como acabar con los troyanos

Bueno, primero que todo, este no es lugar para debatir esto, y lo digo tanto por Lukoba como por Drazhaz, Lukoba por ser la primera en tratarlo en un hilo que lo habrió un usuario pidiendo ayuda y Drazhaz por seguirlo y no indicar lo contrario siendo moderador.

[quote:cff41a5472=\"Lukoba\"]Drazhaz replanteate estas objecciones, que eso es de sabios.[/quote:cff41a5472]

Por otro lado, no me parece bien que Lukoba critique de forma tan destructiva un artículo que se ha hecho para ayudar y para orientar a los menos familiarizados con todo esto, si no me equivoco es esa la razón por la que se muestra Drazhaz un tanto molesto. No obstante las críticas siempre y cuando no sean malintencionadas, son bienvenidas, más aun si son constructivas.

Si bien no se cual de los dos sabrá más sobre el tema, lo que si se es que para cada artículo que se redacta en HispaZone se dispone de fuentes más que contrastadas, y no estamos hablando de otras webs o de revistas, estamos hablando de entidades como el Centro de Alerta Antivirus, McAfee Inc, Symantec, Karspersky Labs, PandaLabs (algunas entrevistas realizadas lo demuestran). Recibimos información directa de ellos, y no hablo de los típicos \"Newsletter\". Además de todo esto, en HispaZone experimentamos directamente con todo aquello sobre lo que vamos a redactar en nuestro laboratorio. Vamos, que cuando se escribe sobre algo en HispaZone sabemos de lo que hablamos y no escatimamos en recursos, doy fe de elllo. Otra cosa ya es como se oriente el artículo.

El debate como tal me parece muy interesante y creo que unos cuantos debates más en esta y otras materías aportan mucho al foro siempre y cuando se haga de forma respetuosa, en el lugar adecuado y siguiendo las normas del foro.

Un saludo.

Va por tí Dras...

Para entender su funcionamiento, tenemos que saber \"cazarlos\", para saber cazarlos\" debemos entender como funciona algo del protocolo TCP/IP y con algunas herramientas que os he puesto.

TCP/IP se basa es una filosofía de cliente/servidor. Un host (ordenador cualquiera) solicita servicios a la red como cliente y el servidor se lo ofrece.
Se establece un socket o lo que es lo mismo un canal de comunicación, éste canal de comunicación se hace a través de los puertos. Los puertos son virtuales no reales, se definen 65535 puertos que van desde el 0 hasta el 1023 reservados para el TCP y por él se ofrecen servicios de FTP, HTML, etc....en adelante son para programas de usuario.

¿como se establece la comunicación bajo TCP? se establece primero un socket , que no es nada más que una conexión entre una máquina y un puerto con otra máquina y otro puerto. Intervienen 2 máquinas y 2 puertos.

Cuando se abre un socket (canal de comunicación) una máquina solicita una dirección y puerto. Si en ese puerto hay otra máquina escuchando (LISTENING), atenderá las peticiones del servidor.

Los troyanos intentan conectarse con otra máquina y con un puerto. Si responde, se puede pedir identificación del programa respondido y se le hace ejecutar programas dentro de esa máquina. Tan solo las que se haya programado anteriormente, si son de tipo solicitud de datos espías,
(spyware) pues nos entregarán los datos, si son de ver su pantalla, veremos su pantalla, TODOS EJECUTAN ALGÚN TIPO DE ACCIÓN EN LA OTRA MÁQUINA. Y si le digo que me pase ficheros, pues me los pasa, es que están programados. Es genial ¿no? . Muchos pueden ejecutar múltiples instrucciones de programa y dominamos dichas instrucciones, como puede ser el excelente programa Back Oriffice.
Espero que hayas aprendido ALGO DRAS...de lo que es un troyano. POR LO MENOS A SABER DECIR QUE LO QUE ESCRIBO NO VALE LA PENA.
CONOCIMIENTO MUCHACHO, MUCHO CONOCIMIENTO.

Te lo dice un aprendiz.

pslist os lo tenéis que bajar de:

http://www.sysinternals.com/ntw2k/freeware/pslist.shtml

Es válido para XP y W2K.

y colocarlo en la misma carpeta en donde establezcáis el path, ya que si no deberéis situaros en esa carpeta antes de ejecutarlo desde la consola de comandos (cmd.exe). Otra manera más fácil es ponerlo en el directorio de sistema, siempre se ejecutará aunque tengáis el path en cualquier directorio.

