UNIVERSIDAD AGRARIA DEL ECUADOR FACULTAD DE CIENCIAS AGRARIAS

ESCUELA DE COMPUTACIN E INFORMTICA

CERTIFICACION DE ACEPTACION DEL TUTOR En mi calidad de tutor de la Monografa, nombrado por el Consejo Directivo de la Facultad de Ciencias Agrarias de la Universidad Agraria del Ecuador. Certifico: Que he revisado la monografa titulada: IMPACTO DE LOS TROYANOS EN LA ACTUALIDAD la misma que se encuentra de acuerdo a las normas establecidas por la institucin.
Atentamente
______________________________ Ing. Nestor Vera. CATEDRATICO-TUTOR.

MONOGRAFA

IMPACTO DE LOS TRAYANOS EN LA ACTUALIDAD.

KATTY ANDREA VILLACIS MEDINA

MONOGRAFIA PRESENTADA AL HONORABLE CONSEJO DIRECTIVO DE LA FACULTAD DE CIENCIAS AGRARIAS COMO REQUISITO PREVIO PARA OBTENER EL TITULO DE TECNOLOGO EN COMPUTACIN E INFORMTICA.

APROBADO POR:

______________________ Ing. Wilson Molina Oleas. PRESIDENTE

__________________ Ing. Ana Mara Arellano A. Examinador Principal

__________________ Ing. Jorge Hidalgo L. Examinador Principal

______________________ Lsi. Vernica Freire A. Examinador Suplente

UNIVERSIDAD AGRARIA DEL ECUADOR

FACULTAD DE CIENCIAS AGRARIAS ESCUELA DE COMPUTACIN E INFORMTICA

MONOGRAFA
Presentado al Consejo Directivo como Requisito Previo para Optar al Ttulo de:

TECNLOGO EN COMPUTACIN E INFORMTICA

TEMA: IMPACTO DE LOS TROYANOS EN LA ACTUALIDAD

AUTOR: KATTY ANDREA VILLACIS MEDINA

Guayaquil Ecuador 2012

II

DEDICACION

A Dios, que me concede el privilegio de la vida y me ofrece lo necesario para lograr mis metas. A mis padres que me brindaron su apoyo incondicional y a mi hijo que es mi complemento de vida.

III

AGRADECIMIENTO

A Dios por brindarme la dicha de la salud y bienestar fsico y espiritual. Agradezco de todo corazn a mis padres, porque ellos siempre estn conmigo, son mi fuente de inspiracin y sobre todo me imparten valores para conducirme correctamente y estar ms cerca de mis metas profesionales. Gracias especialmente al impetuoso asesoramiento del docente Ing. Nestor Vera, le atribuyo la finalizacin de este exitoso trabajo de investigacin. A las autoridades, personal administrativo de la Universidad Agraria del Ecuador, especialmente al Sr. Rector Ing. Agr. Jacobo Bucaram Ortiz, y al Ing. Coordinador de la Escuela de Computacin e Informtica. A los docentes, porque a pesar de todo confiaron en nosotros y nos dieron la

oportunidad con su ejemplo de responsabilidad y generosidad de seguir en nuestro camino hacia el xito.

IV

La responsabilidad por las investigaciones, desarrollo, resultados y conclusiones sustentados en esta monografa corresponden exclusivamente al autor y los derechos a la Universidad Agraria del Ecuador.

-------------------------------------------------------------

Katty Andrea Villacis Medina C.I. 0924330202

V INDICE AGRADECIMIENTO II DEDICACION.... III RESPONSABILIDAD.... IV INDICE V TEMA.. RESUMEN.. VI VII

SUMMARY. VIII I.- INTRODUCCIN..... 1 Objetivo General.. II. METODOLOGA. III. RESULTADOS Y DISCUSIN PROPSITO DE LOS TROYANOS Y LOS PRINCIPALES TIPOS EXISTENTES .. 5 1.1. Los Troyanos... 5 1.2. Evolucin Histrica 7 1.3. Propsito de los Troyanos.. 9 1.4. Caracterstica de los Troyanos.. 10 1.5. Funcionamiento de un Troyano 1.6. Tipos de Troyanos.. 1.6.2. Troyanos que envan datos.... 1.6.3. Troyanos Destructivos... 1.6.4. Troyanos de ataque de denegacin de servicio (DoS). 11 12 13 14 14 2 3 5 Objetivos Especficos 2

Captulo I. 5

1.6.1. Troyanos de acceso remoto.... 13

1.6.5. Troyanos proxy... 15 1.6.6. Deshabilitadores de software de seguridad.. 15 1.7. Troyanos ms famosos... 1.7.2. Back Orifice 16 18 1.7.1. NetBus.. 16

1.7.3. Sub 7 1.7.4. Nuclear RAT... 1.7.5. ALS/BURSTED.. Captulo II... FORMAS, SINTOMAS DE INFECCION E IMPACTANTES AMENAZAS... 2.1. Formas de infectarse de un Troyano............. 2.3. Ejemplos de Impactantes Amenazas. 2.3.1. Nuevo troyano se hace pasar por Microsoft Security Essentials.............

19 24 26 29 29 29 34 34

1.7.6. BAT/BOOHOO.A... 27

2.2. Sntomas de comunes de la infeccin por un Troyano. 33

2.3.2. Bohu: Nuevo troyano que desafa a los antivirus cloud 35 2.3.3. Oleada de troyanos Mitglieder 35 2.3.4. Dispositivos USB podran ser utilizados como troyanos de hardware 2.3.5. Troyanos sern utilizados por el Estado suizo para espiar a la gente. 2.3.6. El fraude bancario en Ecuador, un tema en auge. 2.3.7. Facebook, Android y Anonimous protagonizan los ataques en el primer trimestre de 2011... Captulo III. PROTECCION Y ELIMINACION DE UN TROYANO.. 3.1. Protecciones ante un Troyano 3.1.1. Cmo proteger su red de Troyanos 3.2. Herramientas para eliminacin de Troyanos... 3.2.2. AVG INTERNET SECURITY 2011.. 3.2.3. Kaspersky Anti-Virus 2011 11.0.2.556... 39 41 41 41 43 45 47 49 36 37 38

3.1.2. Lista de puertos generalmente utilizados por Troyanos... 45 3.2.1. The Cleaner 2012 8.0.0.1059 46

3.2.4. avast! Free Antivirus 6.0.1091. 50 3.2.5. Panda Cloud Antivirus 1.4 Free.. 51 CONCLUSIONES.. LITERATURA CITADA. ANEXOS. GLOSARIO DE TERMINOS.. 53 55 58 67

VI

TEMA: IMPACTO DE LOS TROYANOS EN LA ACTUALIDAD

VII RESUMEN Segn la leyenda, a los griegos, que no lograban traspasar las defensas de la ciudad de Troya, se les ocurri la idea de abandonar el bloqueo y, en cambio, entregar una ofrenda a la ciudad: el regalo consista en un caballo de madera gigante. En el campo de la informtica, se denomina Troyano a un programa oculto dentro de otro que ejecuta comandos furtivamente y que, por lo general, abre el acceso al ordenador y lo opera abriendo una puerta trasera. Por esta razn, a veces se lo conoce como Troyano por la analoga con los ciudadanos de Troya. Similar a un virus, un Troyano es un cdigo malicioso que se encuentra en un programa sano (por ejemplo, un comando falso para crear una lista de archivos que los destruye en lugar de mostrar la lista). Un troyano puede crear una infraccin intencional de seguridad dentro de la red para que los usuarios externos puedan acceder a reas protegidas de esa red. Los Troyanos ms comunes abren puertos en la mquina que permiten al diseador tener acceso al ordenador a travs de la red abriendo una puerta trasera. Por esta razn se usa frecuentemente el trmino puerta trasera u orificio trasero. Un Troyano no es necesariamente un virus porque su objetivo no es reproducirse para infectar otras mquinas. Adems, algunos virus tambin pueden ser Troyanos. Es decir, se esparcen como tales y abren puertos en mquinas infectadas. La infeccin de un Troyano generalmente aparece despus de abrir un archivo contaminado que contiene el Troyano y la infeccin es evidente por aparicin de sntomas tales como actividad anormal del mdem, adaptador de red o disco duro: los datos se cargan aunque el usuario no registre actividad, reacciones extraas del ratn, programas que se abren en forma inesperada, bloqueos repetidos. Si la persona planea atacarle descubrir qu software anti-virus utiliza, por ejemplo a travs de la nota de renuncia automtica agregada al correo saliente por algunos motores anti-virus, crear un Troyano especficamente para evitar su motor de virus. Aparte de fallar en detectar Troyanos desconocidos, los escneres de virus no detectarn todos los Troyanos conocidos - la mayora de fabricantes no buscan activamente nuevos Troyanos y la investigacin ha mostrado que cada motor anti-virus detecta un conjunto

particular de Troyanos. Para detectar un porcentaje ms grande de Troyanos conocidos, necesita implantar mltiples escneres de virus; esto incrementara drsticamente el porcentaje de Troyanos capturados. La deteccin de Troyanos desconocidos solo puede hacerse mediante la revisin manual del ejecutable, o utilizando un escner de Troyanos y ejecutables. El proceso de revisin manual de ejecutables es un trabajo tedioso e intensivo en tiempo, y puede estar sujeto a error humano. Por lo tanto es necesario acometer este proceso inteligentemente y automatizar parte de l. Este es el propsito de un analizador de Troyanos y ejecutables. Un escner de ejecutables analiza inteligentemente qu hace un ejecutable y le asigna un nivel de riesgo. Desensambla el ejecutable, y detecta en tiempo real qu podra hacer. Compara stas acciones con una base de datos de acciones maliciosas y entonces evala el riesgo de seguridad del ejecutable. De esta forma pueden detectarse los Troyanos potencialmente maliciosos, desconocidos o excepcionales. El escner de Troyanos y ejecutables se ocupa de hackers avanzados que crean sus propias versiones de Troyanos, las firmas de los cuales no son conocidas por los software anti-virus.

VII SUMMARY According to legend, the Greeks, who could not break through the defenses of the city of Troy, came up with the idea of leaving the lock and instead give the city a gift: the gift was a giant wooden horse . In the field of computer technology, a program called a Trojan hidden within another command that runs stealthily and, usually, gives access to a computer and operated by opening a back door. For this reason, sometimes referred to as Trojan by analogy with the citizens of Troy. Similar to a virus, a Trojan horse is malicious code that is in a sound program (for example, a false command to create a list of files that destroys rather than displaying the list). A Trojan can create a willful violation of safety within the network so that external users can access the protected areas network.The most common Trojan ports open on the machine that allows the designer to access the computer through the network by opening a back door. For this reason the term is often used or opening rear tailgate. A Trojan virus is not necessarily because their goal is not to reproduce to infect other machines. In addition, some viruses can also be Trojans. That is, as such spread and open ports on infected machines. A Trojan infection usually appears after opening a contaminated file containing the Trojan and the infection is evident by the appearance of symptoms such as abnormal activity of the modem, network adapter or hard drive: data is loaded if the user does not record activity , strange reactions of the mouse, open programs unexpectedly, repeated blockages. If the person plans to attack him find out what anti-virus software used, for example through the automatic disclaimer added to outgoing mail by some anti-virus engines, will create a Trojan specifically to prevent virus engine. Apart from failing to detect unknown Trojans, virus scanners do not detect all known Trojans - most manufacturers do not actively seek new Trojans and research has shown that each anti-virus engine detects a particular set of Trojans. To detect a larger percentage of known Trojans, you need to deploy multiple virus scanners, this would dramatically increase the percentage of Trojans captured.

The detection of unknown Trojans can only be done by manual review of the executable, or by using a Trojan and executable scanner. The manual review process executable is tedious work and time intensive, and may be subject to human error. Therefore it is necessary to undertake this process intelligently and to automate part of it. This is the purpose of a Trojan and executable analyzer. An executable scanner intelligently analyzes what an executable does and assigned a risk level. Disassembles the executable and detects in real time what could be done. Compare these actions with a database of malicious actions and then assess the security risk of the executable. This way they can detect potentially malicious Trojans, unknown or unusual. The Trojan & Executable Scanner takes care of advanced hackers who create their own versions of Trojans, firms which are not known to anti-virus software.

I.- INTRODUCCIN En 1984 el Dr. Fred Cohen clasific a los emergentes virus de computadoras en tres categoras: caballos de Troya, gusanos y virus. Emple el trmino Caballos de Troya Troyanos, por la forma secreta de ingresar a los sistemas. Este concepto fue inspirado en clara alusin a la estrategia agresiva empleada en la Batalla de Troya, relatada en la obra pica griega escrita por Homero. Del mismo modo que el caballo de Troya mitolgico pareca ser un regalo pero contena soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en da son programas informticos malintencionados que parecen ser software til pero que ponen en peligro la seguridad y provocan muchos daos. Un troyano reciente apareci como un mensaje de correo electrnico que incluye archivos adjuntos que aparentaban ser actualizaciones de seguridad de Microsoft, pero que resultaron ser virus que intentaban deshabilitar el software antivirus y de servidor de seguridad. El impacto de los troyanos en la actualidad, radica en que este no es en s un virus, an cuando tericamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" slo tiene que acceder y controlar la mquina anfitriona sin ser advertido, normalmente bajo una apariencia inofensiva y necesita del usuario para poder ser instalado, esto permite recabar informacin de un usuario y enviarla. Al contrario que un virus, que es un husped destructivo, la caracterstica principal y lo que lo hace potencialmente peligrosos es su capacidad de propagarse por diferentes medios. Este programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a travs de una red local o de Internet, suele ser un programa alojado dentro de una aplicacin, una imagen, un archivo de msica u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una funcin til pero internamente realiza otras tareas de las que el usuario no es consciente,

habitualmente se utiliza para espiar, usando la tcnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legtimo de la computadora hace, esto se lo puede evitar no ejecutando nada de lo cual se desconozca el origen y mantener software antivirus actualizado, es recomendable tambin instalar algn software antitroyano, de los cuales existen versiones gratis aunque muchas de ellas constituyen a su vez un troyano. Otra solucin bastante eficaz contra los troyanos es tener instalado un firewall. Lo peor de todo es que ltimamente los troyanos estn siendo diseados de tal manera que, es imposible poder detectarlos excepto por programas que a su vez contienen otro tipo de troyano, inclusive existen troyanos dentro de los programas para poder saber cul es el tipo de uso que se les da y poder sacar mejores herramientas al mercado llamados tambin "troyanos sociales". Los troyanos estn actualmente ilegalizados, pero hay muchos crackers que lo utilizan. Los ataques de troyanos constituyen una de las ms serias amenazas a la seguridad informtica. Objetivos Objetivo General x Difundir el nivel de impacto de los troyanos en la actualidad a travs del anlisis de documentos e investigaciones estableciendo la importancia de las precauciones mediante el cual se eviten estas agresiones. Objetivos Especficos: x Describir el propsito y los principales tipos de troyanos existentes. x Explicar las formas y sntomas comunes que indican la infeccin por un troyano. x Determinar precauciones para protegerse y conocer como eliminar un troyano si ya se est infectado.

