Código fuente de detección de bufidos

Si una red corporativa se ha visto comprometida por virus y gusanos de correo electrónico, es probable que la red sea el primer objetivo de los caballos de Troya. Dado que los troyanos están cifrados mediante programas vinculantes y atacantes, es mucho más difícil para el software antivirus convencional detectar troyanos que gusanos y virus. Por otro lado, el daño causado por los caballos de Troya puede ser mucho mayor que el causado por gusanos y virus comunes. Por lo tanto, detectar y eliminar troyanos es una prioridad absoluta para los administradores de sistemas.

La mejor arma contra el código malicioso son las herramientas de detección de virus más recientes y maduras. Las herramientas de escaneo pueden detectar la mayoría de los troyanos y automatizar el proceso de limpieza cuando sea posible. Muchos administradores confían demasiado en herramientas especiales para detectar y eliminar troyanos, pero la eficacia de algunas herramientas es cuestionable, o al menos no digna de plena confianza. Sin embargo, Tauscan de Agnitum es de hecho un software de escaneo de primer nivel y su éxito en los últimos años ha demostrado su eficacia.

Una evidencia obvia de una intrusión troyana es que un puerto en la máquina de la víctima se abre accidentalmente. En particular, si este puerto fuera un puerto común para los troyanos, las pruebas de una invasión troyana serían aún más seguras. Una vez que se descubre evidencia de intrusión troyana, la conexión de red de la máquina debe cortarse lo antes posible para reducir la oportunidad de que los atacantes detecten y sigan atacando. Abra el Administrador de tareas, cierre todos los programas que estén conectados a Internet, como programas de correo electrónico y programas de mensajería instantánea, y cierre todos los programas en ejecución desde la bandeja del sistema. Tenga cuidado de no iniciar en modo seguro todavía. Arrancar en modo seguro generalmente evita que los troyanos se carguen en la memoria, lo que dificulta su detección.

Por supuesto, la mayoría de los sistemas operativos, incluido Windows, tienen una herramienta Netstat para detectar el estado de la red IP, que puede mostrar todos los puertos de escucha activos en la máquina local (incluidos UDP y TCP). Abra una ventana de línea de comando y ejecute el comando "Netstat -a" para mostrar todos los puertos IP abiertos en la máquina local. Preste atención a si hay puertos abiertos accidentalmente (por supuesto, esto requiere una cierta comprensión del concepto de puertos y el. puertos utilizados por programas comunes).

Muestra un ejemplo de detección de Netstat. Los resultados de la prueba muestran que se ha activado un puerto utilizado por Back Orifice (es decir, 31337) y que el cliente troyano utiliza el puerto 1216 (ROGERLAP) en la máquina remota. Además de los puertos utilizados habitualmente por los troyanos conocidos, preste especial atención a los servidores FTP (puerto 21) y servidores web (puerto 80) desconocidos.

Sin embargo, el comando Netstat tiene un inconveniente. Puede mostrar qué puertos IP se han activado, pero no qué programas o archivos han activado esos puertos. Para saber qué ejecutable creó qué conexión de red, debe utilizar una herramienta de enumeración de puertos. Por ejemplo, TCPView Professional Edition del software Winternals es una excelente herramienta de enumeración de puertos. Tauscan no sólo identifica troyanos, sino que también establece conexiones entre programas y puertos. Además, la herramienta Netstat de Windows XP proporciona una nueva opción -o, que puede mostrar el identificador de proceso (PID) del programa o servicio que utiliza el puerto. Con el PID, el administrador de tareas puede encontrar fácilmente el programa correspondiente según el PID.

Si no tiene una herramienta de enumeración de puertos a mano y no puede descubrir rápidamente la verdadera identidad del perpetrador detrás de escena, siga los pasos a continuación: Busque programas desconocidos que se inicien automáticamente, incluido el registro. . archivos ini, carpetas de inicio, etc. Luego reinicie la máquina en modo seguro y, si es posible, use el comando Netstat para confirmar que el troyano no se haya cargado en la memoria. A continuación, ejecute cada programa sospechoso previamente identificado, uno a la vez, y verifique si hay puertos recién abiertos usando el comando Netstat. Si un programa inicializa una conexión a Internet, debes tener mucho cuidado. Investigue minuciosamente todos los programas sospechosos y elimine cualquier software que no sea de confianza.

El comando Netstat y la herramienta de enumeración de puertos son excelentes para detectar una sola máquina, pero ¿qué sucede si desea detectar una red completa? La mayoría de los sistemas de detección de intrusiones son capaces de capturar paquetes de caballos de Troya que son comunes en las comunicaciones cotidianas. Los datos FTP y HTTP tienen estructuras de datos identificables especiales, al igual que los paquetes troyanos. Siempre que el IDS esté configurado correctamente y se actualice con frecuencia, puede incluso detectar de manera confiable comunicaciones cifradas entre Back Orifice y SubSeven. Consulte http://www.snort.org para obtener herramientas IDS públicas de código abierto.