TROYANOS: Vaya que si existen tipos. Tan solo algunos ven los que conceden al atacante el acceso y control del equipo infectado. ¡Ah! ¿pero que control? Pues depende del programador que haya creado el troyano.
-. Los que descargan archivos de forma arbitraria de internet. Estan los dialers o marcadores telefónicos.
Modifican los nombres de archivos, modifican nuestras entradas correspondientes a nuestro registro, ocupa nuestro canal de internet bloqueando nuesto sistema, muchos están mal diseñados y provocan hasta caidas y pérdidas de datos y que diga gente que no nos hacen nada, se puede leer muchas barbaridades por internet, en nosotros está saber distinguirlas.

- Otros actuan como proxyes, redirigiendo el tráfico del sistema afectado.
.- Otros son de tipo Adaware, monitorizan la ventana del navegador de Internet, abriendo ventanas y propaganda.
.- Otros son de la característica anterior pero dominan nuestra navegación. Los hijackers.
La cantidad de tipos se extiende a como la imaginación del programador quiera que realice su fechoría, pero siempre con unas características comunes en todos ellos que os he explicado anteriormente en otro mensaje. Son más conocidos por su tipo que por troyano en sí y a troyano se le denomina a un solo tipo ¿porqué? porque fué el inicio de como empezaron a ser durante mucho tiempo, programas ejecutables remotos, los otros tipos fueron más modernos.

Pues como \"de donde no hay no se puede sacar\", no tengo nada más que decir.

Saludos.

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe), (no voy a decir como se abre una consola de comandos, ya es cuestíón de saber iniciación a la informática, no de seguridad) y es un viejo compañeto del TCP/IP desde sus inicios y se encuentra en todos los sistemas operativos.

Podemos verlo en UNIX y en Windows, ejecutando sin parámetros:

[K:\\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Al ser tecleado sin ningún parámetro nos informa de los puertos que en nuestra máquina tiene en un momento determinado una conexión \"ESTABLECIDA\" con una máquina remota, y por qué puerto.

Ejecutando por ejemplo: netstat -an
sabremos no solo los que están establecidos sino los que están a la escucha (LISTENING). Estos puertos son potencialemnte peligrosos porque pueden venir de un proceso malicioso: Un troyano.

Si usamos la tubería | filtramos solo para mostrar los de escucha:
netstat -an | find \"LISTENING\"

si queremos el PID (número de identificación del proceso del programa que lo ha lanzado, se ejecuta:
netstat -nao | find \"LISTENING\"

Esta información es imcompleta y tenemos que saber que el número de proceso identificarlo con el nombre del programa que lo ejecuta. En XP Profesional se hace con el comando:
tasklist.

o bien bajándose el programa gratuito \"pslist\" de sysinternals, que indicará el número de proceso (PID) y el programa asociado.

Con esta lección podremos determinar el troyano y el programa que lo ejecuta.

Más me preguntó yo: ¿Cómo se puede ayudar a la gente si no se sabe técnicamente ni responder?

http://www.vsantivirus.com/06-01-02b.htm

¿Queréis ver un poquito como se trata en un sitio muy prestigioso de seguridad a un spyware y sus características?
Adelanto un poquito lo que empieza diciendo:
\"DlDer es un troyano del tipo software-espía (spyware)\"
Empezamos bien, un sitio muy prestigioso trata las cosas en su sitio. Pues es interesante su lectura, para comprenderlos, está en: http://www.vsantivirus.com/06-01-02b.htm

Podéis comparar con lo que yo os he dicho de como son los troyanos de tipo spyware.

Entendemos que se tiene que establecer una comunicación por un canal o puerto IP. con la experiencia podremos diferenciar cuando se activa un puerto, primero pasa a la escucha y luego pasa a abierto, nunca pasa a abierto si primero no pasa a la escucha. Nos preguntamos ¿qué puerto es? ¿que comunicación se está realizando? ¿Esa comunicación es del sistema o es una comunicación no aceptada? ¿Como miro los puertos abiertos, los de escucha, etc? Un firewall bien especificado nos avisará de las conexiones que se establezcan , que programas lo realizan y hacía donde lo realizan. Con el programa \"netstat\" podremos detectar nuestro sistema de puertos, se hace desde la ventana de consola ms-dos, sí ese programa que algunos pensaban que era un sistema operativo antiguo.

De momento no me extiendo más....

Lástima

Tú me dices:
No creo que este post sirva para nada, por lo tanto, insisto, en vez de discutir sobre las definiciones y sobre lo que es esto o lo otro, haz algo más útil como recomendar formas de protegerse y ayudar a los que tienen problemas.