II. METODOLOGA Mtodo Emprico Anlisis de documentos

La documentacin acerca de los ataques de los troyanos referente al tema seguridad informtica es muy extensa, esta existentes en Internet y en libros, servirn para la recopilacin de la informacin y ayudaran para seleccionar gran parte de los datos, necesarios para reunir la investigacin del presente trabajo.

Mtodos Tericos Mtodo Inductivo

Se utiliza este mtodo debido a que se partir de la descripcin da cada uno de los tipos de troyanos existentes y lograr determinar las debidas precauciones para protegerse y conocer cmo eliminar un troyano si ya se est infectado. Mtodo Deductivo

Este mtodo va de la mano con el anterior debido a que del estudio de los efectos de los ataques de troyanos, mediante la descripcin de los tipos de troyanos existentes se lograr explicar las formas y sntomas comunes que indican la infeccin por un troyano.

Mtodo Anlisis

Con este mtodo se lograr distinguir los elementos necesarios para vincular la informacin existente obtenida de los diversos documentos e investigaciones realizadas en el Internet y en libros referente al tema, ya que se debe establecer la importancia de las precauciones mediante el cual se eviten el ataque de los troyanos y sus efectos. Mtodo de Sntesis

Se utilizar este mtodo, para lograr difundir el impacto de los troyanos en la actualidad, el mismo que se lo realizar mediante el anlisis de documentos e investigaciones para considerar las debidas precauciones a la violacin de la privacidad que estos programas malignos ocasionan. Ya que muchos de estos programas son creados para sustraer informacin y de esta manera lucrarse.

III. RESULTADOS Y DISCUSIN Captulo I

PROPSITO DE LOS TROYANOS Y LOS PRINCIPALES TIPOS EXISTENTES.

1.1.

Los Troyanos

Un virus informtico es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos. Su funcin es de propagarse a travs de un software, no se replican a s mismos porque no tienen esa facultad como el gusano informtico, son muy nocivos y algunos contienen adems una carga daina (payload) con distintos objetivos, desde una simple broma hasta realizar daos importantes en los sistemas, o bloquear las redes informticas generando trfico intil. El cdigo del virus queda alojado en la memoria RAM de la computadora, aun cuando el programa que lo contena haya terminado de ejecutarse. El virus toma entonces el control de los servicios bsicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa. Fuente: http://es.wikipedia.org/wiki/Virus_inform El trmino malware es muy utilizado por profesionales de

la informtica para referirse a una variedad de software hostil, intrusivo o molesto. El trmino virus informtico es utilizado en muchas ocasiones de forma incorrecta para referirse a todos los tipos de malware, incluyendo los verdaderos virus. El software es considerado malware basndose en los efectos

que cause en un computador, pensados por autor a la hora de crearlo. El trmino malware incluye virus, gusanos, troyanos, la mayora de los rootkits, spyware, adware intrusivo, crimeware y otros software maliciosos e indeseables. es.wikipedia.org/wiki/Troyano. Segn el propsito de los Malware existen tres tipos: x x x Malware infeccioso: Virus y Gusanos Malware oculto: Troyanos, Rootkits y Puertas traseras Malware para obtener beneficios: o Mostrar publicidad: Spyware, Adware y Hijacking o Robar informacin personal: Keyloggers y Stealers o Realizar llamadas telefnicas: Dialers o Ataques distribuidos: Botnets o Otros tipos: Rogue software y Ransomware En informtica, se denomina troyano o caballo de Troya a un software malicioso que se presenta al usuario como un programa aparentemente legtimo e inofensivo pero al ejecutarlo ocasiona daos. El trmino troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero. Los troyanos pueden realizar diferentes tareas, pero, en la mayora de los casos crean una puerta trasera, en ingls backdoor, que permite la administracin remota a un usuario no autorizado. Estos programas que, enmascarados de alguna forma como un juego o similar, buscan hacer creer al usuario que son inofensivos, para realizar acciones maliciosas en su equipo. Estos troyanos no son virus ni gusanos dado que no tienen capacidad para replicarse por s mismos, pero en muchos casos, los virus y gusanos liberan troyanos en los sistemas que infectan para que cumplan funciones especificas, como, por ejemplo, capturar todo lo que el usuario ingresa por teclado (keylogger). Fuente: Pc: Cmo Usarla en Forma Segura.

Hoy en da, los troyanos suelen instalarse en secreto y lanzan su carga maliciosa sin que el usuario se entere de ello. Gran parte de los modernos programas delictivos (crimeware) la componen distintos tipos de troyanos que son especficamente diseados con propsitos netamente maliciosos. Los ms comunes son los troyanos backdoor (a menudo incluyen un keylogger), los troyanos espa, los troyanos ladrones de contraseas, y los troyanos proxy que convierten el equipo del usuario en un centro de distribucin de spam. Fuente: www.troyanos.tk

1.2.

Evolucin Histrica En 1949, el matemtico estadounidense de origen hngaro John Von

Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), plante la posibilidad terica de que un programa informtico se reprodujera. Esta teora se comprob experimentalmente en la dcada de 1950 en los Laboratorios Bell, donde se desarrollo un juego llamado Core Wars en el que los jugadores creaban minsculos programas informticos que atacaban y borraban el sistema del oponente e intentaban propagarse a travs de l. Los troyanos se concibieron como una herramienta para causar el mayor dao posible en el equipo infectado. Trataban de formatear el equipo o eliminar archivos del Sistema pero no tuvieron mucha repercusin ya que en la poca en la que los creadores de malware buscaban notoriedad, los troyanos no se propagaban por s mismos, un ejemplo de este tipo de troyano es el Autorooter. En los ltimos aos y por el mayor uso de Internet esta tendencia ha cambiado hacia el robo de datos bancarios o informacin personal. Desde sus orgenes, los troyanos han sido utilizados como arma de sabotaje por los servicios de inteligencia como la CIA, cuyo caso ms emblemtico fue el Sabotaje al Gasoducto Siberiano en 1982. La CIA instal un troyano en el software que se ocupara de manejar el funcionamiento del gasoducto, antes de que la URSS comprara ese software en Canad. Fuente: es.wikipedia.org/wiki/Troyano.

En 1984 el Dr. Fred Cohen clasific a los emergentes virus de computadoras en tres categoras: caballos de Troya, gusanos y virus. Emple el trmino Caballos de Troya Troyanos, por la forma secreta de ingresar a los sistemas. Del mismo modo que el caballo de Troya mitolgico pareca ser un regalo pero contena soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en da son programas informticos malintencionados que parecen ser software til pero que ponen en peligro la seguridad y provocan muchos daos. En los primeros tiempos de la informtica personal, los ordenadores susceptibles de contener informacin de riesgo, como por ejemplo, un nmero de tarjeta de crdito o cualquier otro dato de esta ndole eran muy pocos, restringidos sobre todo a los de empresas importantes que ya haban dado el paso de incorporar la informtica a sus rutinas de trabajo. En cualquier caso, aunque ese tipo de informacin se encontrase almacenada en una mquina, no corra demasiado peligro, a no ser que se hallase conectada a una red a travs de la cual poder transmitirla. Por supuesto, hubo excepciones y se dieron casos de hackers que llegaron a realizar estafas a partir de datos almacenados en sistemas informticos. Sin embargo, lo consiguieron mediante tcnicas tpicas de ataques hacker, sin emplear ningn tipo de virus. La aparicin de Internet motiv un cambio de objetivo de los creadores de virus que, a partir de entonces, intentaron infectar el mximo nmero de ordenadores en el menor tiempo posible. Por su parte, la aparicin de los servicios asociados a Internet -como la banca electrnica, o las compras onlineconllev otro cambio. Algunos autores de virus no los creaban con el nimo de infectar muchos equipos, sino para robar los datos confidenciales asociados a dichos servicios y obtener un beneficio econmico personal. Evidentemente, para alcanzar dicho objetivo necesitaban un malware que infectasen muchos equipos de forma silenciosa. Pero no tuvieron que trabajar demasiado, ya que la respuesta estaba en un cdigo malicioso aparecido en 1986, al que se denomin genricamente troyano. Concretamente, llevaba por nombre PCWrite y se presentaba como una supuesta versin shareware de un procesador de textos. Si era ejecutado, un procesador de textos funcional se presentaba en

pantalla. El problema era que, al tiempo que el usuario escriba, el troyano se encargaba de borrar y corromper archivos del disco duro. A partir de PC-Write, este tipo de cdigo malicioso evolucion rpidamente convirtindose en los troyanos que hoy conocemos. Por eso, en la actualidad, muchos de los creadores de troyanos diseados para robar datos no son autores de virus propiamente dichos, sino simples ladrones que en lugar de utilizar sopletes o dinamita utilizan virus para cometer sus robos. Ejemplos de ello, pueden ser Ldpinch.W, o las familias de troyanos Bancos o Tofger. Fuente: http://www.noticiasdot.com/publicaciones/2006/0106/2601/noticias/historia_vi rus/historia-virus-menu-04.htm. De acuerdo con un estudio de la empresa responsable del software de seguridad BitDefender desde enero de 2009, "El nmero de troyanos est creciendo, representan el 83% del malware detectado". Dentro de los troyanos bancarios, uno de los ms activos en la ltima poca es Trj/Sinowal, que es un kit que se vende en determinados foros rusos y que permite al comprador crear el troyano bancario que necesite para realizar un ataque. En el laboratorio de PandaLabs se ha observado una preocupante tendencia al alza en la creacin de troyanos bancarios, los troyanos actualmente representan ms del 70% del malware recibidos en el laboratorio.

1.3.

Propsito de los Troyanos Los troyanos estn diseados para permitir a un individuo el acceso remoto

a un sistema. Una vez ejecutado el troyano, el individuo puede acceder al sistema de forma remota y realizar diferentes acciones sin necesitar permiso. Las acciones que el individuo puede realizar en el equipo remoto dependen de los privilegios que tenga el usuario en el ordenador remoto y de las caractersticas del troyano.

Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto son:
x

Utilizar la mquina como parte de una botnet, por ejemplo para realizar ataques de denegacin de servicio o envo de spam. Instalacin de otros programas, incluyendo otros programas maliciosos. Robo de informacin personal: informacin bancaria, contraseas, cdigos de seguridad. Borrado, modificacin o transferencia de archivos (descarga o subida). Ejecutar o terminar procesos. Apagar o reiniciar el equipo. Monitorizar las pulsaciones del teclado. Realizar capturas de pantalla. Ocupar el espacio libre del disco duro con archivos intiles, Borra el disco duro Caracterstica de los Troyanos

x x

x x x x x x x

1.4.

Los troyanos estn compuestos principalmente por tres programas: un cliente, que enva las rdenes que se deben ejecutar en la computadora infectada, un servidor situado en la computadora infectada, que recibe las rdenes del cliente, las ejecuta y casi siempre devuelve un resultado al programa cliente y por ltimo, un editor del servidor, el cual sirve para modificarlo, protegerlo mediante contraseas, unirlo a otros programas para que, al abrir el programa tambin se ejecute el servidor, configurar en que puerto deseamos instalar el servidor. Atendiendo a la forma en la que se realiza la conexin entre el cliente y el servidor se pueden clasificar en: Conexin directa (el cliente se conecta al servidor) y Conexin inversa (el servidor se conecta al cliente). La conexin inversa tiene claras ventajas sobre la conexin directa, esta traspasa algunos firewall (la mayora de los firewall no analizan los paquetes que salen de la computadora, pero que s analizan los que entran), pueden ser usados en redes situadas detrs de un router sin problemas (no es

10

necesario redirigir los puertos) y no es necesario conocer la direccin IP del servidor. Cabe destacar que existen otro tipo de conexiones, que no son de equipo vctima a equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a ambos, para realizar el proceso de control. Se suele utilizar para este propsito el protocolo IRC o incluso FTP, HTTP u otros. Fuente: http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica).

1.5.

Funcionamiento de un Troyano

Debido a que generalmente un Troyano intenta (y cada vez con ms frecuencia) abrir un puerto en la mquina para que un hacker pueda controlarla (por ejemplo, mediante el robo de datos personales almacenados en el disco duro), el primer objetivo del hacker es infectar la mquina obligando a abrir un archivo infectado que contiene el Troyano y, luego, acceder a la mquina a travs del puerto abierto. Sin embargo, para poder infiltrar la mquina, el hacker usualmente conoce su direccin de IP. Entonces: Usted puede tener una direccin de IP asignada (como ocurre con las empresas, personas que tienen una conexin por cable o similar, etc.), en ese caso esa direccin de IP se puede averiguar fcilmente, o puede tener una direccin de IP dinmica (reasignada cada vez que se conecta), como en el caso de las conexiones por mdem. En este caso, el hacker debe analizar la direccin IP aleatoriamente para detectar aquellas que corresponden a mquinas infectadas. La desconfianza de los internautas ha provocado que el correo ya no sea la forma mayoritaria de propagacin del 'phishing' - El 72% del cdigo malicioso es con fines lucrativos, segn PandaSoftware. Las mafias que roban cuentas de la banca en Internet cambian de estrategia. Estn dejando de mandar mensajes masivos que simulan proceder de bancos, conocidos como phishing, y suben las infecciones por los llamados troyanos bancarios, ms efectivos y selectivos, que entran en ordenadores con sistema operativo Windows al visitar un sitio web.

