Info para NewBye's sobre definiciones
Actualizada 09/02/08Definicion de Troyano:Un troyano es un aplicación "disfrazada" de un programa útil, consta de dos programas, el
"Servidor" es el que se encarga de abrir un puerto en la PC a la que se quiere tener acceso y
dejar el puerto a la escucha, es decir esperar a que se realice una conexión al puerto para dar el
acceso a la máquina. Y el "Cliente", este es el programa que se conecta al puerto que el Servidor
dejó abierto, solicita que se realice la conexión y después comienza a transmitir información,
pidiendo datos de la PC remota, tales como Información del sistema, contraseñas, archivos
importantes, etc.
Se pueden utilizar de dos formas completamente distintas;
-Como herramienta de administración remota: Que permite manipular el sistema a distancia, ideal para personas que necesitan urgente un archivo de la PC de su oficina y se
encuentran en su casa. Se puede considerar como tal solo cuando el usuario tenga el acceso
permitido a esa PC.
-Como herramienta para hackear:(Hackear: penetrar un sistema informático sin acceso)
esta es la forma de utilización que prefiere cualquier persona con una conexión a Internet y
ganas de espiar lo que hace otra persona conectada a Internet o a su Red privada, también
llamada LAN (Local Area Network o Red de Area Local). Pudiendo acceder a sus archivos
confidenciales, contraseñas, recursos compartidos, conversaciones que toman lugar en tiempo
real, o borrar archivos fundamentales tales como por ejemplo: COMMAND.COM (dejando a la PC
"víctima" sin poder arrancar, a menos que el usuario "atacado" sepa iniciar desde un disco de
rescate o de inicio.
Los puertos que se dejan a la escucha generalmente sol altos, es decir puertos que pasan del
número 500 o el 1000, para garantizar que ningún otro programa pueda estar usándolos y
cancelar la conexión del troyano.
El uso de estos programas no es ilegal a menos que el usuario final opte por entrar a la máquina
remota sin autorización. En dicho caso se puede proceder legalmente de acuerdo al país en el
que se encuentre la PC "hackeada", es decir la computadora a la que se infiltró el hacker.
(hacker: persona interesada en el funcionamiento y vulnerabilidad de los sistemas operativos,
lenguajes de programación y seguridad informática). Por ejemplo en EEUU se puede condenar a
una larga sentencia por hacer eso, pero también hay que conocer la otra cara de la moneda, es
el caso de Argentina, todavía no tiene tipificado en el código penal la intrusión en computadoras
sin autorización, esto quiere decir que no es un delito condenable.
Tipos de Troyanos:Bueno hay 2 tipos de troyanos que se explicaran a continuacion:
Troyano de Conexion Directa:Que quiere decir la conexion directa, significa que nosotros nos conectamos al puerto de la victima, osea esta no se conecta a nosotros, lo cual es algo desventajoso porque lo mas comun es que al ejecutar el server.exe salte el firewall
Troyano Conexion Inversa:Esto es todo lo opuesto al de la directa, en este caso la victima se conectara a nosotros, lo cual al ejecutar el server.exe no saltara ningun mensaje en la victima, lo cual hace mejor el server.
Definicion de Joiner:Un joiner es un software utilizado para juntar en un solo archivo varios, este esta conformado por el .exe y el stab
Como funciona un joiner:El “unidor” por llamarlo de asi es lo que nosotros vemos del joiner, el
programa en el que vamos añadiendo los archivos que queremos juntar a una lista y uego apretamos un botón para crear el archivo que los contiene a todos.
El stub es el corazón del joiner y es siempre un ejecutable. A él “pegaremos” los
archivos que anteriormente hemos introducido en la lista del “juntador” para que se lea a si mismo, se separe, extraiga cada archivo y los ejecute.
Explico esto último un poco más detenidamente:
El mecanismo de un joiner, como he explicado anteriormente, es añadir los datos de los archivos a juntar a un stub. Este, al ejecutarse, debe auto leerse y cortarse de tal forma que deje separados los archivos originales.