Yo te digo:
En un foro abierto sobre la seguridad informática, para mí la mayor ventaja contra la seguridad informática es el conocimiento.

Te puedo asegurar que este tema puede resultar un gran debate y muy interesante, aunque a tí no lo parezca y no lo quieras hacer así.

No me digas que haga algo más útil, porque para empezar a defenderse de la seguridad hay que empezar a entender muchas cosas sobre ella.

Pensaba que me ibas a debatir (qué no discutir) más técnicamente este asunto, pero me ha sido una causa perdida.

Si ya lo dijo aquel: \"de donde no hay no se puede sacar\".

Repito por tercera vez:

[quote:cde42a8488=\"Drazhaz\"]Los comentarios que se suelen hacer en artículos son simplemente generales, no hay que tomarlos al pie de la letra y mirarlos con lupa, sirven únicamente de orientación.[/quote:cde42a8488]
Está en perfecto español, creo que todo el mundo lo puede entender vamos...

Está bien claro, que, al fin y al cabo, cada cual puede pensar lo que quiera sobre el tema, yo no le veo mayor relevancia. Y la verdad, soltar definiciones por soltar, lo veo innecesario.
Está claro que ambas cosas perjudican a los sistemas y que hay que combatirlos, la investigación y la importancia está en eso, en luchar contra ellos, no en definirlos.

Espero no tener que insistir más en lo comentado inicialmente.
Preocupémonos por solucionar los problemas a los usuarios en vez de discutir.

Por supuesto Drazhaz que no todos los spywares son troyanos ni todos los troyanos son spyware como bien dices.

Yo he estado en conferencias de seguridad realidas por prestigiosas personas que llevan la seguridad de multinacionales, las conozco personalmente, también tienen doctorados y según sus palabras consideraban al spyware como un troyano más. Yo tampoco me he inventado nada. Por decirte más, me levanto ahora y en medio minuto estoy en su despacho. No digo más.

Saluditos y relájate.

Troyanos

Troyano y Spyware: Entra camufladamente dentro de otro programa principalmente.
Troyano y Spyware: Se introduce dentro del sistema y se separa del programa que le camuflaba para actuar independientemente.
Troyano y Spyware: Se administran remotamente y abren un puerto TCP o UDP en el computador remoto que es el atacado.
Troyano y Spyware: Espera peticiones de su cliente de su cliente que pueden ser de conexiones o de datos.
Troyano y Spyware: Cuando el atacante inicia al cliente con la dirección IP de la misma el troyano recibe los comandos y las instrucciones y los ejecuta en el ordenador de la víctima.
Troyano y Spyware: Es un programa de administración remota. Por lo tanto es un programa que ejecuta las funciones que tiene determinadas en su programa y cumple con entregar al servidor los datos de la víctima atacada y ser manipulado y manejado remotamente.
La diferencia del programa del troyano estriba la diferencia del tipo troyano. TODOS ESTOS SON TROYANOS.
Dialer

Son programas que se hacen con el dominio de nuestro módem desconectando nuestro ordenador de la línea telefónica que tengamos establecida para conectarnos a un número telefónico diferente con una tarificación especial mucho más alta.

Keylogger (Capturador de teclado)

Programa troyano que recoge y registra lo que teclea el usuario en una lista de las teclas pulsadas. Ésta lista se envía automáticamente a un ordenador del hacker pudiendo conocer todo lo que ha escrito el usuario afectado, por ejemplo: contraseñas, texto escrito en documentos, mensajes de correo, combinaciones de teclas, datos bancarios, etc...

Hijackers

Son programas que secuestran nuestro navegador de forma que le dirige a unas páginas de internet concretas, por ejemplo, provocando cambios en nuestras páginas visitadas, en las páginas de inicio, etc...

Espía (spyware)

Programas que se introducen en nuestro ordenador para poder detectarnos y espiarnos sin aviso previo, por lo que otras personas acceden a nuestra información privada. Se utiliza mucho para términos comerciales. Hay de muchos tipos de espionaje, los que reportan sobre los hábitos de navegación del navegante sin que éste se dé cuenta, lo que se utiliza para mandarle spam (propaganda por correo electrónico). Provocan que el ordenador vaya mucho más lento e incluso que el sistema operativo caiga. Otros están hechos para recordar contraseñas y nombres de usuario para completar formularios en menos tiempo.