11

Acaban los tiempos de los ataques masivos a discrecin. Los nuevos ladrones de datos bancarios son unos bichos silenciosos que donde ponen el ojo ponen la bala. Viajan por las redes P2P, foros, mensajes de correo y mensajera instantnea, ofreciendo enlaces o archivos adjuntos con ganchos como el vdeo de Daniella Cicarelli en la playa o la ejecucin de Sadam Hussein. Cuando el incauto pincha en el adjunto o visita el enlace, el troyano se mete en su ordenador. Estar inactivo hasta que su vctima visite alguno de los bancos para los que est programado, que pueden ser ms de cien. Entonces, grabar las contraseas que teclee, capturar imgenes de la pantalla o las pulsaciones. Y mandar los datos obtenidos al ladrn. PandaSoftware asegura que el 56% del cdigo malicioso actual corresponde a estos troyanos, surgidos en 2004 y que en 2006 "se dispararon". El servicio VirusTotal, de Hispasec Sistemas, detecta 50 diarios: "Se suelen disear para atacar a las entidades bancarias con mayor volumen de clientes", explican. La sofisticacin que representan estos troyanos es consecuencia de que al cibercrimen le cuesta cada vez ms engaar al internauta, explican en Hispasec: "El phishing requiere que se crean que el mensaje proviene de su banco y que metan las claves en una pgina cuya direccin no corresponde a la de su entidad". La desconfianza de los internautas tambin ha provocado que el correo ya no sea la forma mayoritaria de propagacin de estos troyanos, segn el Instituto Nacional de Tecnologas de la Comunicacin Inteco: "Se usan mucho los sitios web maliciosos, a los que se intenta dirigir a los internautas con todo tipo de artimaas, enlaces en foros y mensajera instantnea, con el fin de aprovechar vulnerabilidades en sus navegadores por las que se introducirn los troyanos". 1.6. Tipos de Troyanos

Dentro de toda esta gran selva de la web, conviven diferentes tipos de programas y diferentes tipos de tecnologas utilizadas para hacer dao o estafar al usuario. Los troyanos constituyen uno de los ejemplares con mayor difusin y el que ms variantes posee. Los nombres especficos que adoptan cada uno

12

de ellos suele generar confusin en el usuario, quin termina identificndolos de forma errnea bajo el nombre general de virus. Hay muchos diferentes tipos de Troyanos, que pueden ser agrupados en siete categoras principales, sin embargo, habitualmente es difcil clasificar un Troyano en un nico grupo ya que los Troyanos a menudo tienen atributos que los situaran en mltiples categoras. Las siguientes categoras definen las principales funciones que un Troyano puede tener. 1.6.1. Troyanos de acceso remoto Estos son probablemente los Troyanos ms publicitados, porque proporcionan al atacante el control total del equipo de la vctima. Ejemplos son los Troyanos Back Orifice y Netbus. Tras ellos est la idea de dar al atacante acceso COMPLETO al equipo de alguien, y por lo tanto acceso total a archivos, conversaciones privadas, datos de cuenta, etc. Tradicionalmente, los Troyanos actuaban como un servidor y escuchaban un puerto que tena que estar disponible a los atacantes de Internet. Los atacantes ahora pueden tambin hacer uso de una conexin invertida para conseguir la entrada ilegal al anfitrin de forma que pueda alcanzar el servidor incluso si est detrs de un cortafuegos. Algunos Troyanos tambin pueden conectar automticamente a IRC y puede ser controlado mediante comandos IRC casi annimamente, sin que el atacante y la vctima hagan nunca una conexin TCP/IP real. Fuente: http://www.gfihispana.com/whitepapers/network-protection-against-trojans.pdf 1.6.2. Troyanos que envan datos El propsito de estos Troyanos es devolver datos al hacker con informacin como contraseas (ICQ, IRC, FTP, http) o informacin confidencial como detalles de tarjetas de crdito, registros de conversaciones, listas de direcciones, entre otros. El Troyano podra buscar informacin especfica en lugares particulares o podra instalar un registrador de pulsaciones y simplemente enviar todas las pulsaciones de teclado al hacker (quin podr extraer las contraseas de los datos). Un ejemplo de esto es el virus de correo

13

Badtrans.B (liberado en Diciembre de 2001) que poda registrar las pulsaciones de teclado de los usuarios. Los datos capturados pueden ser devueltos a la direccin de correo del atacante, que en la mayora de los casos est localizado en algn proveedor de correo gratuito basado en web. Alternativamente, los datos capturados pueden ser enviados conectando al sitio web del hacker probablemente utilizando un proveedor de pginas web gratuitas - y enviando los datos mediante un formulario web. Ambos mtodos pasaran desapercibidos y pueden ser hechos desde cualquier equipo de su red con Internet y acceso al correo electrnico. Ambos hackers internos y externos pueden utilizar Troyanos que envan datos para conseguir acceso a informacin confidencial sobre su empresa. Fuente: www.gfihispana.com/whitepapers 1.6.3. Troyanos Destructivos La nica funcin de estos Troyanos es destruir y eliminar archivos. Esto los hace muy sencillos de utilizar. Pueden eliminar automticamente todos los archivos principales del sistema (por ejemplo, archivos .dll, .ini o .exe, y posiblemente otros) de su equipo. Los Troyanos pueden ser activados por el atacante o pueden trabajar como una bomba lgica que se inicia a una fecha y hora especficas. Un Troyano destructivo es un peligro para cualquier equipo de red. En muchos aspectos es similar a un virus, pero el Troyano destructivo se ha creado con el propsito de atacarle y, en consecuencia, no puede ser detectado por su software anti-virus. Fuente: www.gfihispana.com/whitepapers 1.6.4. Troyanos de ataque de denegacin de servicio (DoS) Estos Troyanos dan al atacante el poder de iniciar un ataque de denegacin de servicio (DoS) si hay suficientes vctimas La idea principal es que si usted tiene 200 usuarios ADSL infectados y se ataca a la vctima simultneamente desde cada uno, esto generar un trfico PESADO (ms de lo que el ancho de banda de la vctima puede soportar, en la mayora de los casos), haciendo que el acceso a Internet se venga abajo. WinTrinoo es una herramienta DDoS que recientemente se ha hecho muy popular; a travs suyo, un atacante que ha infectado muchos usuarios ADSL puede hacer caer importantes sitios de

14

Internet; en Febrero del 2000, cuando un nmero de destacados sitios de comercio electrnico como Amazon, CNN, E*Trade, Yahoo y eBay fueron atacados. Fuente: www.gfihispana.com/whitepapers Otra variacin de los Troyanos DoS es el Troyano bomba de correo, cuya principal meta es infectar tantos equipos como sea posible y simultneamente atacar direcciones de correo concretas con asuntos aleatorios y contenidos que no pueden ser filtrados. De nuevo, un Troyano DoS es similar a un virus, pero el Troyano DoS puede ser creado con el propsito de atacarle y, en consecuencia, no puede ser detectado por su software anti-virus. 1.6.5. Troyanos proxy Estos Troyanos convierten el equipo de la vctima en un servidor proxy, hacindolo disponible para todo el mundo o slo para el atacante. Se utiliza para hacer Telnet, ICQ, IRC, entre otros annimos, para hacer compras con tarjetas de crdito robadas, y para otras actividades ilegales. Esto proporciona al atacante un completo anonimato y la oportunidad de hacer cualquier cosa desde su equipo, incluyendo la posibilidad de lanzar ataques desde su red. Si las actividades del atacante son detectadas y rastreadas, esto no los llevar al atacante sino a usted, lo que podra poner en aprietos legales a su organizacin. Estrictamente hablando, usted es responsable de su red y de los ataques lanzados desde ella. Fuente: www.gfihispana.com/whitepapers. 1.6.6. Deshabilitadores de software de seguridad. Estos son Troyanos especiales, diseados para detener/eliminar programas como software anti-virus, cortafuegos, etc. Una vez estos programas son deshabilitados, el hacker puede atacar su equipo ms fcilmente. El virus Bugbear instal un Troyano en los equipos de todos los usuarios infectados y fue capaz de deshabilitar los anti-virus y cortafuegos ms populares. El destructivo gusano Goner (Diciembre de 2001) es otro virus que inclua un programa Troyano que eliminaba los archivos anti-virus. Los deshabilitadores

15

de software de seguridad son habitualmente diseados para software concreto de usuario final como cortafuegos personales, y en consecuencia menos aplicables a entornos corporativos. Fuente: www.gfihispana.com/whitepapers.

1.7.

Troyanos ms famosos

1.7.1. NetBus Es un software para el control de una forma remota de sistemas informticos Microsoft Windows a travs de una red. Fue creado en 1998 y ha sido muy controvertido por su potencial de ser utilizado como una puerta trasera. NetBus se escribi en Delphi por Carl-Fredrik Neikter, un programador sueco en marzo de 1998. Entro en circulacin antes que Back Orifice, fue liberado en agosto de 1998. El autor afirm que el programa estaba destinado a ser usado para bromas, no para irrumpir ilegalmente en los sistemas informticos. Traducido del sueco, el nombre significa "NetPrank". Sin embargo, el uso de NetBus ha tenido graves consecuencias. En 1999, NetBus se utiliz para la pornografa infantil en el equipo de trabajo de Magnus Eriksson, un erudito en Derecho Universidad de Lund. Las 3500 las imgenes fueron descubiertas por los administradores del sistema, y Eriksson se supone que lo haba descargado a sabiendas. Eriksson perdi su puesto de investigador en la facultad, y tras la publicacin de su nombre huyo del pas y tuvo que buscar atencin mdica profesional para hacerle frente al problema. Fue absuelto de los cargos penales a finales de 2004, cuando un tribunal dictamin que se haba utilizado NetBus para el control de su ordenador. 1.7.1.1. Caractersticas

Existen dos componentes para la arquitectura cliente-servidor. El servidor debe ser instalado y ejecutado en el equipo que quiere ser controlado a distancia, el tamao de archivo es de casi 500 KB. El nombre y el icono han variado mucho de versin a versin. Nombres comunes eran "Patch.exe" y "SysEdit.exe". Cuando se inicia por primera vez, el servidor se instala en el

16

ordenador host, incluyendo la modificacin de Windows del Registro para que se inicie automticamente en cada inicio del sistema. El servidor atiende las conexiones en el puerto 12345 (en algunas versiones, el puerto es configurable), el puerto 12346 se utiliza para ciertas tareas, as como el puerto 20034. El cliente es un programa separado de la presentacin con una interfaz grfica que permite al usuario realizar una serie de actividades en el equipo remoto, como pueden ser: Registro de las pulsaciones del teclado (Keylogging), Inyeccin de teclas de manera remota, Captura de pantalla, permitiendo descargarla al cliente, Ejecucin remota de aplicaciones, Navegacin por los archivos y carpetas del servidor, Apagado del sistema, Abrir / cerrar la bandeja del CD, Tunneling. NetBus hace conexiones a travs de un sin nmero de sistemas, el cliente de NetBus fue diseado para las siguientes versiones de Windows: Windows 95, Windows ME, Windows NT 4.0, Windows 2000 y Windows XP (Netbus client v1.70). La mayor parte del protocolo utilizado entre el cliente y el servidor es textual. Por lo tanto, el servidor puede ser controlado por comandos, permitiendo administrar equipos con NetBus desde sistemas operativos distintos a Windows. Las caractersticas, tales como la captura de pantalla, requieren una aplicacin con capacidad de aceptar datos binarios, tales como netcat. La mayora de los protocolos ms comunes (como el Internet Relay Chat protocolo POP3, SMTP, HTTP) tambin se puede utilizar con conexiones de una manera similar. NetBus Pro 2.0 fue liberado en febrero de 1999. Se comercializa como una poderosa herramienta de administracin remota, pero existen versiones especiales hacker que permiten utilizarlo con fines ilegales. Todas las versiones del programa han sido ampliamente utilizadas por los "script Kiddies" y fue popularizado por el lanzamiento de Back Orifice. Debido a su pequeo tamao, Back Orifice se puede utilizar para obtener acceso y control a una mquina remota. El atacante puede utilizar Back Orifice NetBus para instalar el servidor en el equipo de destino. Tambin existe una

17

herramienta llamada NetBuster. Lo que Pretende es ejecutar en un servidor, NetBuster podra ser utilizado para mando a distancia. 1.7.2. Back Orifice Es un programa de control remoto de ordenadores que funciona bajo un servidor y un cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el cliente, gobernar cualquier funcin del ordenador remoto, entre los que destaca abrir y cerrar programas, controlar el CD-ROM, leer y modificar ficheros o borrar parte del disco duro. Para ello el servidor se autoejecuta y se borra cada vez que el ordenador ajeno se enciende, el cliente escanea el puerto elegido y cuando ste est abierto acta a travs de l, desde un men repleto de pestaas y opciones de control remoto. El sistema es bueno para controlar un ordenador u ordenadores dentro de nuestra red LAN, aunque dejar esta puerta abierta para Windows es toda una amenaza. Back Orifice fue diseado con una arquitectura cliente-servidor. Un pequeo y discreto programa servidor es instalado en una mquina, la cual es controlada remotamente por un programa cliente a travs de una interfaz grfica desde otro ordenador. Los dos componentes se comunican usando los protocolos de red TCP y UDP. Normalmente el programa usa el puerto 31337. 1.7.2.1. Back Orifice 2000 (BO2k)

Back Orifice fue seguido de Back Orifice 2000, que fue presentado el 10 de julio de 1999 en el DEF CON 7. El cdigo original fue escrito por Dildog, un miembro de grupo de hackers estadounidenses Cult of the dead cow (cDc). Fue el sucesor de la herramienta de administracin remota Back Orifice, liberada el ao anterior. Mientras que el Back Orifice original estaba limitado a Windows 95 y Windows 98, BO2K tambin soporta Windows NT. Adems, el cdigo fuente de BO2K fue liberado.

18

1.7.3. Sub 7 Es un software que afecta a los sistemas Microsoft Windows a travs del Internet, es tambin categorizado como troyano o Puerta trasera por ciertas caractersticas similares a las de un Virus informtico. Tambin puede ser usado para actividades de espionaje, Hacking, y a veces hasta criminales o robo de informacin sensible. El nombre del software deriva de otro software de la misma categora llamado NetBus cuya escritura a la inversa es suBteN en la que sustituyendo la silaba ten por seven que formara la palabra SubSeven. Originalmente el software fue diseado y escrito en Borland Delphi por un programador auto-denominado como Mobman de origen Rumano desde 1999. Por varios aos el proyecto estuvo descontinuado y sin noticia alguna, luego que la pgina oficial www.subseven.org fue actualizada anunciando una nueva versin el cual su lanzamiento estaba preparado para el 28 de febrero del 2010. El proyecto permaneci inactivo por ms de 6 aos, cuando en Julio del ao 2009, el autor y su co-programador decidieron re-iniciar el proyecto, marcando 10 aos despus de la creacin de la primera versin del software en 1999, en donde el autor obtuvo copia de la versin 4.0 del entorno de desarrollo Borland Delphi, donde us como base el cdigo fuente del NetBus creado por CarlFredrik Neikteragregando ms opciones avanzadas y re-estructurndolo, formando as el Sub7. 1.7.3.1. Caractersticas y funcionamiento

El Cliente es el software que enva los comandos de control interpretados por el servidor como instrucciones de control y es usado por el usuario que tiene por objetivo obtener informacin y control sobre el sistema remoto, siendo as el usuario tendra las habilidades de control remoto tales como la posibilidad de editar el archivo registro del servidor windows, girar la pantalla, modificar los colores de los escritorios, obtener informacin, realizar grabaciones de vdeo o de sonido, apagar y reiniciar el sistema, visualizar cmara y pantalla del computador remotamente e incluso obtener teclas presionadas.

