Red de conocimiento informático - Aprendizaje de código fuente - Encontrar troyanos ocultos

Encontrar troyanos ocultos

Un día, cuando pagaste tu factura telefónica, te dedujeron una gran cantidad de tarifas de servicio de red; cuando iniciabas sesión en QQ y recibías correos electrónicos, siempre te decían que "la contraseña era incorrecta" mientras navegabas por Internet; Sentí que tu computadora no te estaba escuchando. En este momento, debes pensar si has sido pirateado. Es difícil para los piratas informáticos ingresar directamente a su máquina. El método habitual es implantar troyanos en su máquina, como programas descargados de Internet o programas "divertidos" enviados por "internautas". ¿Qué debes hacer si te piratean? Para evitar la invasión de virus, muchos usuarios han instalado software antivirus en sus computadoras personales. Siempre que se actualicen a tiempo, muchos programas antivirus pueden eliminar la mayoría de los troyanos. También se pueden encontrar software como "Trojan Star". Troyanos acechando en la máquina. Además, los programas de seguimiento de piratas informáticos como LockDown y Skynet Personal Firewall también pueden controlar las conexiones ilegales de los piratas informáticos. Pero si un hacker cambia el nombre del programa troyano, ¿cómo eliminar este troyano profundamente oculto? Mientras navega por Internet, si de repente descubre que su computadora no escucha sus comandos, o hay algún fenómeno extraño, como que la unidad de CD-ROM se expulsa o se apaga automáticamente, debe pensar inmediatamente que está siendo atacada por piratas informáticos. . Para los usuarios de Internet por acceso telefónico, deben cerrar sesión inmediatamente y finalizar la conexión con los piratas informáticos. Para los usuarios de LAN, debido a que están conectados a Internet durante mucho tiempo, pueden ser atacados en cualquier momento, por lo que generalmente necesitan instalar un cortafuegos de red personal. Simplemente haga clic en el botón [Desconectar red] en el firewall para detener inmediatamente la conexión del hacker, ya sea desde Internet o desde un usuario dentro de la LAN. Mientras se desconecta de la red, también debe presionar las teclas [Ctrl+Alt+Supr] para verificar si hay algún programa sospechoso ejecutándose en el sistema y detenerlo inmediatamente si lo encuentra. Si su sistema es Windows 98 o Windows 2000, lo mejor es ejecutar [Inicio] → [Programas] → [Accesorios] → [Herramientas del sistema] → [Información del sistema], hacer doble clic en "Entorno de software" y seleccionar "Ejecutar tareas" Busque la tarea que no desea ejecutar en la lista de tareas. En su lista de tareas, busque programas con los que no esté familiarizado o que no se estén ejecutando y elimínelos. Pero el caballo de Troya seguirá resurgiendo, ¿por qué? Esto se debe a que el pirata informático establece la asociación del tipo de archivo del troyano, normalmente con los tipos de archivos más utilizados, como TXT, EXE, etc. Cuando abre el tipo de archivo asociado con el troyano, puede ver el tipo de archivo asociado con el troyano. Cuando abre un archivo de un tipo asociado, primero se ejecutará el programa troyano del lado del servidor y luego se abrirá el programa predeterminado del sistema. Por lo tanto, asegúrese de verificar si los troyanos han modificado los elementos correspondientes en el registro, registre los valores clave modificados, luego busque los programas correspondientes a estos valores clave en el administrador de recursos y elimínelos, y luego reinicie la máquina para eliminar los troyanos. No puedo iniciar sesión en QQ y siempre informa que mi contraseña no coincide con la última. Es posible que mi contraseña haya sido pirateada. Si ha solicitado protección con contraseña en el sitio web oficial de Tencent, puede ir al sitio web oficial de Tencent para completar la información de protección con contraseña y recuperar su contraseña. Si no ha solicitado protección, me temo que tendrá que despedirse de su amado QQ. A veces, tu QQ recibirá muchos mensajes, lo que te impedirá recibir mensajes de tus amigos. Esto se debe a que alguien está usando bombas QQ. Cuando esto sucede, no debes entrar en pánico. Simplemente cierra QQ y vuelve a iniciar sesión. no habrá problema. Los usuarios de computadoras personales deben tomar algunas medidas técnicas para minimizar los riesgos de navegar por Internet. También deben tener cuidado de no abrir fácilmente archivos de fuentes desconocidas cuando navegan por Internet, realizar una detección de virus en todo lo que descarguen y desactivar el script. función de ejecución de navegadores y clientes de correo electrónico, instalar parches de IE, etc. ¡Solo así podrá disfrutar plenamente de los "beneficios" que ofrece la red! Sólo volando libremente en Internet podremos disfrutar plenamente de los "beneficios" de Internet y evitar sus "desventajas".

