Tuesday, March 28, 2006

TROYANOS COMO FUNCIONAN Y QUIENES LO UTILIZAN?

wWw.ThE-Danie.com - La Pagina Numero Uno  De La Red
Son programas que crean un acceso directo al ordenador víctima. Suelen encontrarse pegados a otros programas mediante diversas utilidades específicamente diseñadas para ello, y ocultando su función real mediante la apariencia de un programa que aparentemente funciona bien, como podría ser un simple salva pantallas.

Algunos de ellos permiten incluso realizar funciones que de otra forma sería imposible. Son muy parecidos en su funcionamiento, que no en su origen ni en su intención, a los programas de control remoto. De hecho se diferencian únicamente en el modo de instalación y en no aparecer en la bandeja de sistema ni en la barra de estado, si bien algunos programas digamos legales de control remoto, tampoco aparecen.

Constan de dos partes: cliente y servidor. El servidor es quien permite que los intrusos entren en nuestro ordenador, y algunos incluso envían nuestra dirección IP a una dirección de correo electrónico, a una lista de correo, al ICQ, o a un canal de IRC.

Para librarnos de ellos, lo mejor es el sentido común: No aceptar caramelos de desconocidos, ni ejecutables de ninguna clase (mejor ser paranoicos que víctimas).

Vamos a analizar (por encima) un troyano español, el PTAKKS, creado por Xan y QuoVadis. Al analizarlo no pretendo animaros a que lo consigáis, lo instaléis, infectéis a algún incauto, y un buen día se presenten a buscaros los "men in green" (la guardia civil). Lo que busco es advertir de la peligrosidad de ejecutar cualquier cosa que nos llegue por correo electrónico, disquete, CD-ROM, o bajemos voluntariamente de alguna web.


Las opciones que nos ofrece este troyano son:

Comprobar si la víctima continúa conectada y la versión del servidor que tiene instalada, cerrar la ejecución del troyano, cerrarle los puertos abiertos, desinfectarlo / volverlo a infectar.

Enviarle un mensaje de texto a la víctima, pudiendo simplemente aceptar, responder si/no, o dejar que la víctima escriba una parrafada.

Obtener toda la información del ordenador de la víctima, como su nombre, el de su equipo, su red, su procesador, sus discos duros, la memoria, su clave de red, su dominio, TODAS sus contraseñas, incluídas las del salva pantallas, las del IRC y las de cualquier script que tenga.

Resetearle el ordenador, reiniciarlo, apagarlo, bloquearlo.

Bloquearle el teclado, permitiéndole o no que haga el saludo de los tres dedos (Ctrl-Alt-Supr), capturarle las teclas pulsadas.

Moverle o bloquearle el ratón.

Realizar todas las operaciones posibles con archivos, tales como listarlos, buscar, crear o borrar directorios (ahora se llaman carpetas), enviarle u obtener sus archivos, incluso ejecutarle archivos en modo visible u oculto.

Pegarle pantallazos azules de la muerte, que suene el altavoz interno del ordenador, la disquetera, hacerle un puzzle con la pantalla, o moverla en vertical u horizontal (con lo que eso jode).

Ver los procesos activos en su ordenador, y colgarle los que no interesen, como el cortafuegos o el antivirus, por ejemplo.

Todas las operaciones posibles con ventanas, tales como abrirlas, cerrarlas, cambiarles el título, moverlas, cerrarlas, bloquearlas, ocultarle el menú inicio.

Desde luego, como herramienta de control remoto, es genial. El problema surge cuando nos podemos encontrar como víctimas. No olvidemos la de canales dedicados al tema que podemos encontrar en cualquier servidor de IRC, donde el agresor puede difundir nuestra dirección IP y a partir de ahí debemos ir pensando en comprarnos otro ordenador. Eso en el mejor de los casos.

Nuestra IP la obtiene el atacante por correo electrónico o por ICQ.