Una vez los tenga separados debe meter cada uno de estos archivos en el disco duro con a extensión correcta y ejecutarlos uno a uno.
Que es un cripter:Un cripter es un programa que encripta o modifica cierto programa, para asi hacerlo indetectable en la mayoria de los casos, hay muchos como por ejemplo el Themida seria uno de los mejores.
Que es un filemanager:Un file Manager es un programa o opcion de un programa que nos permite explorar remotamente TODAS las carpetas de una victima, y nos permite, descargar, ver, ejecutar, etc, de esos archivos.
Que es un Proces Manager:Este nos permite visualizar todos los Procesos de una pc remotamente claro, y nos permite matarlos.
Que es un Edit Server:Un edit server es aquella opcion que nos permite modificar parte de un code de un .exe en este caso seria nuestro server del troyano, donde se pondria la ip el puerto etc.
Que significa melt:Se llama "Melt" cuando un usuario ejecuta un archivo y este desaparece (se auto-elimina) después de ejecutarse, esta función es necesaria para evitar que nuestra víctima ejecute 2 veces nuestro malware o evitar que la victima lo envíe a un Antivirus o a virustotal después de ejecutarlo, su estructura es...
1) Ejecuto el archivo (A)
2) El archivo (A) se copia en otro lugar (B)
3) El archivo (A) ejecuta el archivo (B)
4) El archivo (B) borra el archivo (A)
5) El archivo (B) sigue ejecutando el resto de malware...
Que es herencia de VB en Poliformismo:Polimorfismo significa que muchas clases pueden proporcionar la misma
propiedad o el mismo método y que el que llama no tiene por qué saber la clase a
la que pertenece el objeto antes de llamar a la propiedad o al método.
Por ejemplo, una clase Pulga y una clase Tiranosaurio podrían tener las dos
un método Morder. El polimorfismo significa que puede invocar Morder sin saber
si el objeto es una Pulga o un Tiranosaurio, aunque seguramente lo descubrirá
después.
¿Que es Poliformismo?El polimorsimo se resume en que una aplicacion es capaz de cambiar el formato de sus copias haciendo esa copia indetectable a un antivirus. Algo asi como si fuera un crypter que va creando copias de si mismo pero con un algoritmo de encriptacion variable que haga que nunca una copia tenga el formato de otra.. By--> ANYDOOM
¿Porque cuando bajo o descomprimo un troyano se me elimina en el acto?Desactiva el Anti-virus ,pero no cierres si no desactiva, ya que este es el que lo borra.
¿Existen troyanos que sean siempre indetebles?No todos los troyanos alfinal acavan siedo detectados anque si se puede hacer que dure mas siendo indeteble.
¿Que es un killer?un killer es una herramienta que puede cerrar el antivirus y incluso inavilitarlo para siempre y también hay killer's que cuando matan el antivirus ponen un icono falso para que no cante tanto.
Que es notificacionEs un procedimiento para saber que direccion ip tiene nuestra "victima", se utiliza mas por las ip dinamicas, recordemos que estas ip cambian de numero cada vez que se conectan, de esa manera se le pierde el rastro, para eso el troyano incluye estos chivatos llamados notificadores, aqui presento algunos tipos.
Clases de NotificacionesICQ: Este es muy habitual, nuestro troyano se hace pasar por usuario de este mensajero y nos envia la ip de la victima a nuestro uin(numero de usuario), icq tienes filtros que detectan como falsos usuarios a los mensajes del troya.Optix parece que aun puede es capaz de saltarse filtros.
MSN: Este seria el mas usado, pero como apenas funciona debido al filtro de msn, pues se queda casi como algo inutil, con introducirle nuestra cuenta de correo es sufuciente, otra cosa es que nos notifique.
IRC: Este metodo parece que aun se resiste, consiste en introducirle al server del troyano, el servidor y la sala irc donde queremos ver la notificacion de la ip infectada. La direccion irc puede ser de un server privado o un server publico especial para estos menesteres, por ejemplo sub 7 tenia el irc.subgenius.net , pero mejor no usar ese tipo de server ya que se comparten ip infectadas.