El autor de Backdoor.Huigezi no ha dejado de desarrollar Gray Pigeon. Además, algunas personas añaden deliberadamente varios shells a Gray Pigeon para evitar ser detectados por el software antivirus. Constantemente aparecen en Internet nuevas variantes de la paloma gris. Si tu máquina presenta síntomas de paloma gris, pero el software antivirus no puede detectarlas, es probable que haya sido infectada por una nueva variante del virus que no ha sido interceptada. En este caso, debes matar las palomas grises manualmente.

No es difícil eliminar Gray Dove manualmente, pero es importante que sepamos cómo funciona.

Cómo funciona Grey Pigeon

El troyano Grey Pigeon se divide en dos partes: cliente y servidor.

Un hacker (llamémoslo así) manipula el cliente y utiliza la configuración del cliente para generar un programa del lado del servidor. El nombre del archivo del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan el troyano (comúnmente conocido como troyano semilla o puerta trasera) a través de varios canales. Hay muchas formas de implantar un troyano. Por ejemplo, un hacker puede vincularlo a una imagen y luego pretender ser una chica tímida y pasarte el troyano a través de QQ para incitarte a ejecutarlo. página web personal para atraerlo a hacer clic Luego use la vulnerabilidad de IE para descargar el caballo de Troya en su máquina y ejecutarlo. También puede cargar el archivo en un sitio web de descarga de software y pretender ser un software interesante para atraer a los usuarios a descargarlo. ......

Después de ejecutar G_Server.exe, cópiese al directorio de Windows (en 98/xp, es el directorio de Windows del disco del sistema, en 2k/NT, es el directorio Winnt directorio del disco del sistema), y luego G_Server.dll y G_Server_Hook.dll se liberan del cuerpo. G_Server.exe, G_Server.dll y G_Server_Hook.dll son los tres archivos que componen el servidor Gray Pigeon. Algunos Gray Pigeons también lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Tenga en cuenta que el nombre del archivo G_Server.exe no es fijo. Se puede personalizar. Por ejemplo, cuando el nombre del archivo del lado del servidor se personaliza como A.exe, los archivos generados son A.exe, A.dll y A_Hook. dll.

El archivo G_Server.exe en el directorio de Windows se compone de tres archivos. El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribirá un elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se inicia la computadora. Después de ejecutarse, se ejecutarán G_Server.dll y G_Server_Hook.dll. iniciado y salir automáticamente. El archivo G_Server.dll implementa la funcionalidad de puerta trasera y puede comunicarse con el cliente de la consola, mientras que G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo de virus ni los elementos de servicio registrados por el virus. Debido a las diferentes configuraciones de los archivos del lado del servidor de Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y a veces a todos los procesos.

Detección manual de Gray Pigeon

Debido a que Gray Pigeon intercepta llamadas API, el archivo troyano y su servicio registrado están ocultos en el modo normal, lo que significa que incluso si configura "Mostrar todo oculto files", tampoco puedo verlos. Además, los nombres de los archivos del servidor Gray Pigeon se pueden personalizar, lo que dificulta su detección manual.

Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Con esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión.

Dado que Grey Pigeon se esconde en modo normal, Gray Pigeon debe ser detectado en modo seguro. El método para ingresar al modo seguro es: inicie la computadora, presione la tecla F8 (o mantenga presionada la tecla Ctrl al iniciar la computadora) antes de que el sistema ingrese a la pantalla de inicio de Windows y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de inicio que aparece. Seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de inicio que aparece.

1. Dado que el archivo Gray Dove tiene atributos ocultos, Windows debe configurarse para mostrarlos todos. Computadora", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", elimine la marca de verificación frente a "Ocultar archivos protegidos del sistema operativo" y seleccione "Mostrar todo" en "Archivos y carpetas ocultos". "Artículo Archivos y carpetas. "Luego haga clic en "Aceptar".