19

El Editor del Servidor es usado para editar y configurar la forma en que se instala el servidor en la computadora remota y especificar el Puerto de red en la cual se establecer la conexin remota, tambin se puede configurar notificaciones de instalacin exitosa, auto-copiado del servidor a una carpeta diferente a donde fue ejecutado como mtodo para evitar la eliminacin del archivo por parte del usuario controlado, cambiar icono del servidor "camuflaje", inyectar procesos, proteger el servidor por contrasea evitando la manipulacin del sistema remoto por otro usuario que posea el cliente del SubSeven y otras funciones que permiten la instalacin del servidor de forma invisible para el sistema que va a ser controlado por el cliente. El Servidor es el programa que residir en el sistema que ser controlado, no posee interfaz grfica ya que sus funciones estn orientadas a recibir y ejecutar instrucciones enviadas desde el cliente del SubSeven, siendo invisible para el sistema y controlado de forma furtiva, normalmente el tamao del servidor est entre los 25Kb a 120Kb dependiendo de la capacidad de funciones que se incluyan en dicho software, normalmente se usan plugins o complementos para usar ms funciones no incluidas en el servidor, que son instaladas desde el cliente como archivos de extensin Dll, obteniendo ms control sobre el sistema sin necesidad de aumentar el tamao del servidor. Sus funciones bsicas son: x x Captura del teclado obtiene las pulsaciones del teclado. Chat: Le da la posibilidad de chatear al usuario remoto o de otros clientes que ya estn conectados a la misma computadora. x Chat Matrix: Le permite chatear con el usuario remoto al estilo "matrix", al usuario remoto se le abrir una ventana totalmente negra con letras verdes fosforescentes y cubre toda la pantalla del computador, obligndolo a solo chatear con el usuario que usa el cliente de SubSeven.

20

MSG Manager (Administrador de mensajes de alertas): Esta opcin sirve para configurar y enviar una notificacin de alerta de Microsoft Windows con un mensaje personalizable por parte del Cliente. Instant Messenger Spy (Espa de Mensajera Instantnea):

Caracterstica que posibilita ver en tiempo real conversaciones del usuario remoto en las diferentes aplicaciones de Mensajera instantnea como lo son: Windows Live Msn, ICQ, AIM. x FileManager (Administrador de Archivos): Esta caracterstica permite explorar en disco duro remoto por medio del sistema de ficheros del windows, usted puede cargar / descargar / modificar / eliminar cualquier archivo que desee. Bsicamente, es como el Explorador de Windows pero en forma remota. x Windows Manager (Administrador de Ventanas): Aqu usted puede controlar cualquier ventana abierta en el computador remotamente, por ejemplo, bloquear, cerrar, minimizar y maximizar una de sus ventanas de su explorador web, Bloc de notas, o algn otro programa abierto. x Process Manager (Administrador de tareas): Con esta opcin, podr ver los procesos en ejecucin, y detalles de esos archivos, como su peso, consumo de memoria de la Unidad central de procesamiento. x Clipboard Manager (Administrador del Porta papeles): Captura cualquier texto grabado en el portapapeles del computador. 1.7.3.2. SubSeven 2.1.5 Legends

Esta edicin fue lanzado en el mes de Febrero del 2003, considerado por el autor como "Edicin de aniversario", ya que su primera versin fue desarrollado en el mismo mes pero en el ao 1999. Es la versin ms estable y confiable de todas las versiones existentes, a diferencia de sus versiones anteriores, este soporta plataformas de Microsoft Windows NT/2K/XP, pero quedando en la categora de troyanos de conexin directa (Conexin de Cliente a Servidor) en la cual el computador remoto abre un puerto de red (en la versin 2.1.5 por defecto es: 27374) , y luego el Cliente se conecta a ese puerto estableciendo una conexin entre dos computadoras de forma remota a travs

21

de la red, pero este queda obsoleto a cortafuegos actuales que bloquean cualquier conexin remota. 1.7.3.3. SubSeven 2.2

Esta versin es segn el autor, de tipo Beta o versin de prueba, es la nica versin modular de sub7, ya que permite de forma personalizada editar y crear funciones, algunas inestables, pero agrega tres nuevas formas para autocargarse en Windows, ejecutndose en cada reinicio del sistema, de esa manera siempre estar disponible al conectarse el sistema remoto a Internet: Usando la opcin de Componentes Instalados del registro, creando una carpeta de inicio personalizada, creando un archivo EXPLORER. EXE en el directorio raz. A diferencia de versiones anteriores, la 2.2 agrega la posibilidad de enviar comandos en lnea y utiliza plugins (actualizaciones) va Internet, como lo hace el BO2K (Back Oriffice 2000). Estos plugins se descargan de cualquier sitio Web o Alojamiento web en la que este alojado el archivo DLL, y se instalan en la computadora remota descargndose de dicho servidor web. Los mismos llevan la extensin Dll con nombres aleatorios, y son guardados en la carpeta C:\WINDOWS\SYSTEM.11 12 1.7.3.4. SubSeven 2.3

Esta versin fue lanzado el 28 de febrero del 2010, formar parte de la nueva generacin de troyanos de conexin inversa, en la cual consiste en que el servidor se conectara al cliente quien tendr el puerto de red abierto para establecer una conexin entre las dos computadoras, de esta forma configurando el servidor, especificara su IP o Dominio de red para que el servidor de SubSeven se conecte a su computador o sistema al puerto de red especificado. Incluye nuevas funciones:

Desinstalacin silenciosa de programas. Obtener contrasea de red Wifi.

22

Control completo del sistema remoto / y visualizador de pantalla remota como el Teamviewer. Recupera contraseas de VNC. Obtiene contraseas guardadas por el explorador Google chrome, Internet Explorer. Obtiene contrasea guardadas de redes compartidas (Incluye

contraseas de Windows Live Messenger)

Obtiene contraseas de sistemas Microsoft office / Windows / Microsoft SQL Server. Sistema de Scaner bluetooth (32bit) esto hace un Scaneo por 30 segundos para encontrar alguna informacin sobre los dispositivos bluetooth conectados como telfonos, entonces descarga potencialmente al texto obteniendo datos del telfono o contraseas.

Recopila informacin acerca de dispositivos USB conectados. Obtiene cuentas y contraseas de Microsoft Outlook 2000 (solo cuentas POP3 y SMTP), Microsoft Outlook 2002/2003/2007 (cuentas de POP3, IMAP, HTTP y SMTP) y Windows Mail. Obtiene cuentas y contraseas de Windows Live Mail, IncrediMail y Eudora. Netscape 6.x/7.x (si la contrasea no est cifrada con la contrasea maestra). Mozilla Thunderbird (si la contrasea no est cifrada con la contrasea maestra). Group Mail Free. Correos Yahoo!- Si la contrasea est guardado en el Yahoo! Messenger. Hotmail/MSN mail - Si la contrasea est guardado en el MSN/Windows/Live Messenger. Gmail - Si la contrasea est guardada en el Gmail Notifier, Google Desktop, o por el Google Talk. ICQ Lite 4.x/5.x/2003.

23

AOL Instant Messenger v4.6 o versiones anteriores, AIM 6.x, y AIM Pro. Trillian Astra* Miranda. GAIM/Pidgin* MySpace IM. PaltalkScene. Digsby.

El 1 de Abril del ao 2010, a los 5 das despus de que el sitio web www.subseven.org fue desfigurado por un pirata informtico que se hace llamar -Punk-, el equipo del portal de Sub7 anunci en su sitio web que el proyecto ha llegado a su fin, debido al incidente con el pirata informtico. El equipo de Sub7 anunci que el hacker ha robado el cdigo fuente y la base de datos del sitio eliminado todos los proyectos. En primer lugar, se crea que era una broma de April Fools, pero despus que el sitio web se restauro ms tarde luego de que estuviera fuera de la red, al da siguiente se rastreo una fuerte argumentacin en un foro abierto donde el intruso publico informacin de su hazaa, result que no era una broma de April Fools. Aunque si se haya cancelado el proyecto el 1/4/2010. Han habido visitas recientemente, en las cuales, anuncian en el sitio web www.subseven.org que en un corto tiempo se abrir un nuevo proyecto llamado SubSeven 2.3.1 desde 1/11/2010. 1.7.4. Nuclear RAT Abreviatura de Nucleares de administracin remota Tool es una puerta trasera troyano que infecta los sistemas Windows de la familia NT (Windows 2000, XP, 2003). Se utiliza un creador servidor, un cliente y un servidor para tomar el control de un mando a distancia equipo. Utiliza el proceso de secuestro para engaar a los cortafuegos, y permite que el componente del servidor de secuestrar los procesos y obtener los derechos para acceder a Internet. El componente de servidor (217600 bytes) se ha cado en Windows, System32, carpetas o archivos de programa, en virtud de un llamado carpeta personalizada, el valor predeterminado es NR. Una vez que el componente de servidor se ejecuta, intenta conectarse a su cliente, que escucha las conexiones

24

entrantes en un puerto configurable, para permitir al atacante ejecutar cdigo arbitrario o desde su computadora. El componente de edicin servidor tiene las siguientes capacidades:

Crear el componente de servidor. Cambiar el componente de servidor de puerto serie y / o direccin IP / DNS , de reintento de conexin directa o inversa modo de conexin, el intervalo. Cambio de nombre del ejecutable del componente del servidor, la carpeta de instalacin, proceso de destino secuestro. Cambie el nombre del registro de Windows la entrada de inicio. Cambiar la ubicacin de notificar a PHP. Incluya todos los plugins que se ejecutar una vez que corri. Incluir un falso mensaje de error que se mostr sobre la ejecucin.

El componente cliente tiene las siguientes capacidades:

Realizar capturas de pantalla. Ver fotos webcam. La captura de movimientos clave del teclado ( registro de pulsaciones ). Informacin general sobre el equipo (nombre de usuario, zona horaria, la versin instalada, de idioma, las unidades disponibles). Control del ratn. Remoto MTD / la ejecucin del script VBS. Resolucin del monitor. SOCKS 5. Servidor web HTTP. Shell consola. Administrador de archivos (Descargar archivos y carpetas, borrar, cargar, ejecutar, renombrar, copiar, atributos Set, crear carpetas). Window Manager (Ocultar, mostrar, cerrar, minimizar / maximizar, activar / desactivar X, el ttulo renombrar, enviar llaves). Process Manager (matar, descargar DLL, DLL de la lista).

25

Registro Manager (Crear clave, editar los valores REG_DWORD, REG_BINARY, REG_MULTI_SZ, REG_SZ, crear valores, los valores de cambio de nombre). Portapapeles gerente. Administrador de plugins (para aadir funcionalidad adicional para el malware). Parada de la computadora. Cuadro de mensaje. Chat con la mquina infectada. Web Downloader. IP Scanner. Puerto redirigir. TCP tnel. Cam caplute. Ver Eden / Jimbolance.

1.7.5. ALS/BURSTED Software escrito para el lenguaje AutoLISP de AutoCAD, creado el 17 de julio del 2006 se replica en un archivo separado, llamado ACAD.LSP, que es ejecutado automticamente por AutoCAD. Se localiza en el mismo directorio de los DWG. Cuando un DWG es abierto, AutoCAD carga y ejecuta el contenido de ACAD.LSP. Se copia a s mismo en el directorio de soporte de AutoCAD como ACADAPP.LSP. Agrega un comando de carga al archivo ACAD.LSP en el mismo directorio, de modo que el virus se ejecuta cada vez que AutoCAD es iniciado. Despus, se copiar en cada directorio en que el usuario abra archivos DWG, con el nombre ACAD.LSP. Este troyano se engancha a tres comandos internos de AutoCAD, deshabilitndolos, a la vez define un nuevo comando BURST que despliega el siguiente mensaje: BURST----". En la primera de las variantes, BURST [DESCBLQ], est disponible en el men Express -> Blocks -> Explode, y sirve para "explotar" bloques, convirtiendo

26

los valores de los atributos en texto. Cuando el usuario intenta acceder a este comando, recibe el siguiente mensaje: was not able to be explode. En el segundo caso, reemplaza el comando ATTEDIT con uno falso, que le pide al usuario seleccionar objetos (Select objects:), y entonces muestra un mensaje diciendo que no se ha encontrado ninguno (Seltct objects: ?found), donde "?" es un nmero. Finalmente muestra otro mensaje diciendo que el objeto "?" no est disponible (? was not able to be attedit). 1.7.6. BAT/BOOHOO.A Troyano creado el 26 de julio del 2003, es un conjunto de archivo de proceso por lotes y aplicaciones capaces de copiar el software mediante recursos de red con contraseas dbiles. Los componentes del virus podemos dividirlos en dos grupos, unos con cdigo malicioso y otro compuesto de aplicaciones las cuales ayudan a su funcionamiento. Archivos maliciosos:

hacker.bat ip.bat scan.bat starter.bat Xecuter.bat regkeyadd.reg ntscan.exe service.exe svhost.exe

Aplicaciones:

drvrquery32.exe (servidor ftp) CYGWIN1.dll CommonDlg32.dll Firedaemon.exe (usado para registrar servicios) HideRun.exe (ocultador de procesos)

27

clearlogs.exe (elimina los registros del sistema) psexec.exe (inicia procesos en forma remota) psexec.bat random.exe (generador de nmeros aleatorios) NT-pass.dic (archivo de datos usado por ntscan.exe) NT-user.dic (archivo de datos usado por ntscan.exe) rep.exe (archivo usado por ntscan.exe para editar los resultados) rep.bat (archivo usado por ntscan.exe para editar los resultados) replace.txt (archivo usado por ntscan.exe para editar los resultados) proreset.txt (archivo de configuracin de la puerta trasera) protmp.txt (archivo de configuracin de la puerta trasera) pro.gif (archivo de configuracin de la puerta trasera) sys.txt wm.txt

Cuando el virus es ejecutado copia todos los archivos arriba listados al directorio C:\Windows\System con atributo de archivo oculto. Utilizando el Firedaemon genera los siguientes servicios: Startupdll Psexec.bat (script de arranque), Msinet Svhost.exe (troyano de puerta trasera), Drvmanager Drvrquery32.exe (servidor ftp). El archivo Svhost.exe es un troyano de IRC el cual se conecta a servidores predeterminados mediante los puertos 6666 o 7000.