Teniendo en cuenta que desde nuestro ordenador (la víctima) se pueden lanzar ataques contra otros ordenadores y correo electrónico con amenazas de muerte o similares, lo más probable es que en breve plazo venga la policía o la guardia civil a buscarnos.


No es difícil conseguirlas, pero prefiero que quien quiera cometer un delito, lo haga por sus propios medios, y nunca contanto con mi complicidad. He de recordarte que esto es una página de seguridad informática, no de hackers. Para eso has de buscar en otro lado.

Este artículo procede de la revista de


Troyanos Pasivos: DraZler v1.0.0

Bien, como ya comente al principio, voy a hablar de lo que se me ha dado por llamar Troyanos Pasivos.

Hasta ahora estamos acostumbrados a los tristemente famosos troyanos del tipo cliente/servidor. Infectabas una maquina con el servidor y después accedías a ella a través del cliente, con el cual conectabas conociendo la IP
de la victima. Los inconvenientes de este sistema son obvios: existe el problema de conseguir que la victima active un ejecutable en su maquina, y además, necesitamos conseguir su IP mas tarde para poder establecer una
conexión. El 95,5% de las maquinas, digamos, normales, no están conectadas 24 horas a Internet (aun con la tarifa Plana :P) y tienen una IP dinámica, por lo que tendríamos que encontrarnos con la victima en el IRC, u otras cosas para eso.

La idea de troyano pasivo consiste en que es la maquina infectada la que conecta a donde el atacante desea, y recoge de allí las instrucciones a seguir. Por ejemplo, cuando la maquina conecta a Intenet, esta realiza una conexión a un ftp gratuito donde yo he dejado un script, un batch, o un binario, lo recoge y lo ejecuta. De esta manera tenemos la maquina controlada sin preocuparnos de si esta conectado o no, y sin saber su IP.

Para ilustrar esto, he creado un sencillo programa, completamente en VBS y Batch. Con ello quiero demostrar dos cosas; que Windows NO ES SEGURO, y que es posible utilizar los propios recursos de una maquina estándar para introducirse en ella, sin necesidad de utilizar programas enlatados.


1. Descripción

Un caballo de Troya es un programa aparentemente útil, novedoso, o atractivo que contiene funciones ocultas que permiten, por ejemplo, obtener privilegios de usuario (siempre que el programa se ejecute), suponiendo un enorme problema de seguridad. Generalmente un caballo de Troya no tiene efecto sin la colaboración involuntaria del usuario a quien va dirigido.

Los caballos de Troya son normalmente instalados por los propios usuarios inadvertidamente o bien por intrusos que han obtenido acceso sin permiso al sistema a través de otros medios.

2. Métodos de introducción.

Los atacantes utilizan métodos de distribución como los siguientes.

1. Envío masivo de e-mails con un troyano adjunto. Recientemente se ha dado el caso de un e-mail presuntamente enviado por Microsoft a sus usuarios que invita a actualizar el navegador Microsoft Internet Explorer. Sin embargo Microsoft ha confirmado que no proporciona parches o actualizaciones a través de correo electrónico, aunque sí distribuye de está forma boletínes periódicos de seguridad.

Este mensaje contiene un programa ejecutable adjunto llamado Ie0199.exe. Tras su instalación, el programa origina bastantes modificaciones en el sistema e intenta contactar con otros sistemas remotos. Existen múltiples versiones de este caballo de Troya, por lo que las modificaciones no cumplen una norma generalizada.

Una de estas versiones se acompaña del mensaje siguiente:

«As an user of the Microsoft Internet Explorer, Microsoft Corporation provides you with this upgrade for your web browser. It will fix some bugs found in your Internet Explorer. To install the upgrade, please save the attached file (ie0199.exe) in some folder and run it. »

Por supuesto, no es un mensaje de Microsoft.

2. Envío durante sesiones IRC. Se convence a un usuario no experimentado de que reciba un programa muy interesante, dependiendo de los gustos del usuario, se renombra el troyano para que su ejecución sea segura.

