ndice

ndice Introduccin Qu son los Troyanos? Partes de un troyano Tipo de Conexin en un troyano y mtodos de notificacin de IP Clases de troyanos segn funcin Vida de un Troyano Como funciona un Troyano Tipo de Troyanos segn lugar donde residen Estrategias de Infeccin Cmo se Oculta un Troyano y se mantiene a salvo? Ingeniera social y troyanos Qu es la Cuarentena? Cmo se detecta un caballo de Troya? Que extensiones atacan los virus troyanos Listado de virus troyanos Antivirus para Troyanos Porque no se infecta un antivirus Recomendaciones y prevencin Glosario de Trminos Opinin Personal Conclusin Bibliografa 1 2 3 4 4 6 10 11 12 12 13 16 17 17 20 20 22 23 23 24 36 37 38

Introduccin
Informe Troyanos 1

Debido al creciente uso de Internet, la cada vez ms abundante documentacin y el paso del tiempo, la cantidad de objetos informticos infecciosos y las herramientas para el robo de informacin y otros cometidos, han aumentado enormemente. Aumentado tambin su variacin y peligrosidad. Las avanzadas tcnicas de infeccin espionaje y ocultacin, han trado consigo nuevas tecnologas nuevos conceptos, nuevas herramientas y nuevos perjuicios para el mundo informtico. Dentro de las aplicaciones informticas los troyanos, han pasado a ser ms que un simple trmino en la jerga informtica, destacndose y convirtindose en un tema de gran problemtica, muy investigado, controvertido he interesante. La portabilidad, la seguridad, la confidencialidad y sucesos sociales, interactan directamente con este nuevo cuadro informtico, en donde lo que generalmente ocurre no es un hecho fortuito sino el victimizado ha sido parte fundamental en el xito de tal suceso. Existen gran cantidad de formas de infeccin, gran cantidad de mtodos por los cuales estos objetos lograran ocultarse, protegerse y toda clase de actividad para conseguir su cometido. Es por ello que sern temas obligados de abordaje y profundizacin los sucesos sociales y temas informticos relacionados, para lograr aprender u entender y as evitar tales contagios. El mtodo de abordaje de este informe, es de manera informativa en modo de resultados primarios para investigacin o para desarrollo, para ello el trabajo se baso en entender el funcionamiento de un troyano efectivo, eficiente y o exitoso, investigando no solo los aspectos superficiales sino tambin los aspectos internos en el funcionamiento de este; como tcnicas comnmente utilizadas, tendencias histricas y actuales. En contraposicin la proteccin por parte de antivirus, herramientas y sistemas de proteccin de los efectos de estos. El Abordaje se limita a informacin terica, es decir no est destinado para desarrollo o aplicacin, sin embargo, se intenta informar de manera detallada y consistente con material de buenas fuentes.

Qu son los Troyanos?

Informe Troyanos

Del mismo modo que el caballo de Troya mitolgico pareca ser un regalo pero contena soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en da son programas informticos que parecen ser software til pero que ponen en peligro la seguridad y provocan muchos problemas y ponen en riesgo nuestra informacin privada. Se le denomina un caballo de Troya o Troyano a un programa malicioso (malware), capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a travs de una red local o de Internet, con el fin de recabar informacin o controlar remotamente a la mquina anfitriona, pero generalmente sin afectar al funcionamiento de sta. Un troyano no es de por s, un virus, an cuando tericamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su objetivo final. Para que un programa sea un "troyano" solo tiene que acceder y controlar la mquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un husped destructivo, el troyano evita provocar daos porque no es su objetivo. Suele ser un programa pequeo alojado y distribuido dentro de una aplicacin, una imagen, un archivo de msica, sitios web, plugins u otro elemento de apariencia inocente (no necesariamente de un archivo auto ejecutable), se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado comienzan a realizar una funcin til, de modo oculto y por tal motivo los antivirus o anti troyanos no los eliminan, pero internamente realiza otras tareas de las que el usuario no es consciente. Estos cdigos maliciosos tienen mltiples funcionalidades, algunos funcionan para realizar acciones destructivas y otros simplemente para espiar y robar informacin. Generalmente se utiliza para espiar, software de acceso y administracin remota que permite monitorizar lo que el usuario legtimo de la computadora hace (en este caso el troyano es un spyware o programa espa) y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseas (cuando un troyano hace esto se le cataloga de keylogger u otra informacin sensible).

Partes de un troyano
Los troyanos estn compuestos principalmente por dos programas: un cliente (es quien enva las funciones que se deben realizar en la computadora infectada) y un servidor (recibe las funciones del cliente y las realiza, estando Informe Troyanos 3

situado en la computadora infectada). Tambin hay un archivo secundario llamado Librera (pero que no todos los troyanos tienen de hecho los ms peligrosos no lo tienen) que es necesaria para el funcionamiento del troyano pero no se debe abrir, modificar ni eliminar para el optimo funcionamiento de este. Algunos troyanos tambin incluyen el llamado EditServer, que permite modificar el Servidor para que se adapte al ordenador de la vctima o sea provisto de las funcionalidades y-o configuraciones que el cracker quiera. Sin embargo no todas las partes de un troyano antes mencionadas finalmente se instalan en el ordenador de la vctima, siendo solo parte del ordenador solo servidor y cliente.

Tipo de Conexin en un troyano

Un troyano puede poseer una conexin directa, inversa o mixta sin embargo existen troyanos que trabajan fuera de lnea y su informacin o reportes pueden ser enviados a un servidor complementario que administra la informacin de todos los ordenadores infectados. Los troyanos de conexin directa son aquellos que requieren que el cliente se conecte al servidor; a diferencia de stos, los troyanos de conexin inversa son los que hacen que el servidor sea el que se conecte al cliente; las ventajas de ste son que traspasan la mayora de los firewall y pueden ser usados en redes situadas detrs de un router sin problemas (debido a que en un router generalmente es necesario configurar los virtualserver para poder redirigir correctamente los paquetes e informacin al puerto indicado y al PC correspondiente, este es un problema comn para un troyano ) . El motivo de por qu ste obtiene esas ventajas es que la mayora de los firewall no analizan los paquetes que salen de la computadora infectada, pero que s analizan los que entran (por eso los troyanos de conexin directa no poseen tal ventaja); y se dice que traspasan redes porque no es necesario que se redirijan los puertos hacia una computadora que se encuentre en la red. La conexin directa del troyano son realizadas por protocolo (tcp) y para ello el cliente siempre requerir conocer la direccin IP del servidor, lo cual es un problema en las en ordenadores con direcciones IP dinmicas, por lo cual el troyano deber dar a conocer la IP del servidor, para ello el servidor notificara al cliente directa o indirectamente valindose de servicios secundarios. La conexin inversa del troyano se realiza a travs del protocolo (upd) esta conexin tiene la particularidad, que una vez la vctima se conecta a internet, el servidor troyano llama al cliente, si en ese instante el cliente del troyano se encuentra activo y operando, automticamente cliente y servidor estarn conectados.

Mtodos de Notificacin de IP
Para el caso de los troyanos que requieren de conexin directa estos se valdrn de aplicaciones secundarias o submdulos u otros troyanos para la notificacin de su direccin IP, para ello se comunicaran con un servidor destinado para ello valindose de herramientas secundarias como: Mensajera Instantnea: El troyano se vale de clientes de mensajera instantnea instalados tales como MSN, ICQ, Yahoo MSN, etc. Y a Travs de estos Comunica la IP del ordenador infectado. (ej. troya.Optix) IRC: En este mtodo muy particular el Troyano notifica la IP del ordenador infectado a una sala de Chat de un servidor pblico o privado previamente configurado y definido en el troyano. (ej. sub 7) Smtp: Este mtodo muy sencillo consiste en una notificacin va correo electrnico a travs de una comunicacin directa con un servidor Smtp. Informe Troyanos 4

Notificaciones Web: Consiste en enviar la direccin IP a una aplicacin web, se considera un mtodo muy exitoso. Dyndns o ddns: Consiste en utilizar un servicio secundario de notificacin que se traduce en una IP convertida en un una direccin de nombre asignada por un dns.

Un troyano es un problema multiplataforma, que tambin afecta muchas arquitecturas de sistemas diferentes. Se han detectado troyanos en distintos sistemas operativos Windows, Linux, Mac OS X, etc. Y en arquitecturas tales como equipos mviles celulares, router, etc. Sin embargo generalmente estos estn programados en un lenguaje que no es multiplataforma o este solo se vale de las vulnerabilidades de un sistema operativo en especfico. Se han detectado troyanos multiplataforma que se valen de vulnerabilidades de maquinas virtuales como es el caso de java.

Figura siguiente: Ejemplo de EditServer Tambin se hace Muestra de los tipos de Notificaciones.

Clases de troyanos segn funcin

Informe Troyanos

Troyanos de acceso remoto (Puertas traseras Backdoors) Son el tipo de troyanos ms habitual. Tan habituales como peligrosos y dainos. Establecen una relacin clienteservidor entre el PC infectado y el PC del atacante. Para ello necesitan estar instalados en los dos ordenadores. La parte llamada servidor en el ordenador atacado y la parte llamada cliente en el ordenador atacante. Por medio de estos troyanos el atacante puede realizar en el PC infectado las mismas acciones que el dueo del PC de manera visual. Algunas de las funciones que pueden realizar activamente son:

Enviar y recibir archivos Activar y eliminar archivos Ejecutar archivos Mostrar notificaciones Borrar datos Reiniciar el ordenador

Troyanos de correo Este tipo de troyanos tan slo acta en modo servidor. Su funcin principal es la de capturar e informar. El troyano enva cierto tipo de informacin como certificados digitales, cookies, documentos confidenciales u otros archivos para los cuales esta configurado. Keyloggers Este tipo de troyano captura toda la informacin tecleada y la enva a travs de algn mtodo de notificacin secundario o un servidor de correo propio. (ftp, Smtp).