28

Captulo II

FORMAS, SINTOMAS DE INFECCION E IMPACTANTES AMENAZAS

A grandes rasgos, los troyanos son programas maliciosos que estn disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar ms programas indeseables o maliciosos. Los troyanos conocidos como droppers son usados para empezar la propagacin de un gusano inyectndolo dentro de la red local de un usuario. Una de las formas ms comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto tambin. Los autores de spyware que intentan actuar de manera legal pueden incluir unos trminos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.

2.1. Formas de infectarse de un Troyano La forma de intrusin al sistema es muy conocida por quienes alguna vez han sido afectados por este programa, se aloja dentro de alguna aplicacin de una Web no confiable ya sea, una imagen gif, un archivo de msica (mp3, mov, mva), videos, programas, etc. Otro mtodo de infeccin es por correo electrnico, cuando recibimos archivos adjuntos de algn remitente desconocido, al estar instalado en la PC este programa se desarrolla normalmente sin ser detectado por el antivirus ya que aparentemente est ejecutando la aplicacin que queremos, pero internamente el troyano se encarga de vulnerar nuestra PC, por eso es que se le conoce como caballo de Troya por que utiliza alguna distraccin y al igual que los pobladores troyanos dejan ingresar al ente que les causara mucho dao y destruccin.

29

La mayora de infecciones con troyanos ocurren cuando se ejecuta un programa infectado con un troyano. Estos programas pueden ser de cualquier tipo, desde instaladores hasta presentaciones de fotos. Al ejecutar el programa, este se muestra y realiza las tareas de forma normal, pero en un segundo plano y al mismo tiempo se instala el troyano. El proceso de infeccin no es visible para el usuario ya que no se muestran ventanas ni alertas de ningn tipo. Evitar la infeccin de un troyano es difcil, algunas de las formas ms comunes de infectarse son: x Descarga de programas de redes p2p y sitios web que no son de confianza. x Pginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o aplicaciones Java). x Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia, clientes de mensajera instantnea). x Ingeniera social (por ejemplo un cracker manda directamente el troyano a la vctima a travs de la mensajera instantnea). x Archivos adjuntos en correos electrnicos y archivos enviados por mensajera instantnea. Para un usuario de red que est protegido por un cortafuegos y cuyas conexiones ICQ e IRC estn deshabilitadas, la infeccin ocurrir en la mayora de las ocasiones a travs de un adjunto de correo o descargando software de un sitio web. Muchos usuarios argumentan no abrir nunca un adjunto o descargar software de sitios desconocidos, sin embargo, astutas tcnicas de ingeniera social utilizadas por los hackers pueden engaar a la mayora de los usuarios para ejecutar el adjunto infectado o descargar el software malicioso sin ninguna sospecha. Un ejemplo de un Troyano que hace uso de la ingeniera social fue el Septer.troj, que fue transmitido por correo en Octubre de 2001. Este se camuflaba como un formulario de donacin para los esfuerzos de socorro del desastre de la Cruz Roja de Amrica y requera a los usuarios a completar un

30

formulario, incluyendo sus detalles de tarjeta de crdito. El Troyano encriptaba estos detalles y los enviaba al sitio web del atacante. Es asombroso cmo muchas personas son infectadas por ejecutar un adjunto enviado a su buzn. Imagine el siguiente escenario: La persona que se ha centrado en usted sabe que tiene un amigo llamado Alex y tambin conoce su direccin de correo. El atacante camufla un Troyano como contenido interesante, por ejemplo, un chiste basado en Flash, y le enva un correo a usted con el nombre de su amigo. Para hacer esto, el atacante utiliza algn servidor de retransmisin de correo para falsificar el FROM del correo y hacer que parezca que quien lo enva es Alex: La cuenta de correo de Alex es alex@example.com, por lo que el campo FROM del atacante se cambia por alex@example.com. Usted comprueba su correo, ve que Alex le ha enviado un correo con un adjunto que contiene un chiste, y lo ejecuta sin pensar que podra ser malicioso "porque Alex no me enviara algo como esto, el es mi amigo!. La informacin es poder: solo por que el atacante saba que tiene un amigo llamado Alex, y sabia y adivin que le gustara un chiste, consigui infectar su equipo!. Son posibles varios escenarios. Lo principal es que slo toma un usuario para infectar a su red. Adems, si no dispone de software de seguridad de correo que pueda detectar ciertos abusos, entonces los adjuntos podran incluso ejecutarse automticamente, lo que quiere decir que un hacker puede infectar un sistema tan sencillamente como envindole el Troyano como un adjunto, sin intervencin por parte del usuario. Los Troyanos tambin pueden distribuirse a travs de un sitio web. Un usuario puede recibir un correo con un enlace a un sitio interesante, por ejemplo. El usuario visita el sitio, descarga algn archivo que cree que necesita o quiere, y sin su conocimiento, se instala un Troyano listo para ser utilizado por el atacante. Un ejemplo reciente es el Troyano ZeroPopUp, que fue diseminado a travs de una difusin spam e incitaba a los usuarios a descargar

31

el Troyano, describindolo como un producto que bloqueara los anuncios popup. Una vez instalado el Troyano enviara un correo a toda la libreta de direcciones del usuario infectado, promocionando la URL y el software ZeroPopUp. Como este correo se enviaba desde un amigo o compaero, uno es ms dado a comprobar la URL y descargar el software. Adems, hay miles de archivos de "hacking/seguridad" en proveedores de espacio web gratuito como Xoom, Tripod, Geocities y muchos otros. Dichos archivos estn llenos de programas de hacking, escneres, mail-bombers, y otras herramientas. A menudo muchos de estos programas son infectados por la persona que cre el sitio. De nuevo, un nico usuario podra infectar a toda la red. En Enero de 2003, TruSecure, la firma de gestin de riesgo que tambin posee ICSA Labs e InfoSecurity Magazine, alertaba que los autores de cdigo malicioso incrementarn el camuflaje de los Troyanos de acceso remoto como entretenimiento 'adulto', por ejemplo, y publicarn estos programas en sitios pornogrficos o grupos de noticias, para dirigirse a nuevos usuarios. Usuarios concretos tambin sern captados de esta forma, por lo que el atacante podr entonces enviar la URL que contiene el programa malicioso camuflado a una vctima que no sospecha. En similares trminos, el Troyano Migmaf o "migrant Mafia" que apareci en Julio de 2003 atac unos 2.000 PCs basados en Windows con conexiones de Internet de alta velocidad, permitindoles ser utilizados para enviar anuncios de pornografa. El Troyano Migmaf convierte el equipo de la vctima en un servidor proxy que se utiliza como una especie de intermediario entre las personas que pulsan sobre un correo o enlace a sitios porno - esto permita al equipo de la vctima traer anuncios web pornogrficos desde un servidor sin identificar y pasar los anuncios a otros equipos a travs de un correo spam o navegador web.

32

2.2. Sntomas de comunes de la infeccin por un Troyano La infeccin de un Troyano generalmente aparece despus de abrir un archivo contaminado que contiene el Troyano y la infeccin es evidente por los siguientes sntomas: (Fuente: http://www.evidalia.es/trucos/index_v2-22254.html) x Actividad anormal del mdem, adaptador de red o disco duro: los datos se cargan aunque el usuario no registre actividad. x Reacciones extraas del ratn. x Programas que se abren en forma inesperada. x Bloqueos repetidos. x Aparicin y/o desaparicin de archivos. x Ralentizacin del sistema. x Aparicin de archivos temporales sin justificacin. x Bloqueos continuos del PC. x Reinicios continuos del PC. x Inicializacin/Finalizacin de programas sin justificacin. x La bandeja del CD se abre/cierra sin motivo alguno. x El teclado deja de funcionar. x Actividad en el mdem cuando no se est realizando ningn tipo de comunicacin. Las luces indicadoras del modem (externo) o el LED de actividad del disco duro (interno) pueden indicar este tipo de actividad. x El servidor de Internet no reconoce nuestro nombre y contrasea o indica que ya est siendo utilizado. Lo mismo con el correo. x Ejecucin de sonidos sin justificacin. x Presencia de ficheros TXT o sin extensin en el HD (normalmente en c:-) en los que reconocemos palabras/frases/conversaciones/comandos, que hemos escrito anteriormente (captura del teclado por parte del atacante). x Presencia de archivos y/o carpetas con caracteres extraos, (como por ejemplo -| c-, que es el path por defecto del NetBus 2.X, o -%windir%patch.exe%windir%KeyHook.dll-, path por defecto del NetBus 1.X).

33

x Aparicin de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO" -Este podra ser ya es un sntoma muy claro de una infeccin de troyano.

2.3. Ejemplos de Impactantes Amenazas 2.3.1. Nuevo troyano se hace pasar por Microsoft Security Essentials La creatividad de los diseadores de software malicioso no se detiene. Aprovechando el temor de los usuarios por infecciones con malware y virus, han creado un troyano que se hace pasar por la herramienta de seguridad de Microsoft, Security Essentials, para lograr que los usuarios descarguen este software malicioso, pensando que se trata del antivirus de Microsoft. Esta nueva tcnica de engao, basada en disfrazar a un troyano como esta popular herramienta de seguridad de Microsoft, est teniendo una expansin de cuidado. Esta modalidad fue descubierta en un anlisis de seguridad hecho por la compaa F-Secure y fue publicada directamente en su blog. El objetivo del engao es simple, se trata de engaar a la victima creando una infeccin falsa, dando un mensaje de que para remover el software malicioso se debe adquirir una herramienta de seguridad extra, la cual tambin es falsa y posiblemente tenga algn software capturador de claves, estafas electrnicas o ingreso a la mquina infectada en una botnet. La compaa Microsoft detect en el mes de febrero un Security Essential falso, con la misma modalidad de uso. Esto refleja un aumento de atencin de los creadores de software malicioso hacia Security Essentials, ya que aumenta su nmero de usuarios, calculndose en cerca de 30 millones. Para evitar ser vctimas de este tipo de fraudes, es recomendable mantener nuestros sistemas de seguridad actualizados y realizar la descarga de software directamente de las pginas web oficiales de los programas.

34

2.3.2. Bohu: Nuevo troyano que desafa a los antivirus cloud La aparicin de un nuevo troyano llamado Bohu desafa a los antivirus cloud, ya que cuenta con la capacidad de esconderse del sistema de deteccin de estos programas de proteccin que se encuentran en la nube. Lo peligroso de este troyano, es que comienza un proceso de deshabilitacin del antivirus que opera en la nube con la finalidad de instalar otro malware en el equipo infectado e incluso, es capaz de bloquear las pginas de seguridad de los softwares de proteccin para impedir las actualizaciones de los sistemas de proteccin. Bohu ha sido detectado en Taiwn por parte del equipo de seguridad Chino de Microsoft. Los investigadores han descrito que el troyano se hace pasar por un reproductor de video de alta definicin, o como un falso codec de video para poder ser instalado en el PC, y utiliza tres estrategias determinantes para dejar fuera de combate a los antivirus: x Altera el hash que enva el antivirus cloud a sus servidores, aadiendo bites de ms para burlar el anlisis que se hace directamente en el servidor. x Instala controladores NDIS, para bloquear las comunicaciones con el servidor del antivirus. x Instala su propia interfaz de proveedor de servicio, para bloquear el trfico entre el cliente y el servidor del antivirus en la nube. Con estas estrategias han logrado burlar diferentes antivirus cloud Chinos, pero no se descarta que las tcnicas puedan extenderse para bloquear antivirus cloud occidentales estables. 2.3.3. Oleada de troyanos Mitglieder Contina la avalancha de troyanos Mitglieder: ya son ms de 30 los pases afectados por las diversas variantes de esta amenaza. Cuatro de las cinco variantes (las correspondientes a las variantes FK, FL, FM y FN) se encuentran entre las 6 amenazas ms detectadas por la solucin antivirus online de Panda

35

Software, Panda ActiveScan. Adems, PandaLabs ha confirmado la asociacin del gusano Bagle.FN con el troyano Mitglieder.FK, envindolo desde los equipos a los que infecta, lo que favorece su propagacin. Este gusano se propaga envindose como un adjunto en un correo a direcciones que consigue del ordenador afectado. Su principal accin, adems de desproteger el equipo, se centra en tratar de descargar un archivo que contiene caractersticas para generar correos, a los que enviar copias de Mitglieder.FK. Pese a la proliferacin de nuevas variantes de Mitglieder, la funcionalidad es similar: troyanos que se instalan en el equipo y, en el caso de las variantes FK, FL y FN, intentan descargar un fichero de un sitio web remoto, en lo que podra suponer un punto de entrada para otras amenazas. La variante FM centra su actividad en deshabilitar las protecciones antivirus del equipo, bloquear el acceso a pginas web, principalmente de compaas de seguridad informtica, y eliminar toda posibilidad de modificar el registro, para que dichas acciones no puedan ser revertidas. Sin duda la gran baza de estas variantes est siendo su amplsima distribucin, tanto por medio de spam manual, como gracias a su asociacin a gusanos Bagle, algo que no es nuevo en esta familia, comenta Luis Corrons, director de PandaLabs. Uno de los grandes perjudicados de estas oleadas pueden ser las empresas, que pueden ver inundado su correo con emails conteniendo los troyanos: por ello, recomendamos que se activen todos los filtros para contener esta infeccin, principalmente en entornos corporativos. 2.3.4. Dispositivos USB podran ser utilizados como troyanos de hardware Una investigacin realizada por ingenieros del Royal Military College de Canad, ha logrado demostrar que puede robarse informacin de un ordenador y trasmitirla de manera remota, aprovechando una vulnerabilidad del sistema plug & play del protocolo USB. Dicho protocolo es el que permite que los dispositivos USB puedan ser instalados y aceptados por el ordenador sin necesidad de software de instalacin. Durante la investigacin se demostr que se puede crear un exploit que puede robar y enviar informacin del disco duro -

