Infección: Troyano Trojan-PSW.Win32.OnLineGames.ded C:\WINDOWS\system32\kvmxcma.dll 19 KB
Si una red corporativa ha estado plagada de virus y gusanos de correo electrónico, es probable que la red también sea un objetivo principal para los caballos de Troya. Debido a que los troyanos están cifrados por paquetes y atacantes, encontrar troyanos es mucho más difícil para el software antivirus tradicional que encontrar gusanos y virus. Por otro lado, los troyanos también causan daños mucho mayores que los gusanos y virus comunes. Por lo tanto, detectar y eliminar troyanos es una prioridad absoluta para los administradores de sistemas.
La mejor arma para luchar contra el código malicioso son las últimas y avanzadas herramientas de detección de virus. Las herramientas de escaneo pueden detectar la mayoría de los troyanos y automatizar el proceso de limpieza siempre que sea posible. Muchos administradores dependen demasiado de ciertas herramientas específicas de troyanos para detectar y eliminar troyanos, pero la efectividad de algunas de estas herramientas es cuestionable, o al menos no completamente confiable. Sin embargo, Tauscan de Agnitum califica como un software de escaneo de primer nivel y su éxito en los últimos años ha demostrado su eficacia.
Una evidencia obvia de intrusión de un caballo de Troya es la apertura accidental de un puerto en la computadora víctima. Especialmente si el puerto es un puerto comúnmente utilizado por los caballos de Troya, entonces la evidencia de la intrusión de un caballo de Troya será. aún más concluyente. Una vez que se encuentra evidencia de un troyano, la máquina debe desconectarse de la red inmediatamente para minimizar la posibilidad de que un atacante lo descubra y lo ataque más. Abra el Administrador de tareas, cierre todos los programas conectados a Internet, como programas de correo electrónico, programas de mensajería instantánea, etc., y cierre todos los programas en ejecución desde la bandeja del sistema. Tenga cuidado de no iniciar en modo seguro todavía. Arrancar en modo seguro a menudo evita que los troyanos se carguen en la memoria, lo que dificulta su detección.
La mayoría de los sistemas operativos (incluido Windows, por supuesto) vienen con una utilidad Netstat que puede detectar el estado de una red IP y mostrar todos los puertos de escucha activos (UDP y TCP) en la computadora local. Abra una ventana de línea de comando y ejecute el comando "Netstat -a" para mostrar todos los puertos IP abiertos en la computadora local y registrar cualquier puerto abierto accidentalmente (por supuesto, esto requiere una cierta comprensión del concepto de puertos y los puertos utilizados por los usuarios comunes). programas) comprensión).
Tome la detección de Netstat como ejemplo, que muestra que el puerto utilizado por Back Orifice (es decir, 31337) se ha activado y el programa cliente troyano está utilizando el puerto 1216 en la computadora remota (ROGERLAP). Además de los puertos conocidos que suelen utilizar los troyanos, se debe prestar especial atención a los servidores FTP (puerto 21) y servidores web (puerto 80) desconocidos.
Sin embargo, el comando Netstat tiene una desventaja, es decir, sólo puede mostrar qué puertos IP están activados, pero no qué programas o archivos activan dichos puertos. Para saber qué ejecutable creó qué conexión de red, debe utilizar una herramienta de enumeración de puertos, como TCPView Professional Edition de Winternals Software, una excelente herramienta de enumeración de puertos. Además, la herramienta Netstat para Windows XP proporciona una nueva opción -o que muestra el identificador de proceso (PID) del programa o servicio que utiliza el puerto. Con un PID, es fácil usar el Administrador de tareas para encontrar el programa correspondiente según el PID.
Si no tiene una herramienta de búsqueda de tablas de puertos a mano y no puede descubrir rápidamente la verdadera identidad del cerebro detrás de escena, siga los pasos a continuación: Busque en el registro, archivos .ini , carpetas de inicio, etc. para archivos extraños de inicio automático. Luego reinicie la máquina en modo seguro y, si es posible, use el comando Netstat para asegurarse de que el troyano no se haya cargado en la memoria. A continuación, ejecute uno por uno los programas sospechosos descubiertos anteriormente y compruebe si hay puertos recién abiertos utilizando el comando Netstat. Tenga especial cuidado si el programa inicializa una conexión a Internet. Sumérgete en todos los programas problemáticos y elimina cualquier software que no sea de confianza.
El comando Netstat y la herramienta de enumeración de puertos son excelentes para inspeccionar una sola máquina, pero ¿qué sucede si desea inspeccionar una red completa? La mayoría de los sistemas de detección de intrusos (IDS) son capaces de capturar paquetes troyanos comunes en las comunicaciones habituales. Los datos FTP y HTTP tienen estructuras de datos especiales que son reconocibles, al igual que los paquetes troyanos. Si el IDS se configura correctamente y se actualiza con frecuencia, puede incluso detectar de manera confiable el tráfico cifrado Back Orifice y SubSeven. Para herramientas IDS de código abierto comunes, consulte http://www.snort.org.
5. Cómo solucionar los problemas restantes
Después de detectar y eliminar el troyano, surgió otra pregunta importante: ¿el atacante remoto robó alguna información confidencial? ¿Cuánto daño se causó? Es difícil dar una respuesta clara, pero puedes determinar el nivel de daño haciendo las siguientes preguntas. En primer lugar, ¿cuánto tiempo llevan existiendo los troyanos? La fecha de creación de un documento no siempre es del todo fiable, pero puede aportar cierta información. Utilice el Explorador de Windows para ver la fecha de creación y la fecha del último acceso del archivo ejecutable del troyano. Si la fecha de creación del ejecutable es muy temprana y la fecha del último acceso es muy reciente, es probable que el atacante haya estado utilizando el troyano durante bastante tiempo.
En segundo lugar, ¿qué acciones tomó el atacante después de invadir la máquina? ¿El atacante accedió a bases de datos confidenciales, envió correos electrónicos, accedió a otras redes remotas o directorios compartidos? ¿El atacante obtuvo derechos de administrador? Examine cuidadosamente las máquinas comprometidas en busca de pistas, como por ejemplo, ¿se accedió a los archivos y programas en fechas fuera del horario de oficina del usuario?
En entornos con menores requisitos de seguridad, la mayoría de los usuarios pueden volver a trabajar después de eliminar el troyano, siempre y cuando se hagan esfuerzos para evitar que atacantes remotos tengan éxito en el futuro. Para entornos con requisitos de seguridad moderados, es mejor poder cambiar todas las contraseñas y otra información más confidencial (como números de tarjetas de crédito, etc.).
Para situaciones con altos requisitos de seguridad, no se pueden tolerar riesgos potenciales desconocidos. Si es necesario, el administrador o líder de seguridad de la red debe ajustarse para probar minuciosamente toda la red y cambiar todas las contraseñas, y luego realizar los riesgos posteriores. análisis sobre esta base. Las máquinas dañadas se deben reformatear y reinstalar por completo.
El daño causado por un caballo de Troya puede ser asombroso. Debido a que puede controlar remotamente la máquina y capturar la pantalla, el teclado, el audio y el video, su poder destructivo es mucho mayor que el de los virus y gusanos comunes. Sólo comprendiendo los principios operativos de los troyanos y tomando las medidas defensivas correctas podremos reducir eficazmente el daño de los troyanos.