Fake Trojans Muy usados por los hackers en ataques de autentificacin para hacerse con claves y nombres. Por medio de estos Informe Troyanos 6

troyanos el atacante crea en el ordenador de la vctima ventanas o avisos de algn supuesto error. Normalmente se solicita el nombre y password de la vctima para subsanarlo. Cuando la vctima introduce su nombre y clave el "problema" se soluciona... y el troyano ya ha capturado ambos elementos y guardado en un archivo al que acceder ms adelante el cliente (se usa para robar contraseas de msn, Windows etc.) . Troyanos de FTP Slo actan en modo servidor y permiten una conexin FTP con la mquina infectada, desde la cual se puede tanto subir como descargar archivos. Troyanos de Telnet Funcionan en modo servidor y permiten ejecutar comandos del DOS en el ordenador infectado. Troyanos de forma Son troyanos que acceden a datos privados como pudieran ser la direccin IP, usuarios, claves, etc. Envan esos datos a una Web por medio de una conexin HTTP. (Suelen ser troyanos complementarios.). Clickers troyanos Esta familia de troyanos remite los equipos de las vctimas a determinados sitios web o recursos de Internet. Los clickers tambin envan a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dnde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows. Los clickers suelen usarse para:

Elevar la posicin de determinados sitios en las clasificaciones con objetivos publicitarios Organizar ataques DoS contra el servidor o sitio especificado Para conducir a la vctima hacia un recurso infectado, donde ser atacada por otros programas maliciosos (virus o troyanos).

Descargadores troyanos (Downloaders) Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la vctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se d cuenta y sin su consentimiento. Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet. Droppers troyanos Se utilizan para instalar otros programas maliciosos en los equipos de las vctimas sin que el usuario se d cuenta. Los droppers instalan su carga til sin mostrar ninguna notificacin o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicacin especfica o en un disco local para luego ser ejecutado. Por lo general los droppers tienen la siguiente estructura: Informe Troyanos 7

Archivo principal contiene la "carga til" del troyano File 1 primera carga til File 2 segunda carga til ... el programador puede incluir todos los archivos que desee El dropper contiene un cdigo que instala y ejecuta todos los archivos de la carga til. En la mayor parte de los casos, la carga til contiene otros troyanos y por lo menos un hoax o maniobra de distracin: chistes, juegos, grficos o algo por el estilo. El hoax distrae la atencin del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalacin de la carga til peligrosa. Los hackers usan estos programas para alcanzar dos objetivos: 1. Ocultar o disimular la instalacin de otros troyanos o virus 2. Engaar a las soluciones antivirus que son incapaces de analizar todos los componentes Proxies troyanos Funcionan como servidores proxy y proporcionan acceso annimo a Internet desde los equipos de las vctimas. Hoy en da estos troyanos son muy populares entre los spammers que siempre necesitan de equipos adicionales para hacer sus envos masivos. Los programadores de virus con frecuencia incluyen proxies-troyanos en sus paquetes de troyanos y venden las redes de equipos infectados a los spammers. Trojan Spies Esta familia incluye un variedad de programas espas y key loggers, que monitorean la actividad del usuario en el equipo afectado y luego envan esta informacin a su "amo". Los espas troyanos recolectan varios tipos de informacin:

Textos introducidos por medio del teclado Capturas de pantalla (screenshots) Logs de las aplicaciones activas Otras acciones de los usuarios

Estos troyanos estn siendo cada vez ms utilizados para robar informacin bancaria y financiera que pueda servir de soporte para fraudes en lnea.

Informe Troyanos

Notificadores troyanos Estos troyanos envan informes acerca del equipo infectado a su "amo", o cliente. Los notificadores confirman que un equipo ha sido infectado y enva informacin sobre la direccin IP, los puertos abiertos, las direcciones de correo electrnico y otros datos del equipo de la vctima. Esta informacin se puede enviar por correo electrnico, al sitio web del "amo", por ICQ y mtodos ya antes mencionados. Por lo general, los notificadores se incluyen en los paquetes troyanos y se usan solamente para informar al "amo" que el troyano ha sido instalado con xito en el equipo de la vctima. Rootkits Un rootkit es una coleccin de programas usados por un hacker para evitar ser detectados mientras buscan obtener acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un mdulo de kernel. El hacker instala el rootkit despus, obteniendo un acceso similar al del usuario: por lo general, crakeando una contrasea o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta conseguir el acceso de raiz o administrador. A pesar de que el trmino tiene su origen en el mundo de Unix, ha sido usado para denominar las tcnicas utilizados por los autores de troyanos para Windows. El uso de rootkits para enmascarar las actividades de los troyanos est creciendo, ya que muchos de los usuarios de Windows ingresan al sistema con credenciales de administrador. "Bombas" para compresores de archivos Estos troyanos son archivos comprimidos programados para sabotear al programa de descompresin cuando ste intente abrir el archivo comprimido infectado. El equipo vctima puede ralentizarse o colapsar cuando la bomba troyana explota, o el disco duro se puede llenar de datos sin sentido. Las ArcBombs representan un especial peligro para los servidores, sobre todo cuando los datos entrantes son procesados de forma automtica. En casos como ste, una ArcBomb puede hacer que el servidor colapse. Hay tres tipos de ArcBombs: los que contienen un encabezamiento incorrecto, datos repetitivos o varios ficheros idnticos en el archivo. Un encabezamiento incorrecto, o la presencia de datos corruptos pueden causar que el programa de descompresin colapse cuando intente abrir y descomprimir el archivo infectado. Un archivo grande que contiene datos repetitivos puede ser comprimido en un archivo diminuto: 5 gigabytes pueden convertirse en 200KB si se usa RAR y en 480 KB si se usa ZIP. Adems, existen tecnologas especiales que permiten empaquetar un enorme nmero de archivos idnticos en un solo fichero sin afectar significativamente el tamao del archivo en s mismo: as, es posible empaquetar 10100 archivos idnticos en un archivo RAR de 30 KB o en un ZIP de 230 KB.

Vida de un Troyano
Al igual que los virus informticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son erradicados completamente, el troyano tambin posee, pero de manera distinta. Informe Troyanos 9

Creacin La creacin del troyano es la face de desarrollo de la aplicacin no obstante cabe destacar que quien lo crea no ser el usuario final o usuario nico. Adems la face de desarrollo no tiene directa relacin con el uso final que le d el usuario. De tal manera que no siempre es utilizado para lo que se hizo. Esta face de desarrollo puede ser intervenida o retomada por la descompilacin del cdigo de un tercero. Gestacin Despus de que el virus es creado, el programador hace copias asegurndose de que se diseminen. Generalmente esto se logra infectando un programa popular y luego envindolo a un BBS o distribuyendo copias en oficinas, colegios u otras organizaciones. No obstante el troyano no posee esta caracterstica en s y as ocurre es porque un virus o una persona se encarga de ello. Reproduccin Se reproducen naturalmente, un virus bien diseado se reproducir por un largo tiempo antes de activarse, lo cual permite que se disemine por todos los lados. Esta es caracterstica que el troyano posee para protegerse pero solo es a nivel local de ordenador. Activacin La activacin de un troyano es inmediata o bajos ciertas condiciones, cada cierto tiempo o de forma aleatoria (ramdom), o determinadas fechas. Descubrimiento Esta fase por lo general viene despus de la activacin. Cuando se detecta y se asla un troyano, se enva al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento normalmente, ocurre por lo menos un ao antes de que el virus se convierta en una amenaza para la comunidad informtica. Asimilacin En este punto, quienes desarrollan los productos antivirus, modifican sus programas para que estos puedan detectar los nuevos virus. Esto puede tomar de un da a seis meses, dependiendo de quin lo desarrolle y el tipo de virus. Eliminacin S suficiente cantidad de usuarios instalan una proteccin antivirus actualizada, puede eliminar cualquier virus. Hasta ahora ningn virus ha desaparecido completamente pero han dejado de ser una amenaza. En el caso del Troyano seria segn el caso.

Como funciona un Troyano

Una vez descargado el archivo infectado y ejecutado el mismo, el troyano comenzara a funcionar y quedara instalado en el sistema, el contenido de esta instalacin puede ser de uno o ms troyanos que trabajaran en conjunto o por separado. Un troyano se vale de una serie de herramientas u otros troyanos para funcionar y estar oculto, como por ejemplo un troyano rootkits el cual cumplir la funcin de falsear la informacin proporcionada a un antivirus, de parte del sistema operativo, como un listado de procesos falsos, falsa informacin de registro, etc. Informe Troyanos 10

Consecuencia de la instalacin de un troyano uno o ms archivos son copiados en unidades fsicas por lo general en directorios de Windows, Windows/system, Windows/system32 en el caso de los troyanos que afectan a este sistema operativo, como tambin modificaciones del registro de Windows y en algunos casos uno o ms servicios son levantados. El troyano agrega entradas para iniciar con el pc en ubicaciones y archivos como: HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run system.ini Msconfig Como resultado de su instalacin operacin y conexin, un troyano quedara en modo puerto escucha, por lo cual en consecuencia de ello y sin que un rootkits no falsee la informacin o lo impida, su conexin ser advertida lo cual ser visualizado fcilmente a travs del comando netstat an .