3. Distribución a través de Web, Newsgroups, FTP, etc, con las mismas técnicas de "venta", es decir, programa novedoso, interesante, de gran utilidad...

4. Inserción del Troyano en programas de gran demanda, modificando su instalación pero manteniendo intacto el programa original, sin que el usuario aprecie ningún cambio o indicios sospechosos en su funcionamiento.

5. Modificación de programas en lugares de distribución de reconocido prestigio, lo cual supone una entrada no autorizada en dichos sistemas e implica un alto grado de infección incluso en máquinas de usuarios experimentados y precavidos.

6. Infección a través de applets Java, Javascript, Active X.

7. Cualquier otra técnica de ingeniería social, incluso envío de cds o de cualquier otro soporte de almacenamiento por correo tradicional, simulando regalos, anuncios, promociones, etc.

3. Posibilidades del atacante.

Una vez el Troyano se ha ejecutado en un sistema, el atacante, dependiendo de las posibilidades del programa, puede, por ejemplo:

Ejecutar programas remotamente
Eliminar, leer, modificar archivos, y por tanto información sensible, como claves de acceso, información bancaria y personal, etc. Es decir, se consigue idéntico acceso que el usuario presente físicamente ante su máquina.
Posibilidad de enviar y ejecutar nuevos troyanos
Posibilidad de cometer acciones delictivas utilizando la máquina de la víctima.
Instalar virus
etc, etc, etc...

Si la víctima tiene acceso administrativo al sistema operativo, el caballo de Troya puede permitir al atacante, obtener la cuenta "root" en Unix, la cuenta "administrator" en NT o cualquier otro tipo de cuenta que suponga acceso administrativo al sistema operativo.

Puede comprometer cualquier sistema de una red, incluyendo consecuencias en otros sistemas de la misma red. Son muy vulnerables aquellos sistemas que transmiten datos de autentificación, como por ejemplo, claves de acceso en texto plano o en métodos débiles de encriptación. Si la seguridad del sistema ha sido comprometida por un caballo de Troya, el intruso puede instalar un sniffer y recolectar nombres de usuario y claves o cualquier otro tipo de información privilegiada durante su travesía por la red.

Incluso el sistema afectado puede convertirse en la fuente de un ataque que pueda exponer a la organización, empresa, o usuario a serias complicaciones legales. Puede ser utilizado para realizar acciones ilegales sin que el verdadero culpable pueda jamás verse implicado, pero sí los responsables del sistema afectado.

3. Prevención

Todo usuario en general debe verificar cualquier software que ha sido instalado, procurar que provenga de fuentes conocidas y seguras, asegurarse de que no haya sido modificado.

No ejecutar ningún programa enviado vía e-mail no solicitado.

Mucha precaución con los contenidos de los applets Java, JavaScript, Active X durante la navegación. Es preferible configurar el navegador para desactivar cualquier ejecución automática, de estos contenidos.

Emplear regularmente programas antivirus convenientemente actualizados. Emplear firewalls o cualquier método seguro de controlar los puertos de su sistema.

No emplear los máximos privilegios en tareas para las que no sean extrictamente necesarios.

Si puede evitarse, no almacene información de importancia vital en su sistema, si un atacante la consigue, puede hacer desaparecer el troyano, el fichero por el cual se instaló, y eliminar toda prueba de su existencia, para posteriormente utilizar los datos obtenidos, por ejemplo al cabo de unos meses, sin que la víctima pueda jamás imaginar la causa de la filtración