2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (el valor predeterminado es C:\windows para 98/xp). , C:\windows para 2k/NT) \windows 2k/NT es C:\Winnt).

3. Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).

4. Según el análisis del principio de la paloma gris, sabemos que si Game_Hook.DLL es un archivo de la paloma gris, también habrá archivos Game.exe y Game.dll en el directorio de instalación de. el sistema operativo. Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo GameKey.dll para registrar las operaciones del teclado.

Después de estos pasos, básicamente podemos confirmar que estos archivos son troyanos Grey Pigeon y podemos eliminarlos manualmente. Además, si encuentra una variante de Gray Pigeon que no es detectada por el software antivirus de Rising, puede cargar la muestra en el nuevo sitio web de informes de virus de Rising ().

Eliminar Gray Pigeon manualmente

Después del análisis anterior, eliminar Gray Pigeon es muy sencillo. Para eliminar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales: 1. Eliminar el servicio Gray Pigeon. 2. Eliminar los archivos del programa Gray Pigeon.

Nota: Para evitar un mal uso, asegúrese de realizar una copia de seguridad antes de eliminar.

1. Elimine el servicio Gray Pigeon

Sistema 2000/XP:

1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", escriba "Regedit"). "Regedit.exe", OK). Además, abra la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.

2. Haga clic en el menú "Editar" - "Buscar", ingrese "game.exe" en "Objetivo de búsqueda", haga clic en Aceptar, podemos encontrar el servicio Grey Pigeon (Game_Server en este ejemplo).

3. Elimina toda la entrada Game_Server.

Sistemas 98/me:

En 9X, solo hay una entrada de inicio de Gray Pigeon, por lo que eliminarla es más fácil. Ejecute el editor de registro y abra el elemento HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Inmediatamente veremos un elemento llamado Game.exe. Simplemente elimine el elemento Game.exe.

En segundo lugar, elimine los archivos del programa Gray Pigeon

Eliminar los archivos del programa Gray Pigeon es muy sencillo: simplemente elimine Game.exe, Game.dll y Game_Hook en el directorio de Windows de forma segura. mode.dll y Gamekey.dll y luego reinicie la computadora. En este punto, Grey Pigeon ha sido eliminado.

Resumen

En este artículo, proporcionamos un método general para detectar y eliminar manualmente Gray Pigeon, que se aplica a la mayoría de los troyanos Gray Pigeon y sus variantes que hemos visto, pero. Todavía hay muy pocas variantes que no se pueden detectar y eliminar con este método. Al mismo tiempo, con el lanzamiento continuo de nuevas versiones de Gray Pigeon, el autor puede agregar algunos nuevos métodos de ocultación y métodos anti-eliminación, lo que hace cada vez más difícil detectarlo y eliminarlo manualmente. Cuando esté seguro de que su máquina ha sido infectada por un troyano y no puede ser detectada mediante los métodos presentados en este artículo, lo mejor es buscar un amigo experimentado que lo ayude a resolver el problema.

Análisis completo de los troyanos

El ordenador de un cliente mostró síntomas extraños, como ralentización, bandeja del disco entrando y saliendo de forma errática, mensajes de error nunca antes vistos e imágenes de la pantalla volteándose. . esperar. Lo desconecté de Internet y seguí los pasos estándar para lidiar con el malware, identificando finalmente a los culpables: dos troyanos de acceso remoto, uno del infame Back Orifice de Cult of the Dead Cow y otro de un Back Orifice menos que estelar. .Común La Cosa. En este caso, el atacante parecía ser simplemente un niño que simplemente intentaba hacer algunas bromas para sacar a la gente de Internet o intercambiar algún material pornográfico, pero nada más peligroso. Si el atacante tiene otros objetivos más peligrosos, es posible que pueda robar grandes cantidades de información confidencial de las máquinas y redes de los clientes.

Los troyanos son más peligrosos que cualquier otra forma de código malicioso y la mejor manera de mantenerse a salvo es familiarizarse con los tipos de troyanos, cómo funcionan y cómo detectar y prevenir estos códigos desagradables.