Smtp: notificacion por correo, es bastante facil de usar, lo malo es encontrar servidores smtp que funcionen regularmente, aparte si no estas muy atento al correo cuando te das cuenta ya se a desconectado..
¿Al apagar y volver a prender la pc mi troyano no se vuelve a ejecutar?Esto es falso, ya que si por ejemplo usas el bifrost este al ejecutarlo crea una clave en el registro que hace que cada vez que se inicie por ejemplo windows se ejecute el troyano.
Metodos de Burlacion de seguridad:Traspasar firewalls: Esto es un metodo de no hace mucho tiempo, imaginaros que el server una vez que se instala, se pega al archivo del iexplorer.exe(internet explorer), ni mas ni menos que se a pegado a uno de los archivos mas usados en este planeta, si el firewall te pregunta: aceptamos al iexplorer.exe?, claroooooooo, ese es el navegador, si es el navegador mas troyano, el zone alarm ni se da cuenta.magnfico metodo
traspasar lan: imaginate un server que viaja a un cyber, el ordenador servidor de ese cyber recibe el server, pero no pasa a los demas ordenadores del cyber porque desconoce las ip de los demas, se queda en el ordenador servidor, pues lanfiltrator es un troyano capaz de detectar que otros ordenadores estan conectados a esa lan e infectarlos.
Killers:Bueno ya explique esta tecnica pero la vuelvo a explicar, este es un matador de ejecutables por llamarlo asi, que mata a lo bestia, y da mucho canto, dependiendo claro de la victima se emplean con todo para eliminar los AV's y los Firewall's.
¿Existen el mejor troyano?La respuesta a esto es NO, claro hay troyanos que son mejores que otros, pero no porque no sirve, sino que uno puede tener mejores funciones que otro, o mejor dicho hay unos mas completos y otros no, pero lo que es mas importante es que se adapte a la necesidad que uno tiene.
¿Como enviar un troyano?Bueno si se envia un troyano, osea el programa, por el msn, este nos lo prohibira, ya que el msn no nos deja enviar archivos extension: .exe, .bat, .vbs, etc... pero para eso hay varios metodos aqui explico 1 de los mas comunes y otro que creo que ya no funciona.
Archivo .ZipBueno si, el msn si nos permite enviar archivos comprimidos osea archivos del winzip o winrar, y adentro de este iria nuestro virus, troyano, etc....
Extension 3 puntosEsto ya es algo viejo y creo que ya ni funciona, pero explico por si les sirve, si a la extension de un archivo .exe se le colocan ... (3) puntos despues del .exe supuestamente se pueden enviar, y claro te lo ejecuta normal osea quedaria asi:
hola.exe --> hola.exe...
Saber si tu troyano es detectado:Para comprobar si un troyano es detectado lo mas fácil es usar nuestro antivirus, pero cada antivirus es distinto por lo tanto si la victima tiene un antivirus distinto alo mejor se lo detecta.
Hay varios escaners de varios antivirus a la vez:
Online:Son antivirus en paginas Web como VirusTotal, no envies nunca nuestros troyanos a analizar ya que mandan muestras a las compañías antivirus y si no es detectado lo será en pocos días
Offline:Hay herramientas como la de Thor (KISM) k hace lo mismo solo que no manda muestras a ningún antivirus, io tambien se pueden pasar por el proyecto de Angelus, que es un escaner tambien (Esta en el post de las chinchetas)
¿De donde proviene la palabra troyano?Muchas personas creen que al escuchar la palabra troyano, de una piensan virus, hackers, o programas que van a destrozar su computadora, en realidad esto es absolutamente ¡¡ALSO!!, en lo unico que se asimilan un troyano y un virus es que los dos son malware (Aplicacion "Maligna")
Todos aquellos que utilizan troyanos o virus no tiene que ser presisamente unos hackers, mas bien podriamos definir un troyano o no definirlo es una Herramienta de Administracion Remota, o utilidad remota!