PRINCIPALES TROYANOS

Acid Shiver Este troyano funciona en un puerto TCP aleatorio cada vez que se ejecuta y envía un email a la persona que lo ha infectado, mostrándole la información. Se conecta a él mediante telnet al puerto especificado. A pesar de funcionar exclusivamente mediante línea de comandos, es un muy buen troyano. Se trata de un proyecto abierto, con las fuentes a disposición de quien lo desee, por lo que pueden haber muchas variantes.
Backdoor Creación de Dark Eclipse Software. Otro troyano similar al Back Orifice o al Netbus. Algunas funciones, especialmente la visión de la estructura de directorios, están bastante más optimizadas aumentando su velocidad. A cambio precisa de bastantes OCX y DLLs. Parece ser que las próximas versiones serán optimizadas para reducir en lo posible tanto sus requisitos y los archivos necesarios.
Back Orifice 2000 Personalmente, a mi no me gusta mucho. El grupo de hackers "The Cult of the Dead Cow" ha desarrollado una nueva versión de su Back Orifice. Esta nueva versión, llamada Back Orifice 2000, incluye nuevas caracteristicas y la posibilidad de ejecutarse en entornos Windows NT. El código fuente de esta versión se ha hecho público, permitiendo a cualquiera modificar el software, por lo que se prevé la aparición de multitud de versiones, plugins y mejoras.
Deep Throat
Instala server Otra utilidad de administración remota para W95-8. Este troyano presenta también una interfaz agradable, a excepción de un pequeño problema con las fuentes.
Ofrece nuevas características con respecto a los troyanos más conocidos, como ftp server, ejecución de aplicaciones de forma camuflada, etc.
El Instala Server simula estar ejecutando una aplicación, pero en realidad está instalando el servidor de este troyano.
Dolly 1.6 Nueva version de otro de los grandes troyanos. RECOMENDADO
Forced Entry Ocupa 1,2 megas
Netbus 1.7 Es un troyano muy fácil de manejar. A mi me gusta bastante debido a la cantidad de personas que hay infectadas con este troyano en inet.
Netbus 2.0 Pro Una nueva version de este conocido troyanos, aunque hay muchos más infectados con el 1.70
NetSphere Ocupa 726K
Phase Zero Cabayo de Troya para Windows 95/98/NT, de interfaz gráfico e instalador. Consta de un servidor FTP integrado, funciones para manipular el registro, restricción de accceso al servidor a rangos de IP, posibilidad de configurar el puerto, las entradas de registro y el ejecutable del servidor, etc. El resto de las funciones son las típicas de las aplicaciones de este tipo.
SubSeven Para mi es el mejor troyano. Tiene multitud de opciones, opciones nuevas y muchas cosillas graciosas. El puerto por defecto es el 27374, aunque tanto el puerto como muchisimas otras opciones se pueden configurar.
Year 3K Excelente troyano, no demasiado conocido, de muy facil manejo pero con posibilidades.
Paradise Troyano sencillo de facil manejo
Milenium Troyano , no demasiado bueno que cumple su funcion
Inikiller 74K
Portal of Doom Ha sido creado por los componentes de HackCity.
Bugs El cliente de este troyano es bugs.exe y el cliente es bug' s.exe
Coma 140K
Cain 400K
Devil 1.3 El puerto que utiliza es el 6500
Excalibur Ocupa 307K
WinCrash 2.0 Troyanno especializado en "joder" sistemas operativos W9x. Solo para mentes malvadas.