Primera introducción a los troyanos

Un troyano es un programa malicioso que se ejecuta silenciosamente en un host sin el conocimiento del usuario, lo que permite a un atacante obtener acceso remoto y permisos de control del sistema. En términos generales, la mayoría de los programas troyanos imitarán las funciones de algún software de control remoto común, como pcAnywhere de Symantec, pero los programas troyanos también tienen algunas características distintivas, como su instalación y operación de forma encubierta. Los atacantes suelen ocultar programas troyanos en juegos o pequeños programas para atraer a usuarios desprevenidos a ejecutarlos en sus máquinas. Lo más habitual es que los usuarios descarguen y ejecuten malware desde sitios web no autorizados o hagan clic accidentalmente en archivos adjuntos de correo electrónico que contienen código malicioso.

La mayoría de los troyanos incluyen componentes del lado del cliente y del lado del servidor. Los atacantes utilizan una herramienta llamada carpeta para vincular partes del servidor con algún software legítimo y engañar a los usuarios para que ejecuten el software legítimo. Una vez que el usuario ejecuta el software, la parte del servidor del troyano completa el proceso de instalación sin que el usuario lo sepa. Por lo general, la parte del servidor del troyano se puede personalizar. Los elementos que el atacante puede personalizar generalmente incluyen: el número de puerto IP del servidor, la hora en que se inicia el programa, cómo enviar llamadas, cómo ser invisible y si cifrar. , etc. Además, un atacante puede establecer una contraseña para iniciar sesión en el servidor y determinar el método de comunicación.

El servidor puede notificar al atacante enviando un correo electrónico anunciando que se ha apoderado exitosamente de la máquina, o puede contactar con un canal de comunicación oculto de Internet que transmite además la dirección IP de la máquina infectada, cuando el servidor; Una vez activada una parte del troyano, puede comunicarse directamente con el programa cliente que se ejecuta en la máquina del atacante a través de un puerto predefinido. No importa cómo estén conectados el programa servidor y el programa cliente del troyano, una cosa sigue siendo la misma: los atacantes siempre utilizan el programa cliente para enviar comandos al programa servidor con el fin de manipular la máquina del usuario.

Los atacantes troyanos pueden ver las máquinas comprometidas como deseen o pueden transmitir comandos para indicar a todos los troyanos bajo su control que actúen juntos, se propaguen a un área más grande o realicen otras cosas peligrosas. De hecho, todo lo que se necesita es una palabra clave predefinida para hacer que cualquier máquina comprometida formatee su disco duro o lance un ataque a otro host. Los atacantes suelen utilizar virus troyanos para infectar una gran cantidad de máquinas y luego lanzar ataques distribuidos de denegación de servicio (DoS) en hosts clave. Cuando la víctima siente que la red está a punto de verse inundada con tráfico inusual e intenta encontrar al atacante, sólo puede rastrear a un gran número de usuarios despistados de DSL o de módem por cable que también son víctimas, y el verdadero atacante hace tiempo que escapó. El verdadero atacante hace tiempo que escapó.

2. Programas maliciosos extremadamente peligrosos

Para la mayoría de los programas maliciosos, siempre que se eliminen, el peligro desaparecerá y la amenaza ya no existirá, pero los troyanos son algo especiales. Los troyanos, al igual que los virus, gusanos y otros programas maliciosos, también pueden eliminar o modificar archivos, formatear discos duros, cargar y descargar archivos, acosar a los usuarios y expulsar otros programas maliciosos. Por ejemplo, a menudo se pueden ver atacantes secuestrando juegos o juegos guardados. En las máquinas comprometidas, las herramientas de ataque ocupan casi todo el espacio en disco del usuario, pero además, los troyanos también tienen sus propias funciones únicas (robo de contenido, control remoto), lo que los convierte en el malware más peligroso.

En primer lugar, el troyano puede capturar cada pantalla y evento clave del usuario, lo que significa que los atacantes pueden robar fácilmente las contraseñas del usuario, rutas de directorio, asignaciones de unidades e incluso registros médicos, cuentas bancarias y Tarjetas de crédito y comunicaciones personales. Si la computadora tiene un micrófono, el troyano puede escuchar la conversación. Si su PC tiene una cámara web, muchos troyanos pueden encender la cámara y capturar contenido de vídeo; actualmente, en el mundo de los códigos maliciosos, la mayor amenaza para la privacidad del usuario son los troyanos, porque en los troyanos, todo lo que dice y hace frente a su PC Se puede grabar todo.

