortar), también conocidos como "white hats" (sombreros blancos) o "black hats" (sombreros negros), según una clasificación de sus acciones (según sean sólo destructivas o no, etc.). Es el neologismo utilizado para referirse a un experto (ver: Gurú) en varias o alguna rama técnica relacionada con las Tecnologías de la Información y las Telecomunicaciones: programación, redes de comunicaciones, sistemas operativos, hardware de red/voz, etc.

El glider, emblema hackerSu entendimiento es más sofisticado y profundo respecto a los sistemas informáticos, ya sea de tipo hardware o software. Se suele llamar hackeo y hackear a las obras propias de un hacker.

Hijacker: (Secuestradores del Navegador) es el software encargado de cambiar la pagina de inicio de cualquier navegador, no dejando al usuario la posibilidad de cambiarlo.

Hoaxes: La palabra hoax viene del inglés y tiene dos interpretaciones. Por un lado, puede ser utilizado como un verbo que significa embaucar; en cambio, si se utiliza como sustantivo, se traduce como engaño, bulo o broma de mal gusto.

Informe Troyanos 31

Ingeniería Social:Son técnicas basadas en engaños que se emplean para dirigir la conducta de una persona u obtener información sensible. El afectado es inducido a actuar de determinada forma (pulsar en enlaces, introducir contraseñas, visitar páginas, etc.) convencido de que está haciendo lo correcto cuando realmente está siendo engañado por el ‘ingeniero social’.

IP (dirección): La dirección IP está conformada por un número de 32 bits la cual identifica cada emisor y receptor de paquetes de información a través de Internet.

Cada paquete enviado dentro del protocolo TCP/IP incluye la dirección IP de origen y de destino para poder distribuir los datos de manera correcta y si fuese necesario confirmar al emisor la recepción de éstos.

Ésta consta de dos partes, una que identifica a cada red dentro de Internet y un identificador para cada dispositivo, el cual puede ser un router, un servidor o una estación de trabajo.

Un ejemplo de una dirección IP puede ser, por ejemplo: 200.45.9.201.

IP spoofing: Es una técnica que permite que un bandido tome la identidad de un host "confiable" (cambiando su dirección IP por la dirección de éste) y obtenga de este modo accesos no autorizados a otros sistemas.

Kernel:Es el corazón de un sistema operativo, su componente más importante. Su función es brindar servicios básicos para el resto del sistema y las aplicaciones que se ejecutan en él. Las tareas que el Kernel (o Núcleo) administra son, entre otras, todas las operaciones de entrada/salida con los dispositivos de hardware del ordenador, la memoria del sistema, la ejecución de procesos y servicios. Sin importar el sistema operativo, aquellos que se basan en un Kernel normalmente incluyen en éste las mismas funciones antes mencionadas, aunque en otros casos le agregan otras tareas, o quizás, manejan por separado la gestión de memoria. Algunos sistemas operativos basados en un Kernel son Windows y Linux, entre otros.

Keylogger: (Capturadores de Teclado) Aplicaciones encargadas de almacenar en un archivo todo lo que el usuario ingrese por el teclado. Son ingresados por muchos troyanos para robar contraseñas e información de los equipos en los que están instalados.

Malware: Es la abreviatura de Malicious software, término que engloba a todo tipo de programa o código de computadora cuya función es dañar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar términos como: Virus, Trojan (Caballo de Troya), Gusano (Worm), Parásito, Spyware, Adware, Hijackers, Keyloggers, etc….

MBR:(Master Boot Record) En castellano, Sector de Arranque, o Sector Maestro de Booteo. Es una pequeña parte de memoria cuyo contenido se ejecuta en el inicio del ordenador. Puede contener un programa cargador, y normalmente se encuentra en el primer sector del disco rígido. Los virus residentes suelen alojarse en el MBR para ejecutarse desde el inicio mismo del sistema. Algunos ejemplos son el Stoned, Michelangelo y Jersusalem, entre otros.

Informe Troyanos 32

Ocultación:(En inglés Stealth) Técnica utilizada por algunos virus para no ser localizables, haciendo parecer que los ficheros infectados no lo estan, interceptan peticiones de acceso a disco, por tanto cuando una aplicación antivirus intenta leer ficheros o sectores de arranque para encontrar virus, encuentra que el fichero no esta afectado, ocultando en algunos casos el tamaño real del fichero, devolviendo el tamaño anterior a la infección.

Polimórfico (Virus): Este tipo de virus tienen una cualidad muy importante: pueden cambiar de forma. Pero, ¿qué quiere decir que un programa informático, como un virus, pueda cambiar de forma? Lo que realmente hace el virus es copiarse en memoria, volver a compilarse tras cambiar su estructura interna, tal como nombres de variables, funciones, etc, y volver a compilarse, de manera que una vez creado nuevamente un especimen del virus, es distinto del original.