¿Sirven para algo los antivirus?
Muchas veces hemos escuchado a alguien decir que no hay mejor conocedor de la delincuencia que aquél que ha sido delincuente. Bueno, yo no he "molestado" a nadie con un troyano, aunque los he usado y he visto sus posibilidades en ordenadores ajenos y en el mío propio. El único "delito" que he cometido (si es que es delito; sería muy discutible) es introducirme en el disco duro de otro ordenador. Pero dejemos este asunto que más abajo trataré con profundidad.
Con esto pretendo decirle que yo no conozco los troyanos por lo que he leído de las compañías antivirus, sino por lo que he practicado con ellos. Y tengo muchas cosas que decir al respecto.
En primer lugar es conveniente señalar que un antivirus es fundamental en nuestro ordenador, pero no estoy de acuerdo en los tantos por ciento de seguridad que dicen ofrecernos. Muchas veces las compañías antivirus nos dicen que la única solución para estar completamente protegidos es comprando su producto y actualizándolo diariamente.
Desde luego ésta es una práctica (la de actualizarlo) que todos deberíamos tener y que sin duda no tenemos. La razón no es caprichosa ni mucho menos: cada vez que actualizamos nuestro antivirus estamos añadiendo nuevas bases de virus a nuestro ordenador. Hay que tener en cuenta que todos los días surgen unos 20 virus nuevos (hay fuentes que elevan esta cantidad hasta 50). Si no preparamos nuestro antivirus contra esas nuevas amenazas, no servirá de nada.
Pero aquí el problema es que cuando hacemos la actualización diaria, tenemos una falsa sensación de seguridad. Creemos que ese antivirus que tiene tanta fama y nos ha costado tan caro puede librarnos de absolutamente todo lo que hay por Internet en materia vírica. ESTO ES UN MITO PELIGROSÍSIMO QUE ES MENESTER DESHACER CUANTO ANTES.
Con mis troyanos indetectables quiero concienciaros del grave peligro que corremos en la Internet aunque tengamos el mejor antivirus del mundo actualizado.
Podíamos pensar que los virus y troyanos que están en la internet tienen un período limitado de actividad maligna, pero éste también puede ser un falso tópico. Les voy a demostrar en esta web que troyanos que ya hace mucho tiempo fueron desechados de las listas "in the wild" porque ya hasta el más mediocre de los antivirus los detectan, pueden suponer una nueva amenaza si alguien se lo propone.
Vamos a decirlo bien claro: ES RELATIVAMENTE FÁCIL MANIPULAR UN VIRUS PARA HACERLO OTRA VEZ INDETECTABLE. Por supuesto no seré yo de momento el que cuente cómo se hace, aunque con el tiempo lo haré en esta web experimental.
En esta web verán Ustedes troyanos indetectables que ya hace años que todos los antivirus los olvidaron porque ya no eran una amenaza para nadie. Por supuesto les voy a pedir a Ustedes que no usen jamás uno de estos troyanos para fines perversos. Simplemente comprueben sus antivirus actualizados con ellos y hagan alguna prueba sobre su funcionalidad, pero sin cometer abuso con nadie.
Recuerden Ustedes la máxima que existe en la Internet: NO HAGA CON OTRA PERSONA LO QUE NO QUISIERA QUE HICIERAN CON USTED. Con esto ya sabe uno que no debe fisgonear información confidencial, borrar archivos de ordenadores ajenos, extraer contraseñas para propósitos ilegales de extorsión, introducir virus peligrosos en otro ordenador, etc.

Infectados en la Web

Ésta es otra de las secciones que he creído conveniente incluir. Hay muchas veces que los infectados con virus y troyanos han contraído la infección con sólo visitar ciertas webs maliciosamente preparadas. Voy a enseñarles cómo se puede preparar una web para infectar con un virus. También es válido para correos electrónicos en formato HTML. Una vez más, les pido discreción y ética en el uso de esta información.