36

utilizando Flash Led, datos de audio imperceptibles o incluso, a travs de correo electrnico- convirtindose en una verdadera amenaza potencial para nuestros ordenadores y datos. Segn este estudio, es recomendable ser cautelosos con el uso de gadgets USB, ya que stos en un futuro bastante cercano podran ser utilizados como troyanos de hardware para ingresar a nuestros sistemas y robar informacin vital. 2.3.5. Troyanos sern utilizados por el Estado suizo para espiar a la gente Suiza, un pas muy civilizado, que utilizar tcnicas de intrusin por medio de virus troyanos para escuchar conversaciones de voz en Internet (VoIP). La empresa suiza ERA IT Solutions facilitara este programa espa, que est siendo estudiado por del departamente de gobierno. El proceso sera el siguiente: una vez obtenida la orden de un Juez, el gobierno podra obligar a un proveedor de Internet a registrar las charlas telefnicas, pero en pequeos paquetes de datos para evitar las sospechas. Los programas antivirus no podran actuar contra este programa porque el mencionado virus troyano es desconocido para ellos, es decir que no est en las bases de datos de los antivirus, y los firewalls no representan ningn problema, en palabras del fabricante de este troyano. Pero el troyano espa no se queda all: puede tambin prender el micrfono conectado a la PC con Windows y la cmara web, para espiar completamente la sala en la que se encuentra la mquina. No hay demasiada informacin acerca de si los gobiernos de otros pases tienen planeado usar programas espa en el futuro o si (como es de suponerse) ya los estn utilizando en estos momentos. Por lo pronto la nica solucin confiable sera utilizar un sistema GNU/Linux (o BSD o Minix, etc.) completamente renovado (cuanto ms nuevo o raro sea el kernel, mejor), de tal modo que todo el software hecho para Windows no tendr cabida en nuestra mquina y es recomendable esta solucin no porque como ciudadanos hayamos hecho algo digno de ser espiado, sino para defender ciertamente el derecho a la privacidad y la intimidad.

37

2.3.6. El fraude bancario en Ecuador, un tema en auge Se ve en los medios de comunicacin y anuncios en la radio que la nueva modalidad de robo es dirigido a las cuentas bancarias, es ms simple para un ciber delincuente crear un sitio falso, crear un programa infeccioso, robar tus ahorros y desparecer con tu dinero. Aunque no es algo nuevo este tema, en nuestro pas poco a poco va llamando la atencin y ya se ve reuniones entre representantes del Gobierno y de la Banca con la finalidad de llegar a acuerdos para las personas que han sufrido estos robos y mecanismos de prevencin que ayuden a evitar estas situaciones. Para que un fraude se produzca por la presencia de un troyano bancario se han de dar tres circunstancias: 1. El equipo del usuario ha de estar infectado por este tipo de troyanos. 2. El espcimen que infect la mquina del usuario ha de atacar a la entidad bancaria con la que opera el usuario. 3. El usuario ha de iniciar sesin en su espacio de banca electrnica y rellenar los datos adicionales que se le soliciten. Para ayudar a no ser vctima de intento de fraude a travs de Internet o telefnico, a continuacin se recogen unas recomendaciones generales: 1. Utilizar cuentas de usuario con permisos limitados. 2. Utilizar contraseas seguras. 3. No enviar informacin personal o financiera a travs del correo electrnico. 4. Limitar la informacin personal que se proporciona en las redes sociales. 5. Usar programas de seguridad en los equipos en los que se realicen operaciones a travs de Internet. 6. Tener precaucin a la hora de descargar o abrir archivos adjuntos. 7. Mantenerse informado sobre cuestiones de seguridad informtica, conocer los riesgos y las principales amenazas de las que protegerse.

38

Las estadsticas revelan el crecimiento en nuestro pas de los ataques informticos (Ver Anexo 2). A pesar de que esta estadstica contiene nmeros bajos, ya que estos valores son cuantificados en base a denuncias presentadas en la Fiscala en la unidad de Delitos Informticos. Con tantas amenazas que existen y nuevas que se generan cada da se recomienda al usuario no solo utilizar un antivirus, sino contar con mecanismos adicionales de proteccin como firewalls, software antispyware entre otros, pero sobre todo el sentido comn. 2.3.7. Facebook, Android y Anonimous protagonizan los ataques en el primer trimestre de 2011 En los tres primeros meses del ao el nmero de nuevas amenazas ha crecido un 26% respecto al mismo perodo del ao anterior, alcanzando las 73.000 diarias. El 70% de ellas son troyanos. Tres graves incidentes de seguridad han sido los protagonistas durante el primer trimestre del ao. A primeros de marzo tuvo lugar el mayor ataque de malware, hasta el momento, en Android. En cuatro das, las aplicaciones que instalaban con el troyano haban tenido ms de 50.000 visitas. Este malware no slo robaba informacin, sino que poda descargar e instalar otras aplicaciones sin el conocimiento del usuario. Google elimin dichas aplicaciones de su tienda y de los mviles afectados. Esta es una de las conclusiones del primer informe trimestral de 2011 sobre infecciones presentado por PandaLabs, que tambin seala el protagonismo cobrado en los ltimos meses por Anonymous. Este grupo de ciberactivismo, que lanz un ataque contra la SGAE en 2010, hacke la web y la cuenta de Twitter de Aaron Barr, CEO de la firma de seguridad norteamericana HBGary Federal. El ataque se produjo despus de que Barr asegurara tener datos de los cabecillas de Anonymous. El asalto a estas cuentas permiti el robo de decenas de miles de correos electrnicos que, posteriormente, fueron distribuidos desde The Pirate Bay. Entre ellos se han encontrado algunas informaciones que apuntan a que la compaa de seguridad ha llevado a cabo prcticas como la

39

propuesta de desarrollo de un rootkit. Estas revelaciones han llevado al CEO a dimitir. En tercer lugar, el informe de PandaLabs seala que un californiano de 23 aos se ha declarado culpable de utilizar la informacin disponible en Facebook para hacerse con cuentas de correo y utilizar la informacin obtenida para chantajear a sus vctimas. Al parecer, el propio creador de esta red social, Mark Zuckerberg, ha sido vctima de un ataque de este tipo. En los primeros tres meses del ao se han registrado diariamente 73.000 nuevos ejemplares de malware, un 26% ms que en el mismo perodo de 2010. Los troyanos suponen casi el 70% de las nuevas amenazas. Por pases, China, Tailandia y Taiwn siguen siendo los que presentan mayor ratio de infecciones; en el otro extremo del ranking se encuentran Irlanda, Per y Ecuador.

40

Captulo III PROTECCION Y ELIMINACION DE UN TROYANO En la actualidad, las motivaciones que estn detrs de los ataques informticos tienen que ver con que la informacin en s misma tiene un valor, y eso ha generado un verdadero comercio clandestino a partir del robo de datos, por este motivo es fundamental que se tomen precauciones no slo para proteger su continuidad operativa al ser vctimas de un ataque, sino tambin la seguridad de la informacin de sus clientes y sus propios datos estratgicos. El acceso a internet sin medidas de proteccin son fuente de cdigos maliciosos y, por el momento, los usuarios no tienen conciencia de la necesidad de aplicar medidas contra troyanos. Los usuarios no tienen en cuenta la importancia de tomar medidas para mantener protegida la informacin. La falta de antivirus o algn tipo de aplicacin que impida el ingreso de cdigos maliciosos puede implicar un alto costo debido a la prdida de datos y todava no hay real conciencia sobre este tema. En el ao 2010 los ataques en comparacin al ao anterior han incrementado en un 65%. En el ao 2009 el 57% de los ataques informticos que afectan a las empresas se produjeron por troyanos que buscaban robar informacin desde los computadores y servidores de las compaas. 3.1. Protecciones ante un Troyano Existen algunos mtodos de proteccin, siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son: x Proteccin a travs del nmero de cliente y la del generador de claves dinmicas x Tener el sistema operativo y el navegador web actualizados. x Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automticamente de forma regular ya que cada da aparecen nuevas amenazas.

41

x Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuando sea necesario cambiar la configuracin o instalar un nuevo software. x Tener precaucin al ejecutar software procedente de Internet o de medios extrables como CDs o memorias USB. Es importante asegurarse de que proceden de algn sitio de confianza. x Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia. x Utilizar contraseas de alta seguridad para evitar ataques de diccionario. x Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extrables como CDs o DVDs para poderlos recuperar en caso de infeccin por parte de algn malware. x Las precauciones que recomiendo para evitar este tipo de programas, es que siempre al abrir con un archivo adjunto estar seguro de que el contacto es confiable y no un contacto desconocido ya que los correos por mail son una de las formas ms comunes de intrusin en los sistemas. x Configura tu correo electrnico para que los archivos adjuntos que recibas ya no se abran automticamente sino que al abrir el mensaje te muestre algn aviso de seguridad para que este seguro que el archivo que te ah llegado es de un remitente conocido, si tu servicio de correo no cuenta con esta posibilidad entonces lo ms recomendable que puedes hacer es cambiar de cliente de correo ya que la vulnerabilidad que corre tu PC es muy grande, los correos que cuentan con esta propiedad son msm, yahoo, gmail entre otros. Revisa peridicamente los parches de tu sistema operativo ya que cada da se encuentran nuevos fallos en estos y mantn actualizado tus antivirus contra las nuevas amenazas que se presentan diariamente. x Por ltimo evitar utilizar programas peer to peer o P2P (emule, Kazaa, Limewire, Ares, Imesh o Gnutella) ya que generalmente al descargar de estos programas suelen traer consigo troyanos.

42

3.1.1. Cmo proteger su red de Troyanos Un error comn de concepto es que el software anti-virus ofrece toda la proteccin que usted necesita. La realidad es que el software anti-virus solo ofrece proteccin limitada. El software anti-virus solo reconoce una parte de todos los Troyanos conocidos y no reconoce los Troyanos desconocidos. A pesar de que la mayora de escneres de virus detectan muchos de los troyanos pblicos/desconocidos, son incapaces de analizar Troyanos desconocidos. Esto es porque el software anti-virus se basa principalmente en reconocimiento de las "firmas" de cada Troyano. Es ms, como el cdigo fuente de muchos Troyanos est disponible, un hacker ms avanzado puede crear una nueva versin de ese Troyano, cuya firma NO la tendr el escner anti-virus. Fuente: http://www.gfihispana.com/whitepapers/network-protection-against-trojans.pdf Si la persona planea atacarle descubrir qu software anti-virus utiliza, por ejemplo a travs de la nota de renuncia automtica agregada al correo saliente por algunos motores anti-virus, crear un Troyano especficamente para evitar su motor de virus. Aparte de fallar en detectar Troyanos desconocidos, los escneres de virus no detectarn todos los Troyanos conocidos - la mayora de fabricantes no buscan activamente nuevos Troyanos y la investigacin ha mostrado que cada motor anti-virus detecta un conjunto particular de Troyanos. Para detectar un porcentaje ms grande de Troyanos conocidos, necesita implantar mltiples escneres de virus; esto incrementara drsticamente el porcentaje de Troyanos capturados. Para proteger de forma efectiva su red contra los Troyanos, debe seguir una estrategia de seguridad multinivel: 1. Necesita implementar un analizador de virus para gateway y anlisis de contenido en el permetro de su red para el correo, HTTP y FTP - no es bueno tener una proteccin anti-virus de correo si un usuario puede descargar un Troyano de un sitio web e infectar su red. 2. Necesita implementar mltiples motores anti-virus en el gateway - A pesar de que un buen motor anti-virus habitualmente detecta todos los virus

43

conocidos, es un hecho que utilizar mltiples motores anti-virus juntos detecta muchos ms Troyanos conocidos que un nico motor. 3. Necesita poner en cuarentena/comprobar los ejecutables que entran en su red va correo electrnico y web/FTP en el gateway. Usted tiene que analizar que podra hacer el ejecutable. Afortunadamente, hay herramientas disponibles que automatizarn una gran parte de este proceso. La deteccin de Troyanos desconocidos solo puede hacerse mediante la revisin manual del ejecutable, o utilizando un escner de Troyanos y ejecutables. El proceso de revisin manual de ejecutables es un trabajo tedioso e intensivo en tiempo, y puede estar sujeto a error humano. Por lo tanto es necesario acometer este proceso inteligentemente y automatizar parte de l. Este es el propsito de un analizador de Troyanos y ejecutables. Un escner de ejecutables analiza inteligentemente qu hace un ejecutable y le asigna un nivel de riesgo. Desensambla el ejecutable, y detecta en tiempo real qu podra hacer. Compara stas acciones con una base de datos de acciones maliciosas y entonces evala el riesgo de seguridad del ejecutable. De esta forma pueden detectarse los Troyanos potencialmente maliciosos, desconocidos o excepcionales. El escner de Troyanos y ejecutables se ocupa de hackers avanzados que crean sus propias versiones de Troyanos, las firmas de los cuales no son conocidas por los software anti-virus. La proteccin a nivel de gateway, junto con mltiples motores anti-virus y un escner de Troyanos y ejecutables proteger su red de los efectos peligrosos de los Troyanos. Proteccin a nivel de pasarela (gateway), dos productos que ofrecen proteccin gateway con mltiples motores anti-virus y un escner de Troyanos y ejecutables, as como otras caractersticas de seguridad, son: GFI MailSecurity for Exchange/SMTP es una solucin de anlisis de contenido, deteccin de vulnerabilidades, anlisis de Troyanos y ejecutables, anlisis de amenazas y anti-virus para el correo que elimina todo tipo de amenazas de correo antes de que puedan afectar a los usuarios de su organizacin. Las caractersticas clave de GFI MailSecurity incluyen mltiples motores anti-

44

virus, para independencia del motor y una mejor seguridad; anlisis de contenido y adjuntos, para poner en cuarentena adjuntos y contenido peligroso; una pantalla de vulnerabilidades, para detectar correos con vulnerabilidades de SO y aplicaciones; un motor de amenazas HTML, para desactivar los scripts HTML; y un Escner de Troyanos y Ejecutables, para detectar ejecutables potencialmente maliciosos. 3.1.2. Lista de puertos generalmente utilizados por Troyanos Por lo general, los Troyanos abren un puerto en la mquina infectada y esperan que se abra una conexin en ese puerto para que los hackers puedan controlar el ordenador totalmente. (Ver Anexo 1) En caso de infeccin, el firewall pide la confirmacin de la accin antes de iniciar una conexin si un programa, cuyos orgenes desconoce, intenta abrir una conexin. Es muy importante que no autorice conexiones para un programa que desconoce porque podra tratarse de un Troyano. Si esto vuelve a ocurrir, es conveniente verificar que su ordenador no est infectado con un Troyano usando un programa que los detecta y elimina. (Denominado bouffetroyen).