Tipo de Troyanos segn lugar donde residen

Parsitos: estos infectan ficheros ejecutables o programas de la computadora. No modifican el contenido del programa Husped, pero se adhieren a l de tal manera que el cdigo del virus se ejecuta en primer lugar. Estos virus pueden ser de accin directa o residentes. Un virus de accin directa selecciona uno o ms programas para infectar cada vez que se ejecuta. Un virus residente ocupa en la memoria de la computadora e infecta un programa determinado cuando se ejecuta dicho programa. Del Sector Arranque Inicial: estos residen en la primera parte del disco duro o flexible, conocido como sector de arranque inicial, y sustituyen los programas que almacenan informacin sobre el contenido del disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio fsico de discos flexibles. Multipartitos: estos combinan las capacidades de los virus parsitos y del sector arranque inicial, y pueden infectar tanto ficheros como sectores de arranque inicial. Acompaantes: estos no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un programa legtimo y engaan al sistema operativo para que lo ejecute. De vinculo: estos modifican la forma en que el sistema operativo encuentra los programas, y lo engaan para que lo ejecute primero el virus y luego el programa deseado. Un virus de vnculo puede aceptar todo el directorio de una computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus. De fichero de dato: estos pueden infectar programas que contienen programas de macro potentes que pueden abrir, manipular y cerrar fichero de datos. Estn escritos en lenguaje de macros y se ejecutan automticamente cuando se abre el programa legtimo. Son independientes de la mquina y del sistema operativo.

Estrategias de Infeccin
Aadidura o empalme: Informe Troyanos 11

El cdigo del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas especficas y luego entregue el control al programa. Esto genera un incremento en el tamao del archivo lo que permite su fcil deteccin. Insercin: El cdigo del virus se aloja en zonas de cdigo no utilizadas o en segmentos de datos para que el tamao del archivo no vare. Para esto se requieren tcnicas muy avanzadas de programacin, por lo que no es muy utilizado este mtodo.

Reorientacin: Es una variante del anterior. Se introduce el cdigo principal del Troyano en zonas fsicas del disco rgido que se marcan como defectuosas y en los archivos se implantan pequeos trozos de cdigo que llaman al cdigo principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamao del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminacin es bastante sencilla, ya que basta con rescribir los sectores marcados como defectuosos. Polimorfismo: Este es el mtodo mas avanzado de contagio. La tcnica consiste en insertar el cdigo del virus en un archivo ejecutable, pero para evitar el aumento de tamao del archivo infectado, el virus compacta parte de su cdigo y del cdigo del archivo anfitrin, de manera que la suma de ambos sea igual al tamao original del archivo. Al ejecutarse el programa infectado, acta primero el cdigo del virus descompactando en memoria las porciones necesarias. Una variante de esta tcnica permite usar mtodos de encriptacin dinmicos para evitar ser detectados por los antivirus. Sustitucin: Es el mtodo ms tosco. Consiste en sustituir el cdigo original del archivo por el del virus. Al ejecutar el archivo deseado, lo nico que se ejecuta es el virus, para disimular este proceder reporta algn tipo de error con el archivo de forma que creamos que el problema es del archivo.

Cmo se Oculta un Troyano y se mantiene a salvo?

Uno de los mtodos que usa un troyano para ocultarse mientras funciona bajo un sistema son los llamados mtodos criptogrficos ello consiste en alterar uno o varios archivos ya sea para insertar su cdigo sustituirlo o verificacin de polimorfismo y encriptarlos nuevamente con el sistema de cifrado predeterminado del archivo, algunos de los mtodos de encriptado de estos ficheros son CryptApi, RC4, MD5, SHA, etc. Otro de los mtodos que se vale un troyano para protegerse son las llamadas tcnicas anti-debugger (Antidepuracin), estas consisten en limitar o anular la capacidad de depuracin del archivo infectado o la totalidad del Informe Troyanos 12

sistema; la depuracin es el proceso de reparacin de errores de un archivo o sistemas la cual se vera afectada con esta accin del troyano o sus partes. Modificando offset's del archivo esto consiste en modificar partes binarias del cdigo de un programa con cdigos aleatorios manteniendo o cambiando el tamao del archivo final conservando su funcionalidad los offsets son zonas modificables como por ejemplo el fin de un archivo. Killers: Herramientas mata proceso de forma al parecer vigente en la actualidad se encuentra Av-firewall Killer, que ha sido testiado con Nod32, Kaspersky, Norton, Ad-Aware, Ccleaner, System Mechanic, Algunos firewall y ms y funciono exitosamente y denegando el levantamiento de los procesos de estos programas.

Para mantenerse oculto y a salvo, un troyano recurrir a muchas tcnicas, las cuales le aseguraran o aumentaran sus posibilidades de residencia permanente. Existen una gran cantidad de tcnicas que ocupan algunos troyanos a continuacin se mencionan algunas de ellas: *Anti-Debugger *Anti-Sandboxie *Anti-virtualpc *Realig Sections Informe Troyanos 13

*Anti-IDA Debugger *Anti-CWSandbox *Anti-Norman Sandbox *Anti-Anubis *OEP Stolen Bytes (Enhanced) *Checksum CRC *Anti-OllyDbg *Anti-ThreatExpert *Anti-JoeBox *Anti-VMWARE *Anti-VirtualBOX *Anti-Debugger2 *Overlay support (EOF Data) *Sleep Sec. Run program after x Seconds. *Exceptions (0 to 1000) *Get All Privileges *Change Icon (Enhanced) *OEP Stolen Bytes (Enhanced) *Anti Virtual Machine (Max) = Heuristic *Anti-SunBelt Sandbox *Anti Deep-Freeze *Anti-Returnil Vistual System *Anti-Malware Defender *Anti-Wine(Linux) *Anti-Xen Virtual Machine *Password Protect *Execute With Command Line (parameters) *UnHook All API *Anti-Attach Loader (Protect RDG Loder) *Execute as NT AUTHORITY\SYSTEM

Informe Troyanos

14

Ingeniera social y troyanos

La Ingeniera social es parte importante de un virus troyano y forma parte de en el proceso de infeccin y vida de un virus o programa troyano y es parte importante en el xito de infeccin de este objeto. Es por ello que se ara mencin a ello a continuacin: En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales (mejor conocidos como Script Kiddies o Defaces, aunque el termino correcto es cracker) para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios son el eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono o Internet para engaar a la gente, pretendiendo, por ejemplo, ser un empleado de algn banco o alguna otra empresa, un compaero de trabajo, un tcnico o un cliente. Va Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos de acceso a pginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando as a revelar informacin sensible, o a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informticos. Informe Troyanos 15

Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario llevndolo a pensar que un administrador del sistema esta solicitando una contrasea para varios propsitos legtimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseas o informacin de tarjeta de crdito, con el motivo de "crear una cuenta", "reactivar una configuracin", u otra operacin benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen contraseas u otra informacin sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informticos raramente (o nunca) necesitan saber la contrasea de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podra no ser necesario en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estacin Waterloo de Londres revel sus contraseas a cambio de un bolgrafo barato. Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "intimas" de alguna persona famosa o algn programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros e-mails maliciosos llevaron a los proveedores de software a deshabilitar la ejecucin automtica de archivos adjuntos, los usuarios deben activar esos archivos de forma explcita para que ocurra una accin maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniera social tambin se aplica al acto de manipulacin cara a cara para obtener acceso a los sistemas computacionales. La principal defensa contra la ingeniera social es educar y entrenar a los usuarios en el uso de polticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick. Segn su opinin, la ingeniera social se basa en estos cuatro principios: 1. 2. 3. 4. Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. No nos gusta decir No. A todos nos gusta que nos alaben.

Qu es la Cuarentena?
La Cuarentena es un rea especial y protegida de NAV. Los archivos colocados en Cuarentena no pueden interactuar con el resto del sistema. Si los archivos en Cuarentena estn infectados, entonces el virus, gusano o caballo de Troya no pueden propagarse. Esto significa que si un archivo infectado forma parte de un programa legtimo, entonces dicho programa no tendr acceso al archivo en cuarentena. El programa puede o no funcionar correctamente, dependiendo de la funcin del archivo colocado en cuarentena. Desde la Cuarentena, se puede enviar un archivo directamente al centro de revisin del antivirus instalado a travs de la internet, utilizando la opcin Analizar y enviar. El centro de revisin del antivirus determinar si el archivo enviado est infectado. Si el archivo no est infectado, se Informe Troyanos 16

le enviar un reporte de los resultados. Si se descubre un nuevo virus en su envo, entonces crearn y le enviarn archivos de definiciones de virus actualizadas, para detectar y eliminar el nuevo virus en su equipo. Adems de los archivos en cuarentena, se almacenan otros dos grupos de elementos:

Elementos de respaldo. Para seguridad de los datos, se est configurado de forma predeterminada para realizar una copia de respaldo de un archivo antes de intentar repararlo. Estas copias de respaldo se almacenan en Cuarentena. Despus de verificado el archivo reparado, puede borrar el elemento infectado de Cuarentena. Los archivos enviados para su anlisis se encuentran aislados. Despus de recibir los resultados del anlisis.

Cmo se detecta un caballo de Troya?

Detectar un caballo de Troya es relativamente fcil si provees a tu sistema de los mejores servicios de seguridad, si no detectarlo puede ser una tarea realmente difcil. La mayor parte de los mtodos de deteccin descansan sobre los principios llamados "object reconciliation", que trabajan de la siguiente forma: "objects" son los ficheros y directorios, "reconciliation" es el proceso de comparacin de esos objetos antes y despus de una fecha determinada.