Nota de actualización: Este método ha quedado inservible para la mayoría de ordenadores que están parcheados o han instalado Internet Explorer en los últimos meses.
Hay muchos internautas que alguna vez han sentido miedo al visitar determinadas páginas en la Internet. El pavor es tan exacerbado que incluso deciden no entrar en todo sitio que lleve las etiquetas "hacking", "virus", "xploits", etc. Es como si al entrar en una web pusiéramos nuestro ordenador a disposición del dueño de la web y sólo dependiéramos de su bondad para dejar nuestro ordenador intacto. Quiero también desmentir algunos tópicos respecto a esto. No es cierto que cuando entramos en determinadas páginas "conflictivas" tengamos que rezar para que no suceda nada: nada más lejos de la realidad.
¿Pero es entonces erróneo pensar que alguien puede acabar infectado simplemente por visitar una web sin descargarse nada?. Bueno, hay gente que ha sido infectada por este método, pero es altamente improbable y ahora explico por qué. El problema es que cuando en nuestros ordenadores aparece un virus, rara vez sabemos de dónde procede. Empezamos a especular sobre su procedencia, y al no encontrar explicaciones convincentes tendemos a afirmar que lo hemos cogido porque visitamos alguna web extraña y poco recomendable. Pero si somos mínimamente precavidos nunca nos pasará nada de eso.
En primer lugar hay que decir que las infecciones mediante el visionado de una web se basan SIEMPRE en errores en el navegador que utilizamos. Estos errores (o bugs) tienen un período de vigencia muy breve porque inmediatamente la empresa que lo diseña enviará a todos sus clientes el parche correspondiente para evitar infecciones. No siempre esos errores inducen a la ejecución de código arbitrario en el ordenador del internauta. Hay veces que simplemente nos pueden cambiar la página de inicio del navegador (algo, como vemos, totalmente inofensivo) y esto ya sería detectado por nuestros antivirus como un peligroso virus. A veces les llaman Xploits porque precisamente explotan fallos de seguridad en nuestros navegadores. El navegador más afectado por los Xploits es el Internet Explorer: podemos afirmar sin miedo a equivocarnos que es el menos seguro de los navegadores conocidos. Por cada parche que publica Netscape, hay hasta diez del IE. Ahora mismo si le aplicamos el último parche publicado por Microsoft, nos aseguran que no hay ningún problema de ejecución de código arbitrario. El único problema es que la empresa de Bill Gates no quiere dar mucha publicidad a sus parches porque, al ser tan numerosos, esto daría una impresión de carencia de seguridad a sus clientes. Es por ello que seguramente todavía hay algunos internautas despistados por ahí que tienen versiones anticuadas del Internet Explorer y que pueden ser víctimas potenciales de esos ataques.
Aún teniendo un explorador no parcheado, es también poco probable resultar infectados si además disponemos de antivirus. Un buen antivirus hoy día es capaz de detener de raíz un ataque de este tipo. ¿Cómo lo hace?. Pues simplemente leyendo el código fuente de la web que estamos visitando. Si en dicho código lee una parte que es identificada como un Xploit, entonces detendrá la carga de la web y saltarán las alarmas. También en una segunda vía de defensa, nuestro antivirus puede detectar el virus en cuestión y así detener el ataque.
Como vemos es complicado que nos infecten de esa manera, así que no es una buena vía para infectar con troyanos. Pero vayamos a la otra parte; es decir, la vertiente del atacante: ¿cómo podemos infectar a alguien con un troyano simplemente con visitar nuestra web?.
Bien, este método que voy a explicar ahora sólo es eficaz si alguien no tiene instalado en su ordenador el último parche acumulativo del Internet Explorer. Incluso sin tener el parche, puede no ser funcional si la persona en cuestión ha instalado recientemente en su ordenador el Internet Explorer 6. También he de señalar que es inútil ante otros navegadores como Ópera y Netscape. Sólo afecta al Internet Explorer no parcheado en las versiones anteriores a la 5.5. Desde ésta en adelante (hasta la 6.0) no puedo garantizar que funcione correctamente (aunque tampoco puedo asegurar que no funcione en todos los casos).
Para nuestro experimento vamos a utilizar un programa muy especial diseñado por el gran genio de los troyanos Gobo, del grupo de hackers Are You Fearless. El programa se llama Fearless IE Exploiter.
¿Lo tenemos ya?. Bien, pues comencemos a buscar el servidor del troyano pulsando sobre "Browse". Aquí es conveniente ser un poco inteligentes porque será más difícil engañar a la víctima cuanto más grande sea el servidor. Lo recomendable sería utilizar un Web Downloader de muy poco tamaño. Una vez ejecutado en el ordenador de la víctima, abriría un puerto para descargar de modo subrepticio el servidor del troyano de mayor tamaño. Un servidor que también tendría que estar en nuestra web.
Cuando hayamos elegido el ejecutable deseado, habremos de codificarlo. Para ello tendremos que pulsar sobre "Encode Server". Lo que tenemos ahora es el servidor en formato MIME (Base 64). El último paso es crear el documento, es decir, el archivo con extensión *.mhtml. He de destacar que si queremos podemos renombrarlo como *.eml. Para este último paso, simplemente habremos de pulsar sobre "Create Document". ¡Ya está!. Ahora tenemos el servidor embebido en un formato que es perfectamente adaptable al código fuente de una web y para el que el Internet Explorer no va a pedirnos que descarguemos nada; simplemente lo va a descargar automáticamente pues entenderá que es parte del código normal de la web.
Para introducir ese documento infectado en nuestra web sólo deberemos usarlo en un frame de 1 pixel. Allí lo ponemos y ya sólo hemos de esperar a que algún despistado internauta caiga en el cebo. Aunque vuelvo a repetir que es un método muy poco fiable de infección por las razones antes expuestas. Háganlo sólo como experimento, pero sin dañar a nadie. Pueden hacerlo si quieren con archivos inofensivos que se ejecutarán en el ordenador de la víctima. Aquí lo único que nos interesa es probar la (in)seguridad de nuestro navegador y nunca infectar a nadie, así que pueden probar con cualquier pequeño archivo inofensivo.
Por supuesto este web es seria, así que no tiene embebido ningún archivo de ningún tipo. Pueden comprobarlo directamente observando su código fuente. Aquí no estamos para molestar a nadie. Queremos que visitando esta web se sientan con toda la confianza como en su casa.