Bien, con eso queda claro que no todos los troyanos son spyware, y añado que no todos los spyware son troyanos. No voy a mencionar más veces este tema porque no tengo muchas ganas de discutir, cada uno tiene su opinión, la mia se basa en las tesis doctorales de investigadores universitarios.

Si si, esa definición tuya está muy bien, pero yo he citado documentos oficiales. Las definiciones a \"secas\", no sirven para nada ni demuestran los conocimientos de nadie, sólo las reflexiones lo hacen.

Repito lo que dije:
[quote:bd71f70790=\"Drazhaz\"]Los comentarios que se suelen hacer en artículos son simplemente generales, no hay que tomarlos al pie de la letra y mirarlos con lupa, sirven únicamente de orientación.[/quote:bd71f70790]
Ya no se si es que la gente no lee lo que pongo...

No creo que este post sirva para nada, por lo tanto, insisto, en vez de discutir sobre las definiciones y sobre lo que es esto o lo otro, haz algo más útil como recomendar formas de protegerse y ayudar a los que tienen problemas.

Saludos.

TROYANOS

¿Cómo se introduce un troyano?
Un troyano es un programa que se introduce de diferentes formas. Para que no sea descubierto se utilizan técnicas de camuflaje, la más común es ir perfectamente unido y oculto a otro programa totalmente funcional y de apariencia inofensivo que es mostrado a la víctima persuadiéndola de su utilidad para que sea descargado y ejecutado, sin que ésta sea consciente de que este hecho producirá la instalación también del troyano.

Especificación de un troyano

Introducido el programa troyano, una de sus funciones es contactar con otro sistema ajeno denominado servidor para de una manera u otra manipular la información de la víctima de forma remota. Para producirse esta comunicación con el servidor se encargará de abrir algún puerto de comunicación en el ordenador introducido (método backdoor \"puerta trasera\") y a través de éste, contacta con el servidor realizando las funciones que tuviera específicas ese troyano. Hasta aquí los troyanos tienen estas características comunes

Distinción de tipos de troyanos

De como se manipula la información de la víctima se puede catalogar el tipo de troyano que es. Hay muchos tipos, desde los que el atacante puede manipular una máquina haciendo todo lo que la víctima haría con su propio teclado o con su ratón o incluso detectar todo lo que se este haciendo (transcriptores de actividad).

En algunos tipos es necesario como mínimo dos programas, uno es el troyano y otro programa como servidor remoto. En este caso el troyano ya introducido detecta la identificación personal (IP) del sistema atacado, abre un puerto de comunicación y le comunica al atacante la IP del atacado. Por lo general, cada troyano abre un número de puerto determinado, el atacador sabe que si le responde a su conexión, entrará por dicho puerto y ya se puede efectuar su dominio en el ordenador remoto. Cada troyano está preparado para realizar ciertos dominios remotos, algunos son perfectamente el completo de todo el ordenador. Hay troyanos que están diseñados para permitir el acceso sólo a la persona que infectó la máquina.

Otros troyanos recogen y mandan información del atacado que son recopilados de forma espía al servidor principalmente por empresas comerciales (spyware).

Continuación:

Esto es así porque las actividades de los troyanos se pueden clasificar globalmente como espías, aunque las actividades del spyware no se clasfican como troyanos, porque no permiten obtener control de las máquinas.

Finalmente, y como conclusión:
ES MUY dificil clasificar claramente un software como de tipo spyware, adware o troyano, porque en muchas ocasiones combinan características de los 3. Los comentarios que se suelen hacer en artículos son simplemente generales, no hay que tomarlos al pie de la letra y mirarlos con lupa, sirven únicamente de orientación.
Si se quiere algo científico, se debe consultar una tesis doctoral.

Yo no tengo que replantear objeciones porque no son mías, sino de doctores con prestigo universitario y de investigación.
Si algún dia, ellos y la ciencia dicen que el spyware es, teóricamente, lo mismo que un troyano y no hay distinción ninguna, para mi lo será.

Saludos.

Bien, cabe explicar algunas cosas:

1- Un troyano no es capaz de replicarse, se trata simplemente de un programa que sirve para dar a otros acceso a un ordenador (en otros se incluye tanto a personas como a otros programas), pueden tener otros efectos colaterales como código dañino o transporte de otras cosas, como spyware.