La palabra troyano viene del griego caballo de troya, porque explico brevemente imaginense en la batalla de troya cuando dejaron el caballo al frente del castillo y ellos lo metieron sin saber que adentro iba una orda de soldados?
Bueno imaginate que ese caballo es un server, que va camuflado como algo inofensivo, ahora el castillo es la maquina victima y este lo acepta, y en vez de salir personas a atacar este abreve un puerto, esperando que llegen los datos de el cliente!
Peligro que tienen los troyanos y como no me infecto:Pues hay que tener cuidad con los troyanos, claro tampoco es que les vas a tener panico, no, solo hay que leer y saber dominar a este mismo, pero como dice el dicho "No jueges con fuego, porque te puedes quemar" claro con esto no digo que no usen troyanos sino que tengan cuidad (Para los que no entienden, NO ejecuten el server en su pc)
bueno en fin.....
¿me pasa algo si bajo un troyano a mi pc?Claro que no, no te infectas si no ejecutas el server.exe si no lo ejecutas no corres riesgo.
¿Debo aceptar troyanos de otras personas que lo pasen por MSN?NO! NUNCA! nadie sabe si esa persona en realidad te estara pasando un virus e incluso el mismo server del troyano apra que te infectes, lo mejor que puedes hacer es, descargartelo de una pagina de confianza io de algun foro!
¿Que AV es mejor?Bueno a mi punto de vista los que mejor e escuchado son:
- Nod32
-Kaspersky
-Panda
-Avast
Claro, no te los vas a bajar de la version mas vieja, tiene que ser la mas nueva version para optimizar tu proteccion!
¿Que es una cuenta NO-IP?El servicio de DNS dinámica de No-IP permite identificar tu PC con un nombre de dominio fácil de recordar, y esto lo utilizan las personas que no tiene una IP estatica, la usan para que para los troyanos de conexion inversa, ya que si se quieren conectar a la IP vieja y esta cambia por decirlo asi, el troyano no se conectara, este servidor lo que hace es como crar una especie de IP que nos conecta al server, por decirlo asi!
¿Que son los antivirus?Son programas que tratan de detectar, si un objeto informático ejectuable es infectado por un programa Virus.
La mayoría de los antivirus pueden restaurar el archivo infectado a su estado original, aunque no siempre es posible, dado que los virus pueden haber hecho cambios no reversibles.
Los antivirus pueden también borrar los archivos infectados u hacer el virus inoffensivo.
¿Como funcionan los antivirus?Un método es la comparación del archivo infectado con una muestra de un virus conocido.
Hay métodos heurísticos que tratan de encontrar modificaciones típicos que producen los virus en los archivos encontrados,
y existen programas que graban para cada archivo encontrado en el sistema unos atributos típicos (longitud, suma cíclica). Al revisar el sistema por virus, se vuelven a determinar estos atributos y si no coinciden con los datos guardados con los actuales se considera posiblemente infectado el archivo.
¿Por que y Para que crearon los antivirus?Por que:Porque los virus en muchos casos causan daño a los datos y archivos. En caso contrario todavía queda la reducción del rendimiento de la computadora, causado por el aumento de tamaño de los archivos, y la actividad computacional adicional para su reproducción.
Para que:Para detectar la infección, y para eventualmente restaurar los archivos infectados.
También se aplican preventivamente: Antes de introducir un archivo al sistema por copia de un disquete o guardar un archivo añadido a un Email, o antes de ejecutar, abrir o copiar un archivo dentro del sistema se revisa si presenta infección, y se aborta la acción intentada, o retrazada hasta que el archivo u objeto informático esté desinfectado.
Tipos de antivirus:Clasificación A, por acción:solo detección
detección y desinfección
detección y aborto de la acción
detección y eliminación del archivo/objetoClasificación B, por método de detección:Comparación directa
Comparación por signatura
Comparación de signatura de archivo (detección por comparación con atributos guardados).
por métodos heuristicosClasificación C, por instante de activación:Invocado por el/la usuario/a
Invocado por actividad del sistema (abrir, ejecutar, copiar, guardar archivo)
Clasificación D, por Objeto infectado:
Sector de Arranque
Archivo Ejecutable ¿Qué es exactamente un virus informático?Definiciones hay muchas, como preguntas sin ninguna respuesta, pero aqui vamos a ver si concretamos alguna!
que cumplan estos
agentes viricos* Son programas de computadora.