Este mtodo es simple y consiste en testear la integridad de los ficheros para as detectar cambios en la informacin que contenan. Se examina el rango de integridad de los diferentes ficheros de forma primitiva pero sofisticada. Por ejemplo: tu puedes testear la integridad de cualquier fichero siguiendo alguno de estos casos: - La ltima fecha ha sido modificada - La fecha de creacin del fichero - Tamao del fichero. Desafortunadamente, todos estos mtodos son insuficientes. Cada vez que un fichero es alterado sus variables cambian. De cualquier manera esa fecha puede ser manipulada fcilmente. Examinar las manipulaciones en los programas del PC, es muy difcil? Cambiar la hora del sistema, editar ficheros y archivar ficheros son acciones que cambian la hora. Por esa razn es difcil comparar ficheros tomando en cuenta la fecha. Otra forma de chequear la integridad de un fichero es examinando su tamao. De cualquier forma ese mtodo es extremadamente irrealizable porque el tamao es un valor fcilmente modificable. Es fcil comenzar un fichero con tamao de 1,024KB y terminarlo con el mismo tamao, incluso despus de editarlo. Aun as, este proceso es ms complejo cuando se alteran ficheros binarios. Aunque, estos ficheros casi siempre implican la inclusin de funciones especiales de libreras sin las cuales el programa no funcionara. Por lo tanto manteniendo las funciones indispensables del programa , se puede encontrar la ubicacin del cdigo del caballo de Troya.

Informe Troyanos

17

El caso ms fcil es aquel en el que el caballo de Troya modifica ficheros clave en el sistema (por ejemplo csh en UNIX o el command.com en DOS). Estos ficheros fueron instalados inicialmente en el PC y tienen una fecha y tamao determinados. Por tanto es fcil comprobar si han sido modificados. Los programadores de caballo de Troya saben esto. Por lo tanto su trabajo es examinar el cdigo fuente de esos ficheros y comprobar que hay en ellos que sea imprescindible, los crackes podran borrar comentarios y texto que no fuese esencial en el fichero, introducir el cdigo desautorizado y recompilar el fichero. El cracker examina el tamao del fichero, si es ms o menos largo se pueden comenzar el proceso otra vez hasta que el tamao coincida con el original. Esto hace pensar que no hay ninguna tcnica suficiente. Pero existe una tcnica bastante potente, que implica el uso de distintos algoritmos que calculan los "digital fingerprint". Esta tcnica est basada en una de las implementaciones ms populares de algoritmos de seguridad: el sistema llamado MD5. - SHA(The Nist Secure Hash Algorithm): Es muy fuerte y fue usado en sistemas de defensa. Por ejemplo el Departamento de Defensa exiga a todos los controladores de sistemas DoD que adquiriesen el Multilevel Information System Security Initiative (MISSI) y que slo usase productos "limpiados" con l. SHA es usado en uno de los productos de bsqueda de caballos de Troya llamado Fortezza card, es una tarjeta PCMCIA que proporciona una capa extra de seguridad en los envos de email desde DoD. MD5 pertenece a una familia de funciones llamadas " message digest algorithms". El sistema MD5 est definido en RFC 1321. Cuando se ejecuta un fichero a travs de MD5, sale un "fingerprint" con un valor de 32-caracteres. Parecido a esto: 2d50b2bffb5357fcch48g54g84g18784 Muchos sitios web que distribuyen software UNIX usan MD5 para generar fingerprint digitales para sus productos. Luego el navegador puede examinar el fingerprint original de cada fichero. Si descargas un fichero desde un servidor y encuentras un ficngerprint digital diferente hay un 99.9999% de que haya habido un cambio en el contenido del fichero. Algunos programas de seguridad extrema usan algoritmos MD4 y MD5. Uno de esos programas son S/Key de Bell Laboratories. S/Key genera un password y es usada por logins remotos. S/Key ofrece seguridad avanzada para sesiones remotas (del tipo de conexiones Telnet o Rlogin). Sin o con MD5buscar caballos de Troya es un proceso complejo. Es verdad que en una estacin de trabajo con recursos limitados, tcnicamente se pueden comparar a mano cada fichero y directorio. A pesar de ello en grandes estaciones de trabajo en red eso es simplemente imposible. Existen varios productos que han sido desarrollados para usar "object reconciliation". El producto ms reclamado es una aplicacin de nombre "TRIPWIRE" Tripwire Fue escrito en 1992, es una herramienta externa sobre la integridad de ficheros. Est bien definido, es fcilmente entendible y est implementado con una mnima dificultad. El sistema lee el entorno desde un fichero de configuracin. Ese fichero contiene todas las variables de los ficheros. Este sistema puede ser bastante penetrante. Por ejemplo: puedes especificar que cambios pueden ser realizados en Informe Troyanos 18

los ficheros y Tripwire mantendr un fichero de los cambios. Este fichero original se guarda sin case de datos, simplemente en ASCII, y se accede cuando necesita ser calculado un posible cambio. Las funciones hash incluidas en la distribucin son: - CRC 32: este mtodo hash es llamado chequeo cclico redundante. CRC general es usado para chequear la integridad de los ficheros empezando por la transmisin. Al comienzo de la transmisin el fichero est dividido en pequeas partes las cuales tienen el tamao predeterminado. Para cada parte se genera un valor criptogrfico justo antes de ser enviado. Cuando cada parte llega a su destino el receptor recalcula el valor criptogrfico. Si los dos valores coinciden no se ha producido ningn error, sino significa que los datos han sufrido una modificacin. CRC32 es una mejora de CRC, est en 32 bit y a menudo se usa para chequear la integridad de ficheros. ATP (The anti-tampering program) ATP trabaja como Tripwire: asume que tienes una configuracin perfecta y limpia y genera unos nmeros de chequeo cobre el entorno, los cuales guardar para comprobar los cambios que pueden aparecer en los ficheros.

Que extensiones atacan los virus troyanos

Al hablar de las extensiones que ataca un virus troyano tienen a confundirse las extensiones de propagacin he infeccin del troyano con las extensiones en las cuales reside para su ejecucin vale destacar que generalmente estas son distintas pero siempre cuando de virus y troyanos se trata hay excepciones a casi cualquier regla u estndar. Algunas de las extensiones por las cuales el virus se distribuye son: MP3, BMP, WMV, EXE, BAT. (Por lo general extensiones que pueden ser leidas o ejecutas). Algunas de las extensiones por las cuales el troyano funciona de manera parasitaria o indepensiente son: PIF, SRC, DLL, EXE, BAT,VBS, COM. Cabe destacar que los archivos por los cuales comunmente se distribuye son archivos de datos (tales como: DOC, TXT, XLS, RTF, MDB, etc.) y funciona por accion residente, independiente o parasitaria en archivo de tipo ejecutables (tales como EXE, COM, BAT, DLL, etc.).

Listado de virus troyanos

Troyanos actuales disponibles para descarga, configuracin y envi (Actualizado: 07/03/09): Shark 3.1 Fixed Bifrost 1.2b Private Build Bifrost 1.2.1 Unpacked Informe Troyanos 19

Bifrost 1.2.1 en Espaol Bifrost 1.2b Bifrost 1.2d --RCBF V1.3.3 Biodox v1.0 OpenSource Edition Flux V1.0.1 Poison Ivy 2.1.4 version privada Poison Ivy 2.3.2 Poison Ivy 2.3.0 Poison Ivy 2.3.2 Mod - Bypass Connection Limit Jumper trojan 3.7 Spy Net RAT 0.1 --Spy Net RAT 0.2 Spy Net RAT 0.3 EN Spy-Net RAT 1.0 Turkojan 4 DarkLabel 1.0 B4 Bandook 1.35 Troyano bancario PaiNRAT 0.1 Beta --Pinch 3 Pro Builder Octopus v0.1 Demo Breaksoft Troyanos histricos:

Nombre
[editar]
Back Orifice Back Orifice 2000 Bifrose NetBus Subseven RemoteHak Abacab Downloader-EV Pest Trap Poison Ivy

Alias del autor

[editar]
Sir Dystic Dildog KSV Carl-Fredrik Neikter MobMan Hakka *** *** *** ***

Creacin
[editar]
1998 1999 2004 1997 1999 *** *** 2006 2005 2007 Informe Troyanos

Comentarios [editar]
Troyano de puerta trasera Sucesor de Back Orifice Destructivo troyano TCP Troyano TCP Troyano TCP Troyano TCP Abware.F *** *** *** 20

Antivirus para Troyanos

Existen software anti-troyanos dedicados y no dedicados ello quiere decir que existen software dedicas exclusivamente a la bsqueda y eliminacin de troyanos y otros no tantos llamados genricos. Listado de Antivirus genricos (ello quiere decir que no buscan exclusivamente la deteccin de archivos troyanos): Eset Nod32 Panda Software McAfee Enterprise

Symantec Norton Antivirus

Kaspersky

Avast

Informe Troyanos

21

Las herramientas anti troyanas no son muy extendidas, o muy poco conocidas pero no por ello menos eficientes Algunos Anti-troyanos son: BoDetect 3.5, Trojan Remover 6.7.8, Tauscan 1.66 build 1212 , The Cleaner Professional 5.2, TrojanHunter 4.7, asquared Anti-Malware 4.0.0.73, Trojan Defense Suite (TDS-3) 3.2.1 , DieHard Trojan Cleaner 1.0, Anti-Trojan Shield 1.4.0.15, Anti-Trojan Shield 1.4.0.15, etc.