2- Un spyware no tiene porqué ser un troyano, al igual que un troyano no tiene porqué ser spyware (por sí solos), AUNQUE pueden ir juntos haciendo un todo.
Un troyano tiene cierta similitud con el spyware porque se encarga de enviar cierta información, pero de un tipo totalmente diferente a la que recaba el spyware. Los troyanos están para servir de plataforma de expansión al spyware.
El ejemplo más claro estaba en el Netbus o Subseven, etc.
Lo que no significa que no hayan spywares que se clasifiquen como troyanos, porque emplean características de ellos para penetrar y difundir su actividad, pero OJO, eso son híbridos.

\"el Spyware no representa un peligro de manipulación ajena del sistema, ni de daños a nuestro ordenador por parte de terceros (daños a la información almacenada, etc)\" -> Evidentemente, la finalidad del spyware es únicamente obtener información de la máquina en la que residen, y desplegar mensajes publicitarios no deseados entre otras cosas, aunque a veces, por errores o malas intenciones en la programación, puedan causar problemas en el sistema, pero NUNCA destrucción de datos.
¿El spyware (por sí solo) te ha eliminado alguna vez canciones o documentos de tu disco? Modifican la página de inicio y realizan otras actividades molestas, pero no destruyen datos.
Y si han destruido datos es porque iban acompañados de un troyano o un virus que tenía un payload destructivo.
Los payloads destructivos no salen de la nada, hay que programarlos, y si encima queremos replicación hay que saber ensamblador y manejar el vector de interrupciones.

[quote:a2b296fd4a=\"Lukoba\"]\"Yo he visto ordenadores completamente bloqueados y con archivos dañados por culpa de los espías, es más el sistema estaba dañado.\"[/quote:a2b296fd4a]

En ese caso no habrá sido sólo por spyware (propiamente dicho), sino por el posible troyano que acompañaba al spyware sirviendo de plataforma de soporte, hoy en día el spyware va acompañado de troyanos o virus que en muchas ocasiones pasan desapercibidos. El spyware por sí solo es una utopía. En muchas ocasiones necesitan apoyarse en otras estructuras, las cuales pueden tener código destructivo (en un porcentaje muy elevado).

Algunas citas.
PESTPATROL: \"Spyware is designed to feed the advertisers with information that allows them to target specific users with more relevant
advertisements. The classic way to do this is to monitor surfing habits and mail details back to the advertiser.\"
Lo cual ratifica lo que he dicho, el spyware alimenta con información a los publicistas pero no les da acceso a los recursos de la máquina, que es lo que hace un troyano.

En el siguiente documento de Stefan Saroiu, Steven D. Gribble, and Henry M. Levy del Department of Computer Science & Engineering - University of Washington se clasifica al spyware y adware como diferentes de los virus y los troyanos: http://www.cs.washington.edu/homes/g...rs/spyware.pdf

También cito como obra de consulta la tesis del doctor Marko Helenius de la Virus Research Unit de la Universidad de Tampere, en la que clasfica los troyanos como algo diferente al spyware (Malicious Toolkits and Others): http://acta.uta.fi/pdf/951-44-5394-8.pdf

Otra cita más, en este caso de Thomas F. Stafford y Andrew Urbaczewski, de la University of Memphis y University of Michigan respectivamente, en la que dicen: \"El spyware INCLUYE (que no significa define) Adware, Troyanos y Keyloggers\".
Lo cual significa que un spyware puede ser un troyano pero un troyano no tiene porqué ser spyware.

Spyware

Drazhaz dices:

\"tienen cierta similitud con los Troyanos\"
El spyware es un troyano, aclaro más, es un tipo más de troyano. Porque normalmente se considera por error a troyano sólo un tipo de troyano.
Los troyanos tienen características comunes definidas.
Igual a cualquier tipo de malware se le denomina virus. Creo que son errores de tipología y entendimiento.

\"el Spyware no representa un peligro de manipulación ajena del sistema, ni de daños a nuestro ordenador por parte de terceros (daños a la información almacenada, etc)\".

Los Spyware no son planteados para dañar la información almacenada, pero la verdad es otra, los spyware se dedican a espiar pero pensar que sus programadores los crean así, sin pensar si dicho programa va a dañar o no nuestro sistema. Si lo daña no van a tenerlo en cuenta. Un programa hay que depurarlo, eso trae líneas de código y engrandece el programa y si es más grande también es más fácil detectarlo, por lo tanto, el programa tiene que espiar, no ser detectado y os aseguro que muchos de ellos no se preocupa de lo que realmente su función pueda causar al sistema.

Yo he visto ordenadores completamente bloqueados y con archivos dañados por culpa de los espías, es más el sistema estaba dañado.

Drazhaz replanteate estas objecciones, que eso es de sabios.