Algunos troyanos tienen rastreadores de paquetes que capturan y analizan cada paquete que fluye a través de la tarjeta de red. Un atacante puede utilizar la información robada por el troyano para configurar una puerta trasera. Incluso si el troyano se elimina posteriormente, el atacante aún puede invadir fácilmente utilizando la puerta trasera que queda.

En segundo lugar, si un usuario no autorizado domina la capacidad de controlar remotamente el host, el host se convertirá en una poderosa arma de ataque. Un atacante remoto no sólo puede manipular los recursos de la PC a voluntad, sino que también puede hacerse pasar por el usuario legítimo de la PC, por ejemplo enviando correos electrónicos, modificando documentos y, por supuesto, atacando a otras máquinas usando la máquina comprometida. Hace dos años, un usuario doméstico me pidió que le ayudara a demostrar ante una agencia comercial que no había presentado lo que parecía ser claramente una operación con acciones perdedoras. La casa comercial registró la dirección IP de su computadora en esa operación y encontré rastros de la operación en disputa en el búfer de su navegador. Además, encontré rastros del troyano SubSeven (también conocido como Backdoor_G). Si bien no hay evidencia de que el troyano estuviera directamente relacionado con las transacciones bursátiles que tanto le costaron, está claro que el troyano estaba activo en el momento de la transacción.

Tres tipos de troyanos

Los troyanos comunes, como Back Orifice y SubSeven, son kits de ataque multipropósito con una amplia gama de usos, incluida la capacidad de capturar contenido de pantalla, sonido y video. . Estos troyanos pueden actuar como registradores de claves, controladores remotos, servidores FTP, servidores HTTP, servidores Telnet y también pueden encontrar y robar contraseñas. Un atacante puede configurar los puertos en los que escucha el troyano, cómo opera y si el troyano contacta a la persona que lanza el ataque por correo electrónico, IRC u otros medios de comunicación. Algunos troyanos más dañinos también tienen ciertas capacidades antidetección. Pueden ocultarse de varias maneras, cifrar las comunicaciones e incluso proporcionar API de nivel profesional para que otros atacantes desarrollen funciones adicionales. Debido a su amplia funcionalidad, estos troyanos tienden a ser de gran tamaño, normalmente de 100 KB a 300 KB, lo que hace relativamente difícil instalarlos en la máquina de un usuario sin llamar la atención.

En el caso de los troyanos de función única, los atacantes intentarán mantenerlos pequeños (normalmente entre 10 KB y 30 KB) para que puedan activarse rápidamente y pasar desapercibidos. Estos troyanos se utilizan a menudo como registradores de teclas, registrando cada pulsación de tecla del usuario víctima y guardándola en un archivo oculto para que el atacante pueda descargar el archivo y analizar las acciones del usuario. También existen troyanos que actúan como servidores FTP, Web o de chat. Normalmente, estos microtroyanos se utilizan únicamente para robar capacidades de control remoto iniciales difíciles de obtener, asegurando la intrusión inicial de modo que se pueda cargar e instalar un troyano grande y completamente funcional en un momento oportuno que probablemente no llame la atención.

Busque la palabra clave "troyano de acceso remoto" en cualquier sitio de búsqueda de Internet y rápidamente obtendrá cientos de troyanos, tantos que la mayoría de los troyanos se especializan en troyanos. El sitio web tenía que estar ordenado alfabéticamente, con. decenas o incluso cientos de troyanos debajo de cada letra. Echemos un vistazo a dos de los troyanos más populares:

■ Back Orifice

Back Orifice fue desarrollado por Cult of the Dead Cow en 1998 y el programa rápidamente se convirtió en uno de los troyanos más populares del mundo Su fama se debe a que no sólo posee Back Orifice 2000 (o BO2K), sino que también lo publica bajo la GNU GPL (Licencia Pública General) con la esperanza de atraer una base de usuarios integrada. competir con programas de control remoto más antiguos como pcAnywhere.

Pero este no es el caso.

Sin embargo, su modo operativo encubierto predeterminado y su obvia intención de ataque hacen que sea poco probable que muchos usuarios lo acepten en el corto plazo. Un atacante puede utilizar la herramienta de configuración del servidor de BO2K para configurar una gran cantidad de parámetros del servidor, incluidos TCP o UDP, número de puerto, tipo de cifrado, activación secreta (funciona mejor en máquinas con Windows 9x, menos efectiva en máquinas con Windows NT), contraseñas, complementos. ins, etc.