Porque no se infecta un antivirus

Un antivirus no se infecta debido a que posee herramientas para la verificacin de integridad de el mismo, es decir verifica datos como su timeofdat y otras variables de su archivo, tambin verifica la integridad de sus archivos a travs de firmas digitales en sus archivos, hash deacuerdo a las variables y propiedades, tales del archivo(generalmente a travs de la encriptacin con mtodos como md5,SHA-1, Tiger, u otro), verificas sus variables y configuraciones de sistema etc. Que por lo general son iniciadas al iniciar el ordenador. Verifica sus EOF y procede a su depuracin generalmente.

Recomendaciones y prevencin
1.- Tener un antivirus actualizado al dia (hay muchos gratuitos). 2.- Actualizar nuestro sistema operativo y programas de sus posibles vulnerabilidades criticas, estas actualizaciones realizarlas de los sitios oficiales, nunca por email desconfi de estas actualizaciones. 3.- En su gestor de correo electronico desactive la vista previa. 4.- Ver los correos electronico en formato texto evitara algun susto, muchos correos en formato html pueden tener codigo malignos. 5.- Si recibe un correo sospechoso o no deseado, desconfie siempre de el. 6.- Cuando reciba un mail con un fichero adjunto no lo ejecute hasta que no le pase un antivirus actualizado, si el adjunto es de un correo de un desconocido tenga mas precaucin (lo recomendable es borrarlo). 7.- Muchos correos simulan ser actualizaciones, desconfi tambin de ellos. En la actualidad pocas casas de software hacen esto, lo mas logico es que le manden un direccin oficial para que se descargue la actualizacin. 8.- Hay correos que simulan ser enviados por nuestros amigos (su maquina puede estar infectada y manda correos con virus a su libreta de direcciones), si este mail no lo esperaba o hace referencia a temas que desconoce no se fie, contacte primero con su amigo para poder verificar este envio. 9.- Tener un gestos de correo con funciones anti-spamn o con filtros/reglas para que borre directamente del servidor el correo no deseado o que sobrepasa de ciertos tamanos. Informe Troyanos 22

10.- Estar al dia o si ve noticias referentes a un nuevo "brote" de algun virus muy peligroso ponga un poco de atencion para conocer su metodo de actuacion de esta forma puede evitar que la cadena sea mas grande y librarse de estos parasitos que inundan la red. 11.- Si puede instalar un cortafuegos en su maquina tambien evitara algun gusano que usa tecnicas de vulnerabilidades de sistemas. 12.- Hay virus que tambien usan como metodo de contagio los programas P2P, tenga cuidado con lo que se baja y siempre verifique los archivos antes de ejecutarlos.

Glosario de Trminos
Acceso remoto: Accin de usar una mquina a la que no tenemos acceso fsico mediante una utilidad o programa para este fin. El motivo ms comn para realizar esta accin es administrar los recursos de un sistema remoto. Esta mecnica no es adecuada, y por lo tanto no debe ser confundida con, compartir archivos o transferirlos entre sistemas. La mecnica ms comn para esta actividad es mediate una VPN (Virtual Private Network o Red Privada Virtual). Entre los programas usados para este fin tenemos: RealVNC, TightVNC, PCAnywhere y la opcin de "escritorio remoto" del NetMeeting. ActiveX: Tecnologa diseada por Microsoft para el intercambio de informacin entre dos aplicaciones diferentes. Surgi de la combinacin de dos tecnologas previas, OLE (Object Linking and Embedding - Insercin y vinculacin de objetos) y COM (Common Object Model - Simulacin de objetos comunes). Esta tecnologa tiene varios usos prcticos, entre ellos, los ActiveX Controls (Controles ActiveX). Adjunto: Archivo o fichero vinculado a un correo electrnico. Puede ser un texto, un grfico, un sonido o un programa. Administrador: 1. Persona que se encarga de la gestin de equipos y redes en una determinada organizacin. 2. Usuario principal de Windows en los sistemas basados en el ncleo NT, entre los que encontramos Windows 2000, Windows XP y Windows 2003. Este usuario tiene, por defecto, los ms altos privilegios a los que una persona puede acceder en condiciones normales. Adware: 1. Programa que es licenciado al usuario a condicin de que acepte la publicidad que viene incorporada en vez de pagar por el. Informe Troyanos 23

2. Tipo de spyware que recolecta informacin del usuario sin notificacin previa a fin de mostrar publicidad especficamente relacionada con determinadas actividades. Esta publicidad suele mostrarse al usuario mediante el uso de un navegador. La segunda acepcin es la distorsin que diversas empresas hicieron de un sistema legtimo de distribucin de software de forma gratuita. Entre los primeros programas que popularizaron esta mecnica, la original no distorsionada, tenemos al navegador Opera y al gestor de desargas GetRight. Agujero de Seguridad: Un agujero de seguridad, o una vulnerabilidad, es un error en una aplicacin o sistema operativo por el cual se compromete de alguna manera la seguridad del equipo donde se est ejecutando dicho programa vulnerable. Si un usuario malicioso se aprovecha de un agujero de seguridad, puede causar graves daos en un equipo, dependiendo el alcance de la vulnerabilidad. Alpha: 1. Una de las primeras versiones de un programa antes de alcanzar el nivel estable de lanzamiento al pblico en general. Las versiones alpha (alfa) de los programas no deben ser usadas por personas que no sepan mucho del sistema operativo y del programa en si mismo ya que pueden ocasionar comportamientos extraos e impredecibles. 2. Evolucin de la sere VAX de DEC, su desarrollo di paso a los SPARC Analisis Heuristico: Sistema de anlisis basado en la suposicin de comportamientos en vez de contrastar fragmentos de cdigo con patrones previamente conocidos como nocivos. El anlisis heurstico aplicado a antivirus busca nuevas especies de virus que se comporten de forma no preestudiada en especies anteriormente encontradas, permitiendo as, detectar nuevos virus antes de que se expandan y distribuyan por las redes. Esta mecnica es til para prevenir infecciones desconocidas, sin embargo, debe usarse con cuidado ya que aumenta las falsas alrmas de los antivirus. Como usuario, al encontrar un aviso de un archivo infectado con un tipo de virus desconocido o nuevo, debemos enviarlo a la empresa del antivirus para que lo analicen adecuadamente y si realmente es un virus, desarrollen la forma de limpiarlo. Antirastreo: (En ingls Anti-debug/Anti-debugger) Se trata del conjunto de tcnicas que los diseadores de virus emplean para evitar ser investigados. Anti-Spyware: Es un programa desarrollado para el mbito de la seguridad informtica, el cual protege a los usuarios de programas maliciosos, tales como (Spywares, Adwares, Hijackers, entre otros Malwares), que voluntaria o involuntariamente se instalan en la computadora, detectndolos y eliminndolos de la misma. Informe Troyanos 24

Antivirus: Los antivirus son programas cuya funcin es detectar y eliminar virus informticos y otros programas maliciosos (a veces denominados malware). Bsicamente, un antivirus compara el cdigo de cada archivo con una base de datos de los cdigos (tambin conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla peridicamente a fin de evitar que un virus nuevo no sea detectado. Tambin se les ha agregado funciones avanzadas, como la bsqueda de comportamientos tpicos de virus (tcnica conocida como heurstica) o la verificacin contra virus en redes de computadores. Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy comn que tengan componentes que revisen los adjuntos de los correos electrnicos salientes y entrantes, as como los scripts y programas que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript). Archivo Hosts: Es un archivo de texto que se utiliza para resolver nombres de dominio en direcciones IP de forma local, es decir, una libreta de direcciones. Fue concebido en tiempos en que slo haba unos pocos dominios que se enviaban en una lista (archivo hosts) todos ellos con sus respectivas Ips y para resolver nombres de dominio en redes locales (LAN). ASCII: (American Standard Code for Information Interchange) Estndar Americano para el intercambio de informacin electrnica. Normativa por la cual se estandariza la codificacin de caracteres alfanumricos. Cdigo utilizado por los ordenadores para representar los caracteres ms habituales, como las letras, los nmeros, los signos de puntuacin o los caracteres de control. El conjunto universal cuenta con 128 caracteres representadas por un dgito binario de 7 posiciones. Auditora: Proceso sistemtico, independiente y documentado para evaluar de manera objetiva las prestaciones de un sistema con el fin de determinar e que se cumplen los requisitos previamente especificados por la norma, poltica o regla contra la que se audita. Autenticacin: A) Procedimiento de comprobacin de la identidad de un usuario. B) Servicio de seguridad que se puede referir al origen de los datos o a una entidad homloga. Garantiza que el origen de datos, o entidad homloga, son quienes afirman ser (ISO 7498-2). Backdoor: Puerta trasera. Permite a un usuario aislado ingresar sin autorizacin a otros sistemas por medio de la instalacin de un sistema de acceso considerado virus, permite revisar datos, borrar archivos, infectar con otro tipo de virus, todo esto sin que el usuario este enterado de lo que sucede en su ordenador. BHO: (Browser Helper Objects) El usuario descarga un software malicioso en apariencia inofensivo que se instala (el usuario acepta un largo contrato a travs del cual permite al atacante efectuar cualquier accin en su ordenador sin opcin a reclamar) en su propio sistema.