Analice Los Archivos Que Ejecuta

Cuando leemos páginas como ésta donde aparecen técnicas para ocultar todo tipo de troyanos ante los antivirus más sofisticados, surge la desconfianza lógica de algunos usuarios. "¿Y cómo puedo saber yo que el cliente de un troyano, por ejemplo, no está infectado con el servidor?". Ya vemos que los antivirus nos sirven más bien para poco. Bien, pues aquí pretendo mostrarles cómo pueden estar seguros de que el programa que han ejecutado en su ordenador no tiene otro archivo oculto que está actuando silenciosamente. Prepárense para convertirse en auténticos detectives de su ordenador.

Vamos a realizar un análisis de nuestro registro y nuestros archivos cada vez que ejecutemos en nuestro ordenador un archivo que nos pueda resultar de procedencia dudosa. En realidad todos los troyanos, binders, cracks, compresores, etc, son herramientas útiles para el hacking y no debemos confiarnos mucho de ellas. En esta web siempre intentamos probar los programas antes de exponerlos a los lectores. Incluso solemos utilizar enlaces a las páginas web de sus propios programadores para evitar que alguien infecte deliberadamente los archivos. Aún recuerdo un troyano llamado Infector (en su primera versión) que tenía el cliente infectado con el servidor.
¿Empezamos a analizar nuestro ordenador?. Vamos allá.
Cuando el servidor de un troyano se instala en nuestro ordenador, es lógico que deje alguna entrada en el registro para que la próxima vez que reiniciemos el ordenador, el troyano vuelva a activarse automáticamente. A veces modifica archivos como System.ini, Win.ini, Autoexec.bat, etc. E incluso puede crear nuevos archivos para su funcionamiento como una réplica del servidor, algunas librerías DLL, etc.
Todo esto produce cambios en nuestro ordenador, pero el problema al que nos enfrentamos es que hay cientos de carpetas y miles de archivos, además de varias miles de entradas en el registro. ¿Cómo vamos a descubrir los cambios en todo este entramado?.
Nuestra respuesta está en este programa que vamos a presentar aqui
lizar una comparación del registro y los archivos de nuestro ordenador un momento antes de ejecutar el archivo sospechoso y un momento después de su ejecución. ¿Lo probamos?














1 Comments:

Blogger Banco de Imágenes Gratuitas said...

¡Vaya amigo!

Ahora sí que me haz sorprendido con toda esta información sobre los troyanos.-

Creo que haz dejado en claro el verdadero concepto de estos programas dañinos que afectan los ordenadores no protegidos.-

Ojalá que puedas postear más seguido, es un placer leerte.-

Bye!

3:56 PM  

Post a Comment

<< Home