Existen virus de un polimorfismo avanzado que no sólo cambian varialbes y funciones sino mucho más, e incluso hay algunos nuevos tipos de virus polimórficos que son llamados metamórficos por su capacidad de cambiarse casi completamente creando una copia nueva de si misma, que puede no ser detectada por la mayoría de los antivirus. Para los fanáticos de los virus informáticos, los polimórficos son uno de los especimenes más interesantes dada su capacidad cameleónica.

Proxy: Software que permite a varios ordenadores acceder a Internet a través de una única conexión física y puede permitir acceder a páginas Web, FTP, correo electrónico, etc., y también, servidor de comunicaciones, responsable de canalizar el tráfico entre una red privada e Internet, que contiene un cortafuegos.

Puerto: Un puerto es una conexión lógica utilizada específicamente por el protocolo de Internet (TCP/IP). Los programas que requieren de la utilización de un servidor se conectan a éstos mediante un puerto.

Algunas aplicaciones poseen puertos ya asignados, éstos son llamados "puertos ya conocidos" y han sido asignados por IANA (Internet Assigned Numbers Authority) organismo encargado de regular la asignación de números de puertos.

Otras aplicaciones utilizan números dinámicos, los cuales son establecidos en cada conexión.

Los números de los puertos pueden ir desde el 0 al 65.536, de los cuales los primeros 1024 están reservados para ciertos servicios privilegiados.

Un ejemplo es el puerto 80 utilizado por el servicio HTTP, que nos permite navegar por sitios Web.

Registro de Windows: El Registro de Windows, también llamado Registry (en inglés) o Registro del Sistema, contiene información de configuración del sistema operativo. Entre dicha información podemos encontrar las definiciones de las extensiones de archivos, las librerías dinámicas instaladas, configuraciones de software propio del sistema operativo o de terceros, etc.

Está organizada a manera de directorios o carpetas, siendo los principales los siguientes:

• HKEY_CLASSES_ROOT• HKEY_CURRENT_USER

Informe Troyanos 33

• HKEY_USERS• HKEY_LOCAL_MACHINE• HKEY_CURRENT_CONFIG• HKEY_DYN_DATA

Rootkit: Los rootkits se iniciaron bajo los sistemas operativos Unix, basándose en un conjunto de herramientas específicamente modificadas para ocultar la actividad de quien las utilizará.

Por esto, se define a rootkit como un conjunto de herramientas especiales que permiten esconder procesos activos, archivos en uso, modificaciones al sistema, etc., de manera que las utilidades de seguridad tradicionales no puedan detectarlas una vez en el sistema.

Cuando se habla de “técnicas rootkit” en un código malicioso, básicamente nos referimos al hecho de que el malware en cuestión es capaz de aprovechar funciones propias o de herramientas externas para esconder parte o todo su funcionamiento.

Sniffing: Se trata de dispositivos que permiten al atacante "escuchar" las diversas comunicaciones que se establecen entre ordenadores a través de una red (física o inalámbrica) sin necesidad de acceder física ni virtualmente a su ordenador.

Spyware: Software espía. Es todo aquel programa o aplicación que sin el conocimiento del usuario recolecta información de su equipo o de lo que hace al utilizar internet. Normalmente utilizado con fines de publicidad o marketing. Son programas que invaden la privacidad de los usuarios y también la seguridad de sus computadoras.

Actualmente, este tipo de software es incluido junto a aplicaciones gratuitas de gran difusión, como las utilizadas herramientas de intercambio de archivos.

Podría considerarse una rama de la familia de los troyanos dado que básicamente su función es similar a la de estos.

TCP/IP:(Transfer Control Protocol / Internet Protocol) Protocolo de control de transmisión/Protocolo de Internet.

Conjunto de protocolos sobre los cuales funciona Internet, permite la comunicación entre los millones de equipos informáticos conectados a dicha red.

El protocolo IP, que se ocupa de transferir los paquetes de datos hasta su destino adecuado y el protocolo TCP, se ocupa de garantizar que la transferencia se lleve a cabo de forma correcta y confiable.

Variante: Es un virus, ú otra sub clase de software malicioso, que es creado modificando un virus ya conocido. Normalmente agregan funcionalidades a la versión original, o se corrigen para evadir la detección de antivirus.

Zombie: Un ordenador generalmente infectado con un troyano de acceso remoto, capaz de recibir órdenes externas, y de actuar, generalmente en actividades maliciosas, sin el conocimiento de sus dueños.

Opinión Personal

Informe Troyanos 34

Los troyanos son una fácil y masiva herramienta hacker o cracker, existe bastante documentación, es un tema muy extenso, que abarca muchas areas de la informática. Su existencia está estrechamente relacionado a temas sociales, a los negocios a las tendencias y necesidades humanas.

En opinión personal no estoy en contra de los troyanos ni en la forma que se distribuyen aunque ética o moralmente no sean aceptados; ya que su producción en muchos casos responde a necesidades particulares que el mismo mercado genera, me refiero específicamente a las necesidades spammer troyan y la necesidad de conseguir dinero por publicidad click troyan, personalmente me he visto interesado en esta última función que se les ha dado a los troyanos, ya que debido a que trabajo hace algunos años como desarrollador web, se de que manera funciona la web y el sistema de pago por publicidad , de hecho me he visto particularmente afectado por este tipo de troyanos y veo lo rentables que pueden llegar a ser si se traducen en ingresos.