Informe Troyanos

25

Una vez ha instalado la aplicacin, el programa puede detectar, analizar y enviar de vuelta al fabricante (atacante) toda la informacin que se procese en nuestro explorador. Bit: Binary digit) Es la unidad ms pequea de la informacin digital con la que trabajan los sistemas informticos, puede tener dos estados "0" o "1". La unin de 8 bits da lugar a un byte. Blindaje: (En ings Armouring) Tcnica de autoproteccin utilizada por algunos virus para impedir que los programas de depuracin puedan abrir los ficheros infectados y analizar su contenido. Bot: Tipo de troyano con el que el atacante se hace con el control de nuestro ordenador, habitualmente para atacar a otros ordenadores (lanzar ataques de denegacin de servicios en forma distribuida, enviar correo electrnico no solicitado, etc.) Los bots son propagados a travs de Internet empleando un gusano como transporte, envos masivos de ellos a travs de correo electrnico o aprovechando vulnerabilidades en navegadores. Browser Hijackers: (Secuestradores del Navegador) Son los programas que procuran cambiar la pagina de inicio y bsqueda y/o otros ajustes del navegador. Estos pueden ser instalados en el sistema sin nuestro consentimiento al visitar ciertos sitos web mediante controles ActiveX o bien ser incluidos por un troyano. Bfer: rea de la memoria que se utiliza para almacenar datos temporalmente durante una sesin de trabajo. Bug: Un error de software (computer bug en ingls), es el resultado de una falla de programacin introducida en el proceso de creacin de programas de ordenador o computadora (software). El trmino bug fue acreditado errneamente a Grace Murray Hopper, una pionera en la historia de la computacin, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecnicos por el ao 1870 Byte: Es una unidad que mide la cantidad de informacin, tamao y capacidad de almacenamiento. Un Byte, equivale a 8 Bits. Certificado digital: Documento digital mediante un sistema seguro de claves administrado por una tercera parte de confianza, la autoridad de certificacin, que permite a las partes tener confianza en las transacciones en Internet, garantizando la identidad de su poseedor en Internet.Permite realizar un conjunto de acciones de forma segura y con validez legal: firmar documentos, entrar en lugares restringidos, identificarse frente la administracin, etc. Cdigo: Contenido de los ficheros de un virus -cdigo del virus, escrito en un determinado lenguaje de programacin-. Tambin hace referencia a los sistemas de representacin de informacin.En sentido estricto, puede definirse como Informe Troyanos 26

conjunto de normas sistemticas que regulan unitariamente una materia determinada, o combinacin de signos que tiene un determinado valor dentro de un sistema establecido. Cdigo malicioso: (En ingls Malware) Software capaz de realizar un proceso no autorizado sobre un sistema con un deliberado propsito de ser perjudicial. Virus, gusanos, troyanos son algunos ejemplos de cdigo malintencionado. Contrasea: Una contrasea (password en ingls) o clave, es una forma de autenticacin que utiliza una informacin secreta para controlar el acceso hacia algn recurso. La contrasea normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. Aquellos que desean acceder a la informacin se les solicita una clave, si conocen o no conocen la contrasea, se concede o se niega el acceso a la informacin segn sea el caso. Cortafuegos: Se trata de un mecanismo de proteccin, el cual puede ser construido mediante software, hardware o ambos. Su funcin es proteger un equipo o conjunto de ellos mediante el anlisis de paquetes de datos entrantes y salientes. Existen Cortafuegos que trabajan directamente a nivel de puertos de comunicaciones, permitiendole al usuario autorizar o no la utilizacin de stos por parte de aplicaciones o servicios. Otros, utilizan reglas para determinar que informacin debe transitar desde y hacia el equipo en cuestin. Actualmente es considerado como uno de los medios mas seguros para la proteccin de equipos dada su alta dificultad de evasin por parte del atacante. Cracker: Un cracker es alguien que viola la seguridad de un sistema informtico de forma similar a como lo hara un hacker, slo que a diferencia de este ltimo, el cracker realiza la intrusin con fines de beneficio personal o para hacer dao a su objetivo. El trmino deriva de la expresion "criminal hacker", y fue creado alrededor de 1985 por contraposicion al termino hacker, en defensa de estos ltimos por el uso incorrecto del trmino. Se considera que la actividad de esta clase de cracker es daina e ilegal. Tambin se denomina cracker a quien disea o programa cracks informticos, que sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser daino para el usuario del mismo. Esta acepcin est ms cercana al concepto de hacker en cuanto al inters por entender el funcionamiento del programa o hardware, y la adecuacin a sus necesidades particulares, generalmente desarrolladas mediante ingeniera inversa. No puede considerarse que la actividad de esta clase de cracker sea ilegal si ha obtenido el software o harware legtimamente, aunque la distribucin de los cracks pudiera serlo. Criptografa: a) Diseo de procedimientos para cifrar los mensajes, de forma que si son interceptados no se pueda saber su contenido. Informe Troyanos 27

b) Disciplina que estudia los principios, mtodos y medios de transformar los datos con objeto de ocultar la informacin contenida en los mismos, detectar su modificacin no autorizada y prevenir su uso no permitido. Cuarentena: Una funcin de proteccin de nuestro ordenador que nos permite dejar sin efecto a archivos que puedan estar infectados, hasta que nuestros sistemas de seguridad tengan una nueva actualizacin para poder desinfectarlos. DDoS: (En ingls DDoS, Distributed Denial-of-Service) No se debe confundir con DOS (Disk Operating System). Un ataque de Negacin de servicio (DDoS) no es un virus pero es un mtodo que utilizan los hackers para evitar o negar el acceso de usuarios legtimo a un equipo. Los ataques DDoS se ejecutan tpicamente usando herramientas DDoS que envan muchos paquetes con peticiones a un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor, haciendo el sistema inutilizable. Cualquier sistema que est conectado a Internet y equipado con servicios de red TCP est expuesto a un ataque. Por ejemplo, imagnese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas contesta al telfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita que clientes legtimos ordenen una pizza porque la lnea telefnica est ocupada. Esto es una negacin de servicio, y es anlogo a un ataque del DDoS. Pasado a la informtica se refiere a cuando una computadora o un programa, dejan de responder al servicio solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultneos con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturndolo), o se produce algn tipo de sobrecarga o desbordamiento de bfer por un exceso de datos a procesar y el programa deja de responder. Defensa proactiva: Nueva tecnologa implementada en Antivirus como Kaspersky. La defensa proactiva se basa en comportamiento, una vez que ni las firmas, ni la capacidad heurstica han detectado nada. Tiene cuatro componentes: 1. 2. 3. 4. Previene comportamientos tipo Rootkits, eylogger. Control de aplicaciones. Ver si cambian, se ejecutan en segundo planto... Control de macros de office Vigilante del registro que controla los cambios que hay en claves importantes del registro.

*Nota* La heurstica se basa en firmas y en que un nuevo virus se parece a uno anterior. Informe Troyanos 28

Denegacin de servicio: (En ingls DDoS, Distributed Denial-of-Service) No se debe confundir con DOS (Disk Operating System). Un ataque de Negacin de servicio (DDoS) no es un virus pero es un mtodo que utilizan los hackers para evitar o negar el acceso de usuarios legtimo a un equipo. Los ataques DDoS se ejecutan tpicamente usando herramientas DDoS que envan muchos paquetes con peticiones a un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor, haciendo el sistema inutilizable. Cualquier sistema que est conectado a Internet y equipado con servicios de red TCP est expuesto a un ataque. Por ejemplo, imagnese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas contesta al telfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita que clientes legtimos ordenen una pizza porque la lnea telefnica est ocupada. Esto es una negacin de servicio, y es anlogo a un ataque del DDoS. Pasado a la informtica se refiere a cuando una computadora o un programa, dejan de responder al servicio solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultneos con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturndolo), o se produce algn tipo de sobrecarga o desbordamiento de bfer por un exceso de datos a procesar y el programa deja de responder. Direccin IP: El Protocolo de Internet (IP, de sus siglas en ingls Internet Protocol) es un protocolo no orientado a conexin usado tanto por el origen como por el destino para la comunicacin de datos a travs de una red de paquetes conmutados. Los datos en una red basada en IP son enviados en bloques conocidos como paquetes o datagramas (en el protocolo IP estos trminos se suelen usar indistintamente). En particular, en IP no se necesita ninguna configuracin antes de que un equipo intente enviar paquetes a otro con el que no se haba comunicado antes. Archivo DDL: Ejecutan acciones o rutinas de uso frecuente en Windows, y un mismo archivo DLL puede ser usado por varios programas al mismo tiempo (como el Kernel32.dll). Por ejemplo el procesador de palabras, la hoja de clculo y otros programas pueden usar un mismo archivo DLL para desplegar el cuadro dilogo Abrir, cada vez que usted usa el comando Abrir. Gracias a ese esquema modular, hay muchas funciones que los creadores de software no tienen que incluir en sus programas; cuando un programa necesita enviar un documento a la impresora, simplemente llama el archivo DLL respectivo para que este cargue y ejecute la tarea. De esa forma, los programas son ms pequeos y se ahorra espacio en el disco duro. El hecho de que estos mdulos de rutinas (Archivos DLL) no sean parte de programas, sino que se guardan como archivos independientes, tambin optimiza el uso de la memoria RAM. Un DLL se carga en la memoria RAM y se ejecuta nicamente cuando un programa lo llama para que realice una funcin, mientras que otros mdulos de rutinas que s hacen parte del programa permanecen cargados en la memoria mientras trabaja con un programa. Windows incluye muchos archivos DLL que son usados por otros programas (la mayora en la carpeta Informe Troyanos 29