* Su principal cualidad es la de poder autorreplicarse.
* Intentan ocultar su presencia hasta el momento de la explosión.
* Producen efectos dañinos en el "huésped". ¿Por que se hace un virus?La gran mayoría de los creadores de virus lo ven como un hobby, aunque también otros usan los virus como un medio de propaganda o difusión de sus quejas o ideas radicales, como por ejemplo el virus Telefónica, que emitía un mensaje de protesta contra las tarifas de esta compañía a la vez que reclamaba un mejor servicio.
o incluso lo hacen por querer demostrar que son los mejores, aunque algunas veces no lo son
¿Como surgen los viruses?pues aqui explico un poco el siclo de vida de un agente virico:
- Por Programacion y desarrollo
- Expansion
- Actuacion
- extincion o mutacionTipos de propagacion:Técnicas Stealth:Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus ocultan el tamaño real de los ficheros que han contaminado, de forma que si hacemos un DIR la información del tamaño de los archivos puede ser falsa. Los virus de tabla de partición guardan una copia de la FAT original en otro lugar del disco que marcan como sectores defectuosos para mostrarsela al usuario cuando haga por ejemplo un FDISK. Incluso hay virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de su propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda.
Tunneling: Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupción y tener así un control directo sobre esta.
Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta
recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.
Antidebuggers: Un debugger es un programa que permite decompilar programas ejecutables y mostrar parte de su código en lenguaje original. Los virus usan técnicas para evitar ser desemsamblados y así impedir su análisis para la fabricación del antivirus correspondiente.
TSR :Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución. Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanecerá en memoria mientras el ordenador permanezca encendido. Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los ficheros de arranque del sistema.
¿Como o con que se crean los virus?Los virus se crean con
Lenguajes de programacion de estos lenguajes hay muchos pero los mas comunes son:
- Visual Basic
- C+, C++, C#
- VBS (Visual Basic Script)
- ASMentre otros...
¿Que son Spywares?este es un tipo de
malware que se encarga de recolectar informacion Valiosa de nuestra PC y enviarselo a otras personas, esto se introducen en la pc y operan sin darse el user cuenta alguna...
Los spywares pueden producir pérdidas económicas pues pueden recolectar números de tarjetas de crédito y claves de accesos. También pueden producir gran deterioro en el funcionamiento de la computadora tales como bajo rendimiento, errores constantes e inestabilidad general.
¿Que es un Adware?a diferencia del Spyware un adware es aquel que se encarga de crear publicidad en la pc de alguna persona, o mejor dicho crea o baja publicidad sobre algun producto...
Algunos programas adware han sido criticados porque ocasionalmente incluyen código que realiza un seguimiento de información personal del usuario y la pasa a terceras entidades, sin la autorización o el conocimiento del usuario
¿Cómo entran en nuestras PCs?1. Al visitar sitios de Internet que nos descargan su codigo malicioso (ActiveX, JavaScripts o Cookies), sin nuestro consentimiento.
2. Acompañando algun virus o llamado por un Troyano
3. Estando ocultos en un programa gratuitos (Freeware) los cuales al aceptar sus condiciones de uso (casi siempre en ingles y que no leemos) estamos aceptando que cumplan sus funciones de espías.
¿Cuales son los spywares mas comunes?pues entre estos estan:
CoolWebSearch, 180Solutions, Alexa, Cydoors, Gator, Web3000, Webhancer, Look2Me, Hotbar, KaZaa, New.net, Win-eto, Lop.com, VX2, Home Search Assistent, ISTBar, n-Case, eZula, MyWay, etc...
¿Sintomas de infeccion?1- Se nos abren ventanitas pop-ups por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayoría son de temas pornográficos.
2- Barras de búsquedas de sitios como la de