Particularmente he utilizado algunos troyanos, específicamente el Subseven y me asombro la capacidades con que están provistos estos sistemas.

Por otra parte, considerando que el desarrollo de este objeto infeccioso o herramienta se es considerado este viene a resolver una necesidad particular dentro de las personas la cual es la de reconocimiento y hasta en algunos casos de autorrealización, para el caso cuando no se ha desarrollado con fines de espionaje ni lucro.

Me interesa de sobremanera la interacción de estos objetos y su monitoreo como troyanos sociales y malignos, para lo cual creo que seguiré interiorizándome para hacerlo desde la web y quien sabe obtener algún beneficio, alguna habilidad, o simplemente reconocimiento u autorrealización personal.

Conclusión

Informe Troyanos 35

En conclusión un troyano es una herramienta hack, los existen en diferentes distribuciones variadas y hasta ingeniosas, existen dotados con diferentes funcionalidades y estos son utilizados generalmente por usuarios no necesariamente avanzados, en su distribución un troyano trae una serie de archivos, que se encargaran de tareas como protegerse y ocultarse de herramientas que puedan eliminarlo.

Las técnicas de seguridad de hoy en día han evolucionado, consigo los troyanos han heredando tales características. La existencia de una nueva definición de virus o troyano nace de la masividad o coincidencia del análisis de un archivo por ello es poco probable la detección temprana de un troyano nuevo, por tanto, la desinfección total de un sistema es poco presumible.

La contaminación del troyano no es de por sí independiente, esta se genera a través de acciones inseguras cometidas por parte del afectado, por lo tanto, teóricamente cualquier infección de tipo troyano podría ser evitada con una buena seguridad antitroyana, pero principalmente con una buena política de seguridad.

Informe Troyanos 36

Bibliografía

Microsoft, Centro de Protección: ¿Qué son los virus, gusanos y troyanos?, Consulta 4 Abril 2009, <http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx>

Forospyware, Glosario: Glosario Completo, Consulta 4 Abril 2009, < http://www.forospyware.com/glossary.php>

McAfee, Glosario: Abstracto de conceptos, Consulta 4 Abril 2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary>

McAfee, Glosario: Abstracto de conceptos, Consulta 4 Abril 2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary>

McAfee, Cómo identificar un troyano y eliminarlo: Modo en que operan y modo de identificación, Consulta 5 Abril 2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary>

McAfee, Cómo identificar un troyano y eliminarlo: Modo en que operan y modo de identificación, Consulta 5 Abril 2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary>

Symantec, Que es la Cuarentena: Que es la Cuarentena, Consulta 5 Abril 2009, <http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/la_docid/20040525091926905?Open&src=w_arg&seg=hm&lg=es&ct=mx>

Wikilearning, Que es un Troyano y Como funciona: Acerca de la conexión, Consulta 5 Abril 2009, <http://www.wikilearning.com/tutorial/que_es_un_troyano-como_funciona_un_troyano/238-4>

Ultranet, Crypters: Definición y Ejemplos, Consulta 5 Abril 2009, <http://www.ultranet.webcindario.com/crypters.html>

Infospyware, Rootkits: Que son, Consulta 5 Abril 2009, < http://www.infospyware.com/articulos/que-son-los-rootkits.htm >

Blogdelhacker, Troyanos: Que son y cómo funcionan, Consulta 6 Abril 2009, <http://www.blogdelhacker.com/2007/02/15/troyanos-que-son-y-como-funcionan/ >

Wikipedia, Troyanos(informática): Que son y cómo funcionan, Consulta 4 Abril 2009, <http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)>

Informe Troyanos 37

Wikipedia, Troyanos(informática): Que son y cómo funcionan, Consulta 4 Abril 2009, <http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)>

Viruslist, Programas Troyanos: Que son y cómo funcionan, Consulta 8 Abril 2009, <http://www.viruslist.com/sp/virusesdescribed?chapter=152540521>

Wikipedia, Hash y encriptación: Que es y algunos métodos de encriptación, Consulta 8 Abril 2009, <http://es.wikipedia.org/wiki/Hash>

Panda Software, Formulas de Infección: Mención y descripción de formulación de infección utilizadas por objetos infecciosos, Consulta 8 Abril 2009, < http://www.pandasecurity.com/spain/homeusers/media/press-releases/viewnews?noticia=2525&ver=2002,all&pagina=3&numprod=&entorno=>

Panda Software, Formulas de Infección: Mención y descripción de formulación de infección utilizadas por objetos infecciosos, Consulta 8 Abril 2009, < http://www.pandasecurity.com/spain/homeusers/media/press-releases/viewnews?noticia=2525&ver=2002,all&pagina=3&numprod=&entorno=>ISSA - International Systems Security Association, Actualidad en Seguridad, Consulta 9 Abril 2009 <http://www.issa.org >

Andy Hormazabal Budin

www.andy.cl

andy@andy.cl

Informe Troyanos 38