c:\windows\system). Pero algunos programas tambin instalan sus propios archivos DLL (y generalmente los colocan en la carpeta del disco duro en la que est guardado dicho programa). DMA: (Direct Memory Access) Permite a cierto tipo de componentes de ordenador acceder a la memoria del sistema para leer o escribir independientemente de la CPU principal. Es una caracterstica esencial en todos los ordenadores modernos, ya que permite a dispositivos de diferentes velocidades comunicarse sin someter a la CPU a una carga masiva de interrupciones. Dropper: Llamado cuentagotas. Es un fichero que al ejecutarse "gotea" o dispersa un virus. Un fichero "dropper" puede crear un virus e infectar el ordenador al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectar un virus, porque el cdigo viral no ha sido creado todava. El virus se crea en el momento que se ejecuta el "dropper". EICAR: (European Institute of Computer Anti-Virus Research)Institucin informtica que ha creado un mtodo para evaluar la fiabilidad y el comportamiento de los antivirus: el test EICAR. Ejecutable: Es el trmino genrico que se utiliza para definir a los programas o aplicaciones. Se utiliza sobre todo cuando se habla de ficheros, para diferenciarlos de aquellos que no se pueden ejecutar por s mismos. Un ejemplo de fichero que no se puede ejecutar por s mismo es un documento, una imagen o un fichero de sonido. Para poder abrir, visualizar o reproducir este tipo de ficheros se necesita un ejecutable. Los ejecutables tienen las extensiones "EXE" Y "COM". Encriptar: Es la accin de proteger archivos expresando su contenido en un lenguaje cifrado. Los lenguajes cifrados simples consisten, por ejemplo, en la sustitucin de letras por nmeros mediante complejos algoritmos. El proceso inverso se denomina desencriptar (decrypt). Los datos encriptados suelen llamarse "texto cifrado". Ensambladores: En un lenguaje ASSEMBLER (ensamblador o compiladores) toman las instrucciones, las colocan una detrs de otra en lenguaje mquina, calculan las direcciones relativas de cada campo o etiqueta y dan como resultado un programa en cdigo mquina que se llama cdigo objeto. Este programa posteriormente se carga en una posicin de memoria de la mquina y ese cargador le suma a las direcciones relativas el valor de la direccin de carga con lo cual tenemos un programa listo para ejecutarse, a este programa se le llama absoluto. Todos los ensambladores que existen para el Spectrum, dan como resultado un programa absoluto. Falso Positivo: Se le llama as cuando un programa Anti-Virus, Anti-Spyware o similar, detecta un archivo legitimo como infectado. Los creadores de Malwares cada da utilizan procesos muy sofisticados para que las aplicaciones puedan fallar. Para ms informacin puede consultarse este enlace: Fichero: Hace referencia a la informacin que se encuentra en un soporte de almacenamiento informtico. Es el trabajo real que realiza cada usuario (textos, imgenes, bases de datos, hojas de clculo,...,etc.). Cada uno de ellos se caracteriza Informe Troyanos 30

por tener un nombre identificativo. El nombre puede estar seguido de un punto y una extensin, compuesta por tres caracteres que identifican el tipo de fichero del que se trata. Algunas extensiones comunes son: EXE y COM (ficheros ejecutables, programas), TXT y DOC (ficheros de texto),..., etc. Fichero binario: Es una sucesin de bytes, uno tras otro, que puede almacenar cualquier tipo de informacin (texto, imgenes...y cualquier tipo de datos) . Estan formados por unos y ceros. Fichero de proceso por lotes (.bat o batch): Los ficheros de proceso por lotes o ficheros Batch se caracterizan por tener extensin BAT. Son ficheros de texto que contienen comandos de MS/DOS, uno por cada lnea escrita. Cuando se ejecuta este tipo de ficheros, cada una de las lneas en l escritas se va ejecutando de forma secuencial. Un fichero muy importante de este tipo es el AUTOEXEC.BAT, el cual se encuentra siempre en la raz del disco duro y se ejecuta automticamente cuando el ordenador arranca, cargando una serie de controladores y programas. Ficheros SCR: Ficheros de Script cuya extensin es SCR y sirven para determinar los parmetros ('condiciones') con los que se deben ejecutar unos determinados programas. Permiten iniciar un programa con unas pautas fijadas de antemano. Firewall: Un cortafuegos (o firewall en ingls), es un elemento de hardware o software utilizado en las redes para prevenir algunos tipos de comunicaciones prohibidas por las polticas de red, las cuales se fundamentan en las necesidades del usuario. La configuracin correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeos pueden dejar a un cortafuego sin valor como herramienta de seguridad. Firma electrnica: Cdigo encriptado que se usa en las redes de comunicaciones para autenticar la identidad del usuario emisor y la propiedad de un documento en circulacin. Hacker: Hacker (del ingls hack, recortar), tambin conocidos como "white hats" (sombreros blancos) o "black hats" (sombreros negros), segn una clasificacin de sus acciones (segn sean slo destructivas o no, etc.). Es el neologismo utilizado para referirse a un experto (ver: Gur) en varias o alguna rama tcnica relacionada con las Tecnologas de la Informacin y las Telecomunicaciones: programacin, redes de comunicaciones, sistemas operativos, hardware de red/voz, etc. El glider, emblema hackerSu entendimiento es ms sofisticado y profundo respecto a los sistemas informticos, ya sea de tipo hardware o software. Se suele llamar hackeo y hackear a las obras propias de un hacker. Hijacker: (Secuestradores del Navegador) es el software encargado de cambiar la pagina de inicio de cualquier navegador, no dejando al usuario la posibilidad de cambiarlo. Hoaxes: La palabra hoax viene del ingls y tiene dos interpretaciones. Por un lado, puede ser utilizado como un verbo que significa embaucar; en cambio, si se utiliza como sustantivo, se traduce como engao, bulo o broma de mal gusto.

Informe Troyanos

31

Ingeniera Social: Son tcnicas basadas en engaos que se emplean para dirigir la conducta de una persona u obtener informacin sensible. El afectado es inducido a actuar de determinada forma (pulsar en enlaces, introducir contraseas, visitar pginas, etc.) convencido de que est haciendo lo correcto cuando realmente est siendo engaado por el ingeniero social. IP (direccin): La direccin IP est conformada por un nmero de 32 bits la cual identifica cada emisor y receptor de paquetes de informacin a travs de Internet. Cada paquete enviado dentro del protocolo TCP/IP incluye la direccin IP de origen y de destino para poder distribuir los datos de manera correcta y si fuese necesario confirmar al emisor la recepcin de stos. sta consta de dos partes, una que identifica a cada red dentro de Internet y un identificador para cada dispositivo, el cual puede ser un router, un servidor o una estacin de trabajo. Un ejemplo de una direccin IP puede ser, por ejemplo: 200.45.9.201. IP spoofing: Es una tcnica que permite que un bandido tome la identidad de un host "confiable" (cambiando su direccin IP por la direccin de ste) y obtenga de este modo accesos no autorizados a otros sistemas. Kernel: Es el corazn de un sistema operativo, su componente ms importante. Su funcin es brindar servicios bsicos para el resto del sistema y las aplicaciones que se ejecutan en l. Las tareas que el Kernel (o Ncleo) administra son, entre otras, todas las operaciones de entrada/salida con los dispositivos de hardware del ordenador, la memoria del sistema, la ejecucin de procesos y servicios. Sin importar el sistema operativo, aquellos que se basan en un Kernel normalmente incluyen en ste las mismas funciones antes mencionadas, aunque en otros casos le agregan otras tareas, o quizs, manejan por separado la gestin de memoria. Algunos sistemas operativos basados en un Kernel son Windows y Linux, entre otros. Keylogger: (Capturadores de Teclado) Aplicaciones encargadas de almacenar en un archivo todo lo que el usuario ingrese por el teclado. Son ingresados por muchos troyanos para robar contraseas e informacin de los equipos en los que estn instalados. Malware: Es la abreviatura de Malicious software, trmino que engloba a todo tipo de programa o cdigo de computadora cuya funcin es daar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar trminos como: Virus, Trojan (Caballo de Troya), Gusano (Worm), Parsito, Spyware, Adware, Hijackers, Keyloggers, etc. MBR: (Master Boot Record) En castellano, Sector de Arranque, o Sector Maestro de Booteo. Es una pequea parte de memoria cuyo contenido se ejecuta en el inicio del ordenador. Puede contener un programa cargador, y normalmente se encuentra en el primer sector del disco rgido. Los virus residentes suelen alojarse en el MBR para ejecutarse desde el inicio mismo del sistema. Algunos ejemplos son el Stoned, Michelangelo y Jersusalem, entre otros.

Informe Troyanos

32

Ocultacin: (En ingls Stealth) Tcnica utilizada por algunos virus para no ser localizables, haciendo parecer que los ficheros infectados no lo estan, interceptan peticiones de acceso a disco, por tanto cuando una aplicacin antivirus intenta leer ficheros o sectores de arranque para encontrar virus, encuentra que el fichero no esta afectado, ocultando en algunos casos el tamao real del fichero, devolviendo el tamao anterior a la infeccin. Polimrfico (Virus): Este tipo de virus tienen una cualidad muy importante: pueden cambiar de forma. Pero, qu quiere decir que un programa informtico, como un virus, pueda cambiar de forma? Lo que realmente hace el virus es copiarse en memoria, volver a compilarse tras cambiar su estructura interna, tal como nombres de variables, funciones, etc, y volver a compilarse, de manera que una vez creado nuevamente un especimen del virus, es distinto del original. Existen virus de un polimorfismo avanzado que no slo cambian varialbes y funciones sino mucho ms, e incluso hay algunos nuevos tipos de virus polimrficos que son llamados metamrficos por su capacidad de cambiarse casi completamente creando una copia nueva de si misma, que puede no ser detectada por la mayora de los antivirus. Para los fanticos de los virus informticos, los polimrficos son uno de los especimenes ms interesantes dada su capacidad camelenica. Proxy: Software que permite a varios ordenadores acceder a Internet a travs de una nica conexin fsica y puede permitir acceder a pginas Web, FTP, correo electrnico, etc., y tambin, servidor de comunicaciones, responsable de canalizar el trfico entre una red privada e Internet, que contiene un cortafuegos. Puerto: Un puerto es una conexin lgica utilizada especficamente por el protocolo de Internet (TCP/IP). Los programas que requieren de la utilizacin de un servidor se conectan a stos mediante un puerto. Algunas aplicaciones poseen puertos ya asignados, stos son llamados "puertos ya conocidos" y han sido asignados por IANA (Internet Assigned Numbers Authority) organismo encargado de regular la asignacin de nmeros de puertos. Otras aplicaciones utilizan nmeros dinmicos, los cuales son establecidos en cada conexin. Los nmeros de los puertos pueden ir desde el 0 al 65.536, de los cuales los primeros 1024 estn reservados para ciertos servicios privilegiados. Un ejemplo es el puerto 80 utilizado por el servicio HTTP, que nos permite navegar por sitios Web. Registro de Windows: El Registro de Windows, tambin llamado Registry (en ingls) o Registro del Sistema, contiene informacin de configuracin del sistema operativo. Entre dicha informacin podemos encontrar las definiciones de las extensiones de archivos, las libreras dinmicas instaladas, configuraciones de software propio del sistema operativo o de terceros, etc. Est organizada a manera de directorios o carpetas, siendo los principales los siguientes:

HKEY_CLASSES_ROOT HKEY_CURRENT_USER Informe Troyanos 33

HKEY_USERS HKEY_LOCAL_MACHINE HKEY_CURRENT_CONFIG HKEY_DYN_DATA

Rootkit: Los rootkits se iniciaron bajo los sistemas operativos Unix, basndose en un conjunto de herramientas especficamente modificadas para ocultar la actividad de quien las utilizar. Por esto, se define a rootkit como un conjunto de herramientas especiales que permiten esconder procesos activos, archivos en uso, modificaciones al sistema, etc., de manera que las utilidades de seguridad tradicionales no puedan detectarlas una vez en el sistema. Cuando se habla de tcnicas rootkit en un cdigo malicioso, bsicamente nos referimos al hecho de que el malware en cuestin es capaz de aprovechar funciones propias o de herramientas externas para esconder parte o todo su funcionamiento. Sniffing: Se trata de dispositivos que permiten al atacante "escuchar" las diversas comunicaciones que se establecen entre ordenadores a travs de una red (fsica o inalmbrica) sin necesidad de acceder fsica ni virtualmente a su ordenador. Spyware: Software espa. Es todo aquel programa o aplicacin que sin el conocimiento del usuario recolecta informacin de su equipo o de lo que hace al utilizar internet. Normalmente utilizado con fines de publicidad o marketing. Son programas que invaden la privacidad de los usuarios y tambin la seguridad de sus computadoras. Actualmente, este tipo de software es incluido junto a aplicaciones gratuitas de gran difusin, como las utilizadas herramientas de intercambio de archivos. Podra considerarse una rama de la familia de los troyanos dado que bsicamente su funcin es similar a la de estos. TCP/IP: (Transfer Control Protocol / Internet Protocol) Protocolo de control de transmisin/Protocolo de Internet. Conjunto de protocolos sobre los cuales funciona Internet, permite la comunicacin entre los millones de equipos informticos conectados a dicha red. El protocolo IP, que se ocupa de transferir los paquetes de datos hasta su destino adecuado y el protocolo TCP, se ocupa de garantizar que la transferencia se lleve a cabo de forma correcta y confiable. Variante: Es un virus, otra sub clase de software malicioso, que es creado modificando un virus ya conocido. Normalmente agregan funcionalidades a la versin original, o se corrigen para evadir la deteccin de antivirus. Zombie: Un ordenador generalmente infectado con un troyano de acceso remoto, capaz de recibir rdenes externas, y de actuar, generalmente en actividades maliciosas, sin el conocimiento de sus dueos.

Opinin Personal
Informe Troyanos 34

Los troyanos son una fcil y masiva herramienta hacker o cracker, existe bastante documentacin, es un tema muy extenso, que abarca muchas areas de la informtica. Su existencia est estrechamente relacionado a temas sociales, a los negocios a las tendencias y necesidades humanas. En opinin personal no estoy en contra de los troyanos ni en la forma que se distribuyen aunque tica o moralmente no sean aceptados; ya que su produccin en muchos casos responde a necesidades particulares que el mismo mercado genera, me refiero especficamente a las necesidades spammer troyan y la necesidad de conseguir dinero por publicidad click troyan, personalmente me he visto interesado en esta ltima funcin que se les ha dado a los troyanos, ya que debido a que trabajo hace algunos aos como desarrollador web, se de que manera funciona la web y el sistema de pago por publicidad , de hecho me he visto particularmente afectado por este tipo de troyanos y veo lo rentables que pueden llegar a ser si se traducen en ingresos. Particularmente he utilizado algunos troyanos, especficamente el Subseven y me asombro la capacidades con que estn provistos estos sistemas. Por otra parte, considerando que el desarrollo de este objeto infeccioso o herramienta se es considerado este viene a resolver una necesidad particular dentro de las personas la cual es la de reconocimiento y hasta en algunos casos de autorrealizacin, para el caso cuando no se ha desarrollado con fines de espionaje ni lucro. Me interesa de sobremanera la interaccin de estos objetos y su monitoreo como troyanos sociales y malignos, para lo cual creo que seguir interiorizndome para hacerlo desde la web y quien sabe obtener algn beneficio, alguna habilidad, o simplemente reconocimiento u autorrealizacin personal.

Conclusin
Informe Troyanos 35

En conclusin un troyano es una herramienta hack, los existen en diferentes distribuciones variadas y hasta ingeniosas, existen dotados con diferentes funcionalidades y estos son utilizados generalmente por usuarios no necesariamente avanzados, en su distribucin un troyano trae una serie de archivos, que se encargaran de tareas como protegerse y ocultarse de herramientas que puedan eliminarlo. Las tcnicas de seguridad de hoy en da han evolucionado, consigo los troyanos han heredando tales caractersticas. La existencia de una nueva definicin de virus o troyano nace de la masividad o coincidencia del anlisis de un archivo por ello es poco probable la deteccin temprana de un troyano nuevo, por tanto, la desinfeccin total de un sistema es poco presumible. La contaminacin del troyano no es de por s independiente, esta se genera a travs de acciones inseguras cometidas por parte del afectado, por lo tanto, tericamente cualquier infeccin de tipo troyano podra ser evitada con una buena seguridad antitroyana, pero principalmente con una buena poltica de seguridad.

Informe Troyanos

36

Bibliografa
Microsoft, Centro de Proteccin: Qu son los virus, gusanos y troyanos?, Consulta 4 Abril 2009, <http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx> Forospyware, Glosario: Glosario Completo, Consulta 4 Abril 2009, < http://www.forospyware.com/glossary.php> McAfee, Glosario: Abstracto de conceptos, Consulta 4 Abril 2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary> McAfee, Glosario: Abstracto de conceptos, Consulta 4 Abril 2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary> McAfee, Cmo identificar un troyano y eliminarlo: Modo en que operan y modo de identificacin, Consulta 5 Abril 2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary> McAfee, Cmo identificar un troyano y eliminarlo: Modo en que operan y modo de identificacin, Consulta 5 Abril 2009, <http://es.mcafee.com/virusInfo/default.asp?id=glossary> Symantec, Que es la Cuarentena: Que es la Cuarentena, Consulta 5 Abril 2009, <http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/la_docid/20040525091926905?Open&src=w_arg&seg=h m&lg=es&ct=mx> Wikilearning, Que es un Troyano y Como funciona: Acerca de la conexin, Consulta 5 Abril 2009, <http://www.wikilearning.com/tutorial/que_es_un_troyano-como_funciona_un_troyano/238-4>

Ultranet, Crypters: Definicin y Ejemplos, Consulta 5 Abril 2009, <http://www.ultranet.webcindario.com/crypters.html> Infospyware, Rootkits: Que son, Consulta 5 Abril 2009, < http://www.infospyware.com/articulos/que-son-losrootkits.htm > Blogdelhacker, Troyanos: Que son y cmo funcionan, Consulta 6 Abril 2009, <http://www.blogdelhacker.com/2007/02/15/troyanos-que-son-y-como-funcionan/ > Wikipedia, Troyanos(informtica): Que son y cmo funcionan, Consulta 4 Abril 2009, <http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)>

Informe Troyanos

37

Wikipedia, Troyanos(informtica): Que son y cmo funcionan, Consulta 4 Abril 2009, <http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)> Viruslist, Programas Troyanos: Que son y cmo funcionan, Consulta 8 Abril 2009, <http://www.viruslist.com/sp/virusesdescribed?chapter=152540521> Wikipedia, Hash y encriptacin: Que es y algunos mtodos de encriptacin, Consulta 8 Abril 2009, <http://es.wikipedia.org/wiki/Hash> Panda Software, Formulas de Infeccin: Mencin y descripcin de formulacin de infeccin utilizadas por objetos infecciosos, Consulta 8 Abril 2009, < http://www.pandasecurity.com/spain/homeusers/media/pressreleases/viewnews?noticia=2525&ver=2002,all&pagina=3&numprod=&entorno=> Panda Software, Formulas de Infeccin: Mencin y descripcin de formulacin de infeccin utilizadas por objetos infecciosos, Consulta 8 Abril 2009, < http://www.pandasecurity.com/spain/homeusers/media/pressreleases/viewnews?noticia=2525&ver=2002,all&pagina=3&numprod=&entorno=> ISSA - International Systems Security Association, Actualidad en Seguridad, Consulta 9 Abril 2009 <http://www.issa.org >

Andy Hormazabal Budin www.andy.cl andy@andy.cl

Informe Troyanos

38