3.2. Herramientas para eliminacin de Troyanos El firewall pide la confirmacin de la accin antes de iniciar una conexin si un programa, una de las principales caractersticas de los troyanos es que no son visibles para el usuario. Un troyano puede estar ejecutndose en un ordenador durante meses sin que el usuario perciba nada. Esto hace muy difcil su deteccin y eliminacin de forma manual. Algunos patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automtica, el ordenador funciona ms lento de lo normal, errores en el sistema operativo. Por otro lado los programas antivirus estn diseados para eliminar todo tipo de software malicioso, adems de eliminarlos tambin previenen de nuevas infecciones actuando antes

45

de que el sistema resulte infectado. Es muy recomendable tener siempre un antivirus instalado en el equipo tambin un firewall. Fuente: es.kioskea.net/contents/virus/trojan.php3

3.2.1. The Cleaner 2012 8.0.0.1059 The Cleaner es una nueva versin del programa de usos mltiples para la limpieza de su equipo frente al spyware, troyanos, gusanos. Software que protege el ordenador en tiempo real de los intentos no autorizados para instalar software malicioso. Tambin se implement la zona de cuarentena, comprobar si el equipo en un horario, para recibir las actualizaciones de la base de datos de firmas de troyanos y otro software malicioso a travs de Internet. Sistema Compatible con S.O: XP/Vista/ XP x64/ Vista x64 / Win7 / Win7 x64. (Ver anexo 3) Una de las amenazas presentes en Internet son los troyanos, que son programas similares a un malware, camuflado dentro de programas inofensivos. The Cleaner limpiar el sistema de todos los troyanos que conozca, manteniendo tu sistema limpio de estos peligrosos elementos. The Cleaner busca en su disco duro y lo limpia de todos los troyanos conocidos. Usando una tecnologa avanzada nica The Cleaner compara cada archivo con una lista de troyanos conocidos. Puede escanear todo el sistema o simplemente un archivo. El programa tambin le permite actualizar peridicamente la base de datos de troyanos para mantenerla actualizada con las ltimas investigaciones. The Cleaner Pro incluye la deteccin en segundo plano, un nuevo y ms rpido motor de exploracin (alrededor de 100 archivos por segundo), la exploracin dentro de los archivos comprimidos, una nueva interfaz de usuario (GUI). Pruebas objetivas han demostrado que The Cleaner tiene mayor velocidad de anlisis y encuentra ms troyanos que otros programas de la competencia.

46

3.2.1.1. Caractersticas Proteccin contra malware: x Actualizaciones en vivo. x Registro de seguimientos. x Activos de exploracin. x Lnea de comandos. x Alertas de correo electrnico. x TCMonitor. x Lista negra. x Los datos de configuracin de cifrado. x Exploracin avanzada que la informacin. x Opciones de Pausa / Reanudar exploracin. x Fuentes mejorada En TCActive!.

3.2.2. AVG INTERNET SECURITY 2011 AVG Internet Security ha sido diseado como una completa suite de proteccin contra todo el tipo de malware. Puede vigilar el trfico de la red a travs de su cortafuegos o proteger la bandeja de entrada de tu correo electrnico con los filtros anti-spam. Asimismo, otro mdulo puede comprobar el trfico en busca de las conexiones peligrosas para detenerlas. AVG Internet Security 2011 - una serie de programas para proteger su PC de objetos peligrosos y las amenazas de la red. El programa bloquea virus, troyanos, gusanos, spyware y firewall para proteger contra ataques de red. Al utilizar AVG Internet Security 2011 protege al usuario del robo de identidad, el spam y los virus. (Ver anexo 4). 3.2.2.1. Ventajas x El nivel necesario de proteccin x Fcil de utilizar la seguridad

47

x Sistema de seguridad AVG certificado por todas las empresas de certificacin independientes ms importantes, como la ICSA, Virus Bulletin, Checkmark x AVG Internet Security 2011 incluye los siguientes mdulos: o Anti-Virus - encontrar y eliminar varios virus, troyanos, gusanos de Internet. o Anti-Spyware - proteccin de su equipo desde la instalacin de programas espa y otros programas maliciosos. o Anti-Rootkit - Proteccin contra amenazas ocultas, la difusin de contenido malicioso. o Anti-Spam - Correo electrnico filtrado y eliminacin de correo no deseado. o Identity Protection - Proteccin contra amenazas nuevas y desconocidas. o LinkScanner Active Surf-Shield - Proteccin en tiempo real de las pginas web infectados mientras navega por Internet. o LinkScanner Search-Shield - una asignacin de cuotas de seguridad en tiempo real para todos los resultados de bsqueda de Google, Yahoo y MSN Live /. o Web de Proteccin y Firewall - un servidor de seguridad de pleno derecho de proteger su ordenador mientras se est ejecutando en la web. o ID Proteccin - ahora tus contraseas, nmeros de tarjetas de crdito y otros datos personales estn protegidos contra robos. 3.2.2.2. Caractersticas x La combinacin nica de mtodos de deteccin de AVG proporciona una proteccin completa contra virus, gusanos y troyanos. x Deteccin \ sobre la marcha. \ Escner AVG controla las llamadas al sistema de archivos y produce archivos compruebe si el acceso a ellos, lo que le permite construir otra capa de proteccin de los archivos infectados.

48

x AVG escanea todo el trfico de correo electrnico, y se conecta a los clientes de correo tales como: MS Outlook, The Bat, Eudora y otros clientes de correo SMTP/POP3, como Outlook Express. Tambin con el apoyo de la comprobacin Phisher trfico. x Anti-spam y filtros de phishing. Cada letra, entrando en un buzn que se verifica por medio de bases de datos de la firma se actualizan cada minuto. x Conexiones de red de seguimiento. Con una funcin de servidor de seguridad AVG analiza todas las solicitudes de conexin entrantes y salientes del ordenador, prevenir los ataques de red en el equipo y la actividad de la red para los troyanos. x Programacin de gran alcance. AVG proporciona automticamente un programa diario para la digitalizacin y actualizacin, y le dar la oportunidad de crear sus propios eventos programados. x Soporta 23 idiomas.

3.2.3. Kaspersky Anti-Virus 2011 11.0.2.556 (Ver anexo 5) Kaspersky Anti-Virus es un antivirus que realiza una excelente combinacin de proteccin reactiva y preventiva, protegindote eficazmente de virus, troyanos y todo tipo de programas malignos. Adicionalmente, dentro del grupo de programas malignos, Kaspersky Anti-Virus 2011 tambin se encarga de proteger el Registro y todo el sistema contra programas potencialmente peligrosos como los spyware. Cuenta con una merecida fama de ser uno de los antivirus que posee un mejor anlisis en 'busca y captura' de virus. Eso s, Kaspersky realiza un anlisis muy a fondo con lo que suele tardar bastante. 3.2.3.1. Ventajas Fcil uso con mens claros Anlisis rpido o completo Bajo consumo de recursos Perfil para juegos Disco de rescate

49

3.2.4. avast! Free Antivirus 6.0.1091 (Ver anexo 6) Avast! Free Antivirus es un antivirus gratuito y sin publicidad. Con sus ocho escudos, mantiene el ordenador constantemente a salvo de una gran variedad de amenazas. Para una proteccin adicional, avast! Free Antivirus muestra la reputacin de una pgina web en tu navegador y carga los programas desconocidos en un espacio aislado. La sexta edicin de avast! Free Antivirus presenta pocos cambios estticos en comparacin con la anterior, pero ampla an ms el abanico de la proteccin gratuita. A los escudos de la versin 5 se aaden los de scripts y comportamiento. Y con el mdulo AutoSandbox, avast! Free Antivirus impide que programas potencialmente dainos puedan afectar el sistema. La gran novedad de avast! Free Antivirus 6 es WebRep, el complemento para Firefox, Chrome e Internet Explorer que comprueba la reputacin de una pgina a partir de las valoraciones de los usuarios. Tres barras coloreadas indican la calidad del sitio y hay recuadros para clasificar el sitio web en distintas categoras. Lo cierto es que ningn antivirus gratuito ofrece tanto como avast! Free Antivirus. Traducido y apoyado por una inmensa comunidad de usuarios, se postula como el antivirus gratuito por excelencia. 3.2.4.1. Ventajas x Ocho escudos de proteccin en tiempo real. x Defensa proactiva con el escudo conductual. x Sandbox para ejecutar software sospechoso. x Mdulo de reputacin web. x Widget para Windows Vista y 7.

50

3.2.5. Panda Cloud Antivirus 1.4 Free (Ver anexo 7) Panda Cloud Antivirus emplea una filosofa de proteccin distinta. Su capacidad para detectar y eliminar virus, troyanos, spyware y otros peligros se basa en una red de servidores que facilita la recoleccin de muestras y el despliegue de firmas. El resultado es un antivirus ligersimo y rpido como el rayo. Tras la instalacin, lo primero que notars de Panda Cloud Antivirus es la sencillez de su interfaz. El panel principal muestra un icono que resume la situacin de seguridad. Tres grandes botones dan acceso a los anlisis bajo demanda, al informe de sucesos 3.2.5.1. Ventajas x No necesita actualizaciones. x Proteccin en tiempo real. x Anlisis bajo demanda. x Filtrado de pginas maliciosas. x Gasta poqusima memoria.

3.3. Desinfeccin Manual de un Troyano Si se trata de un troyano conocido por los AV (Anti-Virus), como por ejemplo el SubSeve, cualquier AV va a ser capaz detectarlo y eliminarlo, pero en caso tal de que el Troyano no sea detectado por los AV te tienes que desinfectar Manualmente. A continuacin se detalla de manera sencilla los pasos para desinfectar de manera Manual, esta forma es efectiva con la mayora de los troyanos: 1. Inicio / ejecutar, alli se teclea regedit. Ver anexo 8. 2. En la ventana que de presenta se busca la Carpeta HKEY_LOCAL_MACHINE. Ver anexo 9. 3. Luego se procede abrir la Carpeta Software. Ver anexo 10. 4. A continuacin la Carpeta Microsoft, la Carpeta Windows, ahora se abre la Carpeta CurrentVersion. Ver anexo 11, 12, 13.

51

5. Ahora se procede a buscar la Carpeta Run en ella se encuentran todos los nombres y localizaciones de los programas que se ejecutan al arrancar Windows. Es probable que salgan varios programas, esto no significa que todos sean troyanos, estos son los programas que salen cuando se arranca Windows, y muestra la Ruta de cada uno, solo elimina aquel que ests seguro de que es un Troyano. Ver anexo 14.

52

CONCLUSIONES Con el presente proyecto de investigacin se pretende que la comunidad en general se concientice en temas referente a las seguridades informticas, para esto se concluye lo siguiente: Hoy en da, los troyanos suelen instalarse en secreto y lanzan su carga maliciosa sin que el usuario se entere de ello. Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto suelen ser utilizar la mquina como parte de una botnet, instalacin de otros programas, incluyendo otros programas maliciosos, el robo de informacin personal, el borrado, modificacin o transferencia de archivos, ocupar el espacio libre del disco duro con archivos intiles, hasta el borrar el disco duro. El objetivo del artimaa es simple, se trata de engaar a la victima creando una infeccin falsa, dando un mensaje de que para remover el software malicioso se debe adquirir una herramienta de seguridad extra, la cual tambin es falsa y posiblemente tenga algn software capturador de claves, estafas electrnicas o ingreso a la mquina infectada en una botnet. Se recomienda mtodos de proteccin, siguiendo algunos sencillos consejos de esta manera aumentar considerablemente la seguridad de una computadora, como proteccin a travs del nmero de cliente y la del generador de claves dinmicas, tener el sistema operativo y el navegador web actualizados, tener instalado un antivirus y un firewall y configurarlos para que se actualicen automticamente de forma regular ya que cada da aparecen nuevas amenazas. Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia. Revisa peridicamente los parches de tu sistema operativo ya que cada da se encuentran nuevos fallos en estos y mantn actualizado tus antivirus contra las nuevas amenazas que se presentan diariamente.

53

Establecer un software anti-virus que se basa principalmente en reconocimiento de las "firmas" de cada Troyano, un error comn de concepto es que el software anti-virus ofrece toda la proteccin que usted necesita, la realidad es que un anti-virus solo ofrece proteccin limitada. El software antivirus solo reconoce una parte de todos los Troyanos conocidos y no reconoce los Troyanos desconocidos. A pesar de que la mayora de escneres de virus detectan muchos de los troyanos pblicos/desconocidos, son incapaces de analizar Troyanos desconocidos. As mismo para proteger de forma efectiva su red contra los Troyanos, debe seguir una estrategia de seguridad multinivel, implementar un analizador de virus para gateway y anlisis de contenido en el permetro de su red para el correo, HTTP y FTP as mismo el implementar mltiples motores anti-virus en el Gateway, poner en cuarentena/comprobar los ejecutables que entran en su red va correo electrnico y web/FTP en el gateway.

54

LITERATURA CITADA 1. Seguridad en Internet, Pc Tech, por Olaf Adam, publicado por Marcombo 2001, 295 pginas. Consulta 22/09/2010. 2. Pc: Cmo Usarla en Forma Segura, por Gustavo Talavn, Publicado por Imaginador, 2006, 64 pginas. Consulta 22/09/2010. 3. Seguridad en la informtica de empresa, por Jean-Marc Royer, Xavier Angelet, Ediciones ENI, 2004, 424 pginas. Consulta 22/09/2010. 4. http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx# EOD. Consulta 22/09/2010. 5. http://es.wikipedia.org/wiki/Caballo_de_Troya_(inform%C3%A1tica). Consulta 22/09/2010. 6. http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica). Consultada 23/09/2010. 7. 8. http://www.troyanos.tk/. Consultada 23/09/2010. http://www.pandasecurity.com/spain/homeusers/security-info/classicmalware/trojan/. Consultada 24/01/2011. 9. http://www.kaspersky.com/sp/crimeware. Consultada 07/02/2011.

10. http://www.forospyware.com/t70539.html. Consultada 08/02/2011. 11. http://es.wikipedia.org/wiki/NetBus Consultada 08/02/2011. 12. http://es.wikipedia.org/wiki/Back_Orifice. Consultada 08/02/2011.

55

13. http://es.wikipedia.org/wiki/Sub7. Consultada 04/04/2011. 14. http://www.viruslist.com/sp/weblog?weblogid=208187858. Consultada 04/04/2011. 15. http://www.viruslist.com/sp/weblog?weblogid=208187366. Consultada 04/04/2011. 16. http://www.rompecadenas.com.ar/articulos/bohu-nuevo-troyanodesafia.php. Consultada 04/04/2011. 17. http://en.wikipedia.org/wiki/Nuclear_RAT, Consultada 04/04/2011. 18. http://www.rompecadenas.com.ar/articulos/nuevo-troyano-pasarmicrosoft.php. Consultada 04/04/2011. 19. http://freakshare.com/files/31kr958d/The-Cleaner-2012-build-8.1.0.1079 esp-.rar.html. Consultada 25/04/2011. 20. http://www.rompecadenas.com.ar/articulos/1039.php. Consultada 25/05/2011. 21. http://www.rompecadenas.com.ar/articulos/1038.php Consultada 25/05/2011. 22. http://www.rompecadenas.com.ar/articulos/1059.php Consultada 25/05/2011. 23. http://www.rompecadenas.com.ar/articulos/dispositivos-podrian.php Consultada 25/05/2011.

56

24. http://www.rompecadenas.com.ar/articulos/1393.php Consultada 25/05/2011. 25. http://www.rompecadenas.com.ar/articulos/1776.php Consultada 25/05/2011. 26. http://www.rompecadenas.com.ar/articulos/1769.php Consultada 25/05/2011. 27. http://www.gfihispana.com/whitepapers/network-protection-againsttrojans.pdf. Consultada 25/05/2011. 28. http://es.kioskea.net/contents/virus/trojan.php3. Consultada 25/05/2011. 29. http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico. Consultada 13/07/2011. 30. http://darthshack.mforos.com/1106862/5431709-que-es-un-troyano-sussintomas-estoy-infectado-que-hago-etc-by-hnafe/. Consultada 13/07/2011. 31. http://www.evidalia.es/trucos/index_v2-222-54.html. Consultada 13/07/2011. 32. http://www.noticiasdot.com/publicaciones/2006/0106/2601/noticias/histori a_virus/historia-virus-menu-04.htm. Consultada 13/07/2011.

57

ANEXOS Anexo 1 A continuacin hay una lista (incompleta) de los puertos ms usados por los Troyanos: Puerto 21 Troyano Es utilizado comnmente por Back construction, Blade los servidores de FTP, es un runner, Doly, Fore, FTP trojan, protocolo de transferencia de Invisible FTP, Larva, WebEx, archivos basado 25 en entre la sistemas WinCrash arquitectura Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy 80 HTTP HyperText Protocol (WWW) 110 113 531 666 TCP TCP POP3 Post ident (auth) Office ProMail Trojan antiguo Kazimas Rasmin de Doom para Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre 1024 TCP Dwyco Video NetSpy Protocol (E-mail) sistema de identificacin TCP Conference Identificacin jugar sobre TCP Transfer Executor, RingZero de (Protocolo conectados a una red TCP cliente-servidor. Se utiliza para enviar e-mail.

Transferencia de HiperTexto)

58

Conferencing 3128 5400 7000 8080 12345 31337 TCP Squid Proxy remoto (usado sobre HTTP) TCP Active Worlds Server Admin) HTTP Proxy TCP GabanBus, NetBus, Pie Bill Gates, X-bill Back Orifice herramienta de Baron Night, BO client, BO2, administracin remota (por lo Bo Facil general troyanos) RingZero Runner, Back Construction Remote Grab, Kazimas VNC protocolo de escritorio Blade

TCP Unreal Tournament (UT RingZero

59

Anexo 2

60

Anexo 3

Anexo 4

61

Anexo 5

Anexo 6

62

Anexo 7

Anexo 8

63

Anexo 9

Anexo 10

64

Anexo 11

Anexo 12

65

Anexo 13

Anexo 14

66

GLOSARIO DE TERMINOS ADSL.- ("lnea de abonado digital asimtrica") Es un tipo de lnea DSL. Es una tecnologa de acceso a Internet de banda ancha, lo que implica una velocidad superior a una conexin tradicional por mdem en la transferencia de datos, ya que el mdem utiliza la banda de voz y por tanto impide el servicio de voz mientras se use y viceversa. Adware.- Es cualquier programa que automticamente se ejecuta, muestra o baja publicidad web al computador despus de instalar el programa o mientras se est utilizando la aplicacin. 'Ad' en la palabra 'adware' se refiere a 'advertisement' (anuncios) en ingls. AIM.(America-On-Line Instant Messenger) Es un cliente de mensajera

instantnea de America On Line denominado habitualmente Instant Messenger. Anonimous.Fenmeno de Internet, representa el concepto de muchos

usuarios de la comunidad online, o la comunidad en s misma, actuando annimamente de forma coordinada, generalmente hacia un objetivo vagamente acordado. AOL.- Anteriormente conocida como America Online, es una empresa de servicios de internet y medios con sede en Nueva York. Ha franquiciado sus servicios a empresas en varios pases alrededor del mundo o establecido versiones internacionales de sus servicios. Ares.- Es un archivo de cdigo abierto que comparte el programa que permite a los usuarios compartir cualquier archivo digital incluyendo imgenes, audio, vdeo, software, documentos, entre otros. Autorooter.- Es un troyano que emplea la vulnerabilidad conocida como DCOM-RPC para tomar el control del ordenador afectado, permitiendo que un

67

hacker pueda realizar acciones como formatear el disco duro, modificar las pginas web almacenadas, aadir nuevos usuarios. Botnet.- Es un trmino que hace referencia a un conjunto de robots informticos o bots, que se ejecutan de manera autnoma y automtica. El artfice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a travs del IRC. Crimeware.- Es un tipo de software que ha sido especficamente diseado para la ejecucin de delitos financieros en entornos en lnea. Dialers.- Es un software maligno: tipo de software que crea una conexin a una red sin informar completamente al usuario sobre el costo que realmente tiene conectar a esa red. Algunos de estos dialers ofrecen una conexin a internet (u otra red), a veces prestando servicios exclusivos si el usuario se conecta con stos (bajar software, mp3, pornografa, etc.). Droppers.- Es un programa (componente de malware) que ha sido diseado para "instalar" algn tipo de software malicioso (virus, backdoor, etc) a un sistema de destino. El cdigo malicioso puede ser contenido dentro del gotero (una etapa), de tal manera que para evitar ser detectados por los escneres de virus o un gotero la puede descargar el programa viral en la mquina de destino una vez activado (dos etapas). Eudora.- Es un cliente de correo electrnico para Apple Macintosh y Microsoft Windows as como varias plataformas PDA en las que se incluye Newton y Palm OS. Firedaemon.- Es un sistema operativo de gestin de servicios de aplicacin, permite instalar y ejecutar aplicaciones de Windows ms estndar como un servicio. Estos incluyen regulares estndares ejecutables de Windows, as

68

como aplicaciones escritas en lenguajes de scripting o Pcode tales como Perl, Java, Python y Ruby. FireDaemon es muy popular entre la comunidad de juegos en lnea para el funcionamiento de los servidores dedicados, tales como Half-Life, Call of Duty y Battlefield. Firewall.- Es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. FTP.- En informtica, es un protocolo de red para latransferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde l o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo. Gadgets.- Es un dispositivo que tiene un propsito y una funcin especfica, generalmente de pequeas proporciones, prctico y a la vez novedoso. Los gadgets suelen tener un diseo ms ingenioso que el de la tecnologa corriente. Gateway.- Una pasarela o puerta de enlace es un dispositivo, con frecuencia una computadora, que permite interconectar redes con protocolos y arquitecturas diferentes a todos los niveles de comunicacin. Su propsito es traducir la informacin del protocolo utilizado en una red al protocolo usado en la red de destino. Gnutella.- Es un proyecto de software distribuido para crear un protocolo de red de distribucin de archivos entre pares, sin un servidor central. Hacker.Una persona que disfruta explorando los detalles de sistemas

programables y cmo extender sus capacidades. Un entrometido malicioso que intenta descubrir informacin sensible por hurgar.

69

Hijacking.- Significa "secuestro" en ingls y en el mbito informtico hace referencia a toda tcnica ilegal que lleve consigo el aduearse o robar algo (generalmente informacin) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios mbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems. HTTP.- (en espaol protocolo de transferencia de hipertexto) Es el protocolo usado en cada transaccin de la World Wide Web. Es un protocolo orientado a transacciones y sigue el esquema peticin-respuesta entre un cliente y un servidor. ICQ.- Es un cliente de mensajera instantnea y el primero de su tipo en ser ampliamente utilizado en Internet, mediante el cual es posible chatear y enviar mensajes instantneos a otros usuarios conectados a la red de ICQ. Tambin permite el envo de archivos, videoconferencias y charlas de voz. iMesh.- Es una aplicacin de tecnologa peer-to-peer que permite el intercambio de informacin gratuita en casi cualquier formato, sea audio, video, documentos, ficheros comprimidos u otros. Se puede compartir cualquier formato reconocido de archivo. IRC.- (Internet Relay Chat) Es un protocolo de comunicacin en tiempo real basado en texto, que permite debates entre dos o ms personas. Se diferencia de la mensajera instantnea en que los usuarios no deben acceder a establecer la comunicacin de antemano, de tal forma que todos los usuarios que se encuentran en un canal pueden comunicarse entre s, aunque no hayan tenido ningn contacto anterior. Kazaa.- Es una aplicacin para el intercambio de archivos entre pares que utiliza el protocolo FastTrack. Kazaa es comnmente utilizado para intercambiar msica (principalmente en formato mp3) y pelculas (en formato

70

DivX). Su versin oficial puede ser descargada gratuitamente y su sustento econmico es el spyware (software espa) y adware (software publicitario) instalado en forma predeterminada con el producto. Keylogger.- Es un tipo de software o un dispositivo hardware especfico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a travs de internet. Ldpinch.W.- Es un troyano que registra eventos y recoge informacin del ordenador afectado. LimeWire.- Fue un cliente peer-to-peer (P2P) libre y gratuito para la red Gnutella, diseado para el intercambio de archivos, ahora reemplazado por FrostWire y WireShare. Este software funcionaba en un protocolo abierto, gratuito para el uso pblico. Malware.- Tambin llamado badware, cdigo maligno, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o daar una computadora sin el consentimiento de su propietario. El trmino malware es muy utilizado por profesionales de la informtica para referirse a una variedad de software hostil, intrusivo o molesto. Payload.- Capacidad de carga de la computacin puede hacer referencia a un bloque de informacin o de datos o el resultado de la ejecucin o la carga de cdigo. Phishing.- Es un trmino informtico que denomina un tipo de delito encuadrado dentro del mbito de las estafas cibernticas, y que se comete mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta.

71

Ransomware.- Es un malware generalmente distribuido mediante spam y que mediante distintas tcnicas imposibilita al dueo de un documento acceder al mismo. El modo ms comnmente utilizado es cifrar con clave dicho documento y dejar instrucciones al usuario para obtenerla, posterior al pago de "rescate". Redes P2P.- Red de pares, es una red de computadoras en la que todos o algunos aspectos funcionan sin clientes ni servidores fijos, sino una serie de nodos que se comportan como iguales entre s. Es decir, actan simultneamente como clientes y servidores respecto a los dems nodos de la red. Las redes P2P permiten el intercambio directo de informacin, en cualquier formato, entre los ordenadores interconectados. Rootkits.- Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a s misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer informacin sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows. Shareware.- Es una modalidad de distribucin de software, en la que el usuario puede evaluar de forma gratuita el producto, pero con limitaciones en el tiempo de uso o en algunas de las formas de uso o con restricciones en las capacidades finales. SMTP.- Protocolo Simple de Transferencia de Correo, es un protocolo de la capa de aplicacin. Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrnico entre computadoras u otros dispositivos (PDA's, telfonos mviles, etc.). Est definido en el RFC 2821 y es un estndar oficial de Internet.

72

Spam.- Correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La accin de enviar dichos mensajes se denomina spamming. Spyware.- Un programa espa, traduccin del ingls spyware, es un programa, que funciona dentro de la categora malware, que se instala furtivamente en un ordenador para recopilar informacin sobre las actividades realizadas en ste. Stealers.- Es el nombre genrico de programas informticos maliciosos del tipo troyano, que se introducen a travs de internet en un ordenador con el propsito de obtener de forma fraudulenta informacin confidencial del propietario, tal como su nombre de acceso a sitios web, contrasea o nmero de tarjeta de crdito. Teamviewer.Es un software del paquete de control remoto, compartir

escritorio, y la transferencia de archivos entre ordenadores. El software funciona con el Windows de Microsoft, Mac OS X, Linux, iOS, y Android los sistemas operativos. Es posible acceder a un equipo que ejecuta TeamViewer con un navegador web. Si bien el foco principal de la aplicacin es el control remoto de los ordenadores, cuenta con la colaboracin y la presentacin estn incluidos. Tofger.- Es un troyano de tipo ladrn de contraseas (password stealer) que monitoriza las cuentas de usuario (nombre de usuario y contrasea) que se emplean en el ordenador afectado para acceder a pginas seguras. Este tipo de pginas son las que se usan para validarse como usuario autorizado en determinados sistemas seguros como bancos, etc. Tunneling.- Esta tcnica consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un tnel dentro de una red de

73

computadoras. El establecimiento de dicho tnel se implementa incluyendo unaPDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del tnel sin que sea necesaria una interpretacin intermedia de la PDU encapsulada. UDP.- Es un protocolo del nivel de transporte basado en el intercambio de datagramas (Paquete de datos). Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera. WIFI.- La organizacin comercial que adopta, prueba y certifica que los equipos cumplen los estndares 802.11 relacionados a redes inalmbricas de rea local. ZeroPopUp.- Es una pequea y eficaz herramienta que elimina de forma automtica ventanas pop-ups de publicidad usando inteligencia artificial. El programa funciona como un add-in del Internet Explorer y se ejecuta automticamente cuando inicias una ventana del IE.

74