Mi computadora ha sido infectada por un troyano y todas las carpetas se han convertido en accesos directos, de solo 1 KB de tamaño.

Si una red corporativa es atacada por virus y gusanos de correo electrónico, es probable que la red también sea un objetivo principal para los troyanos. Debido a que tanto el paquete como el atacante cifran los troyanos, encontrar troyanos es mucho más difícil para el software antivirus tradicional que encontrar gusanos y virus. Por otro lado, los troyanos también causan daños mucho mayores que los gusanos y virus comunes. Por lo tanto, detectar y eliminar troyanos es una prioridad absoluta para los administradores de sistemas.

La mejor arma para luchar contra el código malicioso son las últimas y avanzadas herramientas de detección de virus. Las herramientas de escaneo pueden detectar la mayoría de los troyanos y automatizar el proceso de limpieza siempre que sea posible. Muchos administradores dependen demasiado de ciertas herramientas específicas de troyanos para detectar y eliminar troyanos, pero la efectividad de algunas de estas herramientas es cuestionable, o al menos no completamente confiable. Sin embargo, Tauscan de Agnitum califica como un software de escaneo de primer nivel y su éxito en los últimos años ha demostrado su eficacia.

Una evidencia obvia de intrusión de un caballo de Troya es la apertura accidental de un puerto en la computadora víctima. Especialmente si el puerto es un puerto comúnmente utilizado por los caballos de Troya, entonces la evidencia de la intrusión de un caballo de Troya será. aún más concluyente. Una vez que se encuentra evidencia de un troyano, la máquina debe desconectarse de la red inmediatamente para minimizar la posibilidad de que un atacante lo descubra y lo ataque más. Abra el Administrador de tareas, cierre todos los programas conectados a Internet, como programas de correo electrónico, programas de mensajería instantánea, etc., y cierre todos los programas en ejecución desde la bandeja del sistema. Tenga cuidado de no iniciar en modo seguro todavía. Arrancar en modo seguro a menudo evita que los troyanos se carguen en la memoria, lo que dificulta su detección.

La mayoría de los sistemas operativos (incluido Windows, por supuesto) vienen con una utilidad Netstat que puede detectar el estado de una red IP y mostrar todos los puertos de escucha activos (UDP y TCP) en la computadora local. Abra una ventana de línea de comando y ejecute el comando "Netstat -a" para mostrar todos los puertos IP abiertos en la computadora local y registrar cualquier puerto abierto accidentalmente (por supuesto, esto requiere una cierta comprensión del concepto de puertos y los puertos utilizados por los usuarios comunes). programas) comprensión).

Tome la detección de Netstat como ejemplo, que muestra que el puerto utilizado por Back Orifice (es decir, 31337) se ha activado y el programa cliente troyano está utilizando el puerto 1216 en la computadora remota (ROGERLAP). Además de los puertos conocidos que suelen utilizar los troyanos, se debe prestar especial atención a los servidores FTP (puerto 21) y servidores web (puerto 80) desconocidos.

Sin embargo, el comando Netstat tiene una desventaja, es decir, sólo puede mostrar qué puertos IP están activados, pero no qué programas o archivos activan dichos puertos. Para saber qué ejecutable creó qué conexión de red, debe utilizar una herramienta de enumeración de puertos, como TCPView Professional Edition de Winternals Software, una excelente herramienta de enumeración de puertos. Además, la herramienta Netstat para Windows XP proporciona una nueva opción -o que muestra el identificador de proceso (PID) del programa o servicio que utiliza el puerto. Con un PID, es fácil usar el Administrador de tareas para encontrar el programa correspondiente según el PID.

Si no tiene una herramienta de búsqueda de tablas de puertos a mano y no puede descubrir rápidamente la verdadera identidad del cerebro detrás de escena, siga los pasos a continuación: Busque inicios automáticos extraños en el registro, archivos .ini, carpetas de inicio, etc. Luego reinicie la máquina en modo seguro y, si es posible, use el comando Netstat para asegurarse de que el troyano no se haya cargado en la memoria. A continuación, ejecute uno por uno los programas sospechosos descubiertos anteriormente y compruebe si hay puertos recién abiertos utilizando el comando Netstat. Tenga especial cuidado si el programa inicializa una conexión a Internet. Sumérgete en todos los programas problemáticos y elimina cualquier software que no sea de confianza.

El comando Netstat y la herramienta de enumeración de puertos son excelentes para inspeccionar una sola máquina, pero ¿qué sucede si desea inspeccionar una red completa? La mayoría de los sistemas de detección de intrusos (IDS) son capaces de capturar paquetes troyanos comunes en las comunicaciones habituales. Los datos FTP y HTTP tienen estructuras de datos especiales que son reconocibles, al igual que los paquetes troyanos. Si el IDS se configura correctamente y se actualiza con frecuencia, puede incluso detectar de manera confiable el tráfico cifrado Back Orifice y SubSeven. Para herramientas IDS de código abierto comunes, consulte http://www.snort.org.