Back Orifice tiene muchas funciones impresionantes, como registro de eventos de pulsación de teclas, exploración de archivos HTTP, edición de registro, captura de audio y vídeo, robo de contraseñas, redirección de puertos TCP/IP, mensajería, reinicio remoto, bloqueo remoto y cifrado de paquetes. , compresión de archivos, etc.

El complemento bo_peep.dll predeterminado permite a un atacante controlar de forma remota el teclado y el mouse de la computadora. En términos de aplicación práctica, Back Orifice es muy sensible a los comandos mal escritos y los principiantes sin experiencia pueden provocar que se bloquee con frecuencia, pero cuando lo utilizan veteranos experimentados, se vuelve dócil y poderoso.

■SubSeven

SubSeven puede ser más popular que Back Orifice y siempre ha estado en la cima de las clasificaciones de estadísticas de infección de los principales proveedores de antivirus. SubSeven se puede utilizar como registrador de teclas, rastreador de paquetes, redirección de puertos, modificación de registro, grabación de micrófono y cámara, y más. La Figura 2 muestra algunos de los comandos del cliente y las opciones de configuración del servidor de SubSeven.

SubSeven tiene muchas características que avergonzarán a la víctima: los atacantes pueden intercambiar remotamente las teclas del mouse, activar/desactivar el bloqueo de mayúsculas, el bloqueo de minúsculas y el bloqueo de desplazamiento, desactivar las combinaciones de teclas Ctrl+Alt+Supr, cerrar sesión en usuario, enciende y apaga la unidad óptica, apaga y enciende el monitor, gira la pantalla, apaga y reinicia la computadora, y más.

SubSeven utiliza ICQ, IRC, correo electrónico e incluso scripts CGI para comunicarse con el atacante. Puede cambiar aleatoriamente el puerto del servidor y notificar al atacante cuando el puerto cambia. Además, SubSeven proporciona código especializado para robar contraseñas de AOL Instant Messenger (AIM), ICQ, RAS y protectores de pantalla.

Cuatro: detectar y eliminar troyanos

Si la red corporativa es atacada por virus y gusanos de correo electrónico, es probable que la red sea el principal objetivo de los troyanos. Debido a que los troyanos están cifrados por programas incluidos y atacantes, encontrar troyanos es mucho más difícil para el software antivirus tradicional que encontrar gusanos y virus. Por otro lado, los troyanos también causan daños mucho mayores que los gusanos y virus comunes. Por lo tanto, detectar y eliminar troyanos es una prioridad absoluta para los administradores de sistemas.

La mejor arma para luchar contra el código malicioso son las últimas y avanzadas herramientas de detección de virus. Las herramientas de escaneo pueden detectar la mayoría de los troyanos y automatizar el proceso de limpieza siempre que sea posible. Muchos administradores dependen demasiado de ciertas herramientas específicas de troyanos para detectar y eliminar troyanos, pero la efectividad de algunas de estas herramientas es cuestionable, o al menos no completamente confiable. Sin embargo, Tauscan de Agnitum califica como un software de escaneo de primer nivel y su éxito en los últimos años ha demostrado su eficacia.

Una evidencia obvia de intrusión de un caballo de Troya es la apertura accidental de un puerto en la computadora víctima. Especialmente si el puerto es un puerto comúnmente utilizado por los caballos de Troya, entonces la evidencia de la intrusión de un caballo de Troya será. aún más concluyente. Una vez que se encuentra evidencia de un troyano, la máquina debe desconectarse de la red inmediatamente para minimizar la posibilidad de que un atacante lo descubra y lo ataque más. Abra el Administrador de tareas, cierre todos los programas conectados a Internet, como programas de correo electrónico, programas de mensajería instantánea, etc., y cierre todos los programas en ejecución desde la bandeja del sistema. Tenga cuidado de no iniciar en modo seguro todavía. Arrancar en modo seguro a menudo evita que los troyanos se carguen en la memoria, lo que dificulta su detección.

La mayoría de los sistemas operativos (incluido Windows, por supuesto) vienen con una utilidad Netstat que puede detectar el estado de una red IP y mostrar todos los puertos de escucha activos (UDP y TCP) en la computadora local.

Abra una ventana de línea de comando y ejecute el comando "Netstat -a" para mostrar todos los puertos IP abiertos en la computadora local y registrar cualquier puerto abierto accidentalmente (por supuesto, esto requiere una cierta comprensión del concepto de puertos y los puertos utilizados por los usuarios comunes). programas) comprensión).

Tome la detección de Netstat como ejemplo, que muestra que el puerto utilizado por Back Orifice (es decir, 31337) se ha activado y el programa cliente troyano está utilizando el puerto 1216 en la computadora remota (ROGERLAP). Además de los puertos conocidos que suelen utilizar los troyanos, se debe prestar especial atención a los servidores FTP (puerto 21) y servidores web (puerto 80) desconocidos.

Sin embargo, el comando Netstat tiene una desventaja, es decir, sólo puede mostrar qué puertos IP están activados, pero no qué programas o archivos activan dichos puertos. Para saber qué ejecutable creó qué conexión de red, debe utilizar una herramienta de enumeración de puertos, como TCPView Professional Edition de Winternals Software, una excelente herramienta de enumeración de puertos. Además, la herramienta Netstat para Windows XP proporciona una nueva opción -o que muestra el identificador de proceso (PID) del programa o servicio que utiliza el puerto. Con un PID, es fácil usar el Administrador de tareas para encontrar el programa correspondiente según el PID.

Si no tiene una herramienta de búsqueda de tablas de puertos a mano y no puede descubrir rápidamente la verdadera identidad del cerebro detrás de escena, siga los pasos a continuación: Busque inicios automáticos extraños en el registro, archivos .ini, carpetas de inicio, etc. Luego reinicie la máquina en modo seguro y, si es posible, use el comando Netstat para asegurarse de que el troyano no se haya cargado en la memoria. A continuación, ejecute uno por uno los programas sospechosos descubiertos anteriormente y compruebe si hay puertos recién abiertos utilizando el comando Netstat. Tenga especial cuidado si el programa inicializa una conexión a Internet. Sumérgete en todos los programas problemáticos y elimina cualquier software que no sea de confianza.

El comando Netstat y la herramienta de enumeración de puertos son excelentes para inspeccionar una sola máquina, pero ¿qué sucede si desea inspeccionar una red completa? La mayoría de los sistemas de detección de intrusos (IDS) son capaces de capturar paquetes troyanos comunes en las comunicaciones habituales. Los datos FTP y HTTP tienen estructuras de datos especiales que son reconocibles, al igual que los paquetes troyanos. Siempre que el IDS esté configurado correctamente y actualizado con frecuencia, puede detectar de manera confiable incluso el tráfico cifrado Back Orifice y SubSeven. Después de verificar la conexión y seguir los procedimientos estándar para lidiar con el malware, se identificaron los culpables: dos troyanos de acceso remoto: uno es el infame Back Orifice de Cult of the Dead Cow y el otro es el menos común The Thing. Si el atacante tiene otros objetivos más peligrosos, podría robar grandes cantidades de información confidencial de las máquinas y redes de los clientes.

Los troyanos son más peligrosos que cualquier otra forma de código malicioso y la mejor manera de mantenerse seguro es familiarizarse con los tipos de troyanos, cómo funcionan y cómo detectar y prevenir estos códigos maliciosos.

Un primer vistazo a los troyanos

Un troyano es un programa malicioso que se ejecuta silenciosamente en un host sin el conocimiento del usuario, lo que permite a un atacante obtener acceso remoto y controlar los permisos del sistema. En términos generales, la mayoría de los programas troyanos imitarán las funciones de algún software de control remoto común, como pcAnywhere de Symantec, pero los programas troyanos también tienen algunas características distintivas, como su instalación y operación de forma encubierta. Los atacantes suelen ocultar programas troyanos en juegos o pequeños programas para atraer a usuarios desprevenidos a ejecutarlos en sus máquinas. Lo más habitual es que los usuarios descarguen y ejecuten malware desde sitios web no autorizados o hagan clic accidentalmente en archivos adjuntos de correo electrónico que contienen código malicioso.

La mayoría de los troyanos incluyen componentes del lado del cliente y del lado del servidor. Los atacantes utilizan una herramienta llamada carpeta para vincular partes de un servidor a algún software legítimo, engañando así a los usuarios para que ejecuten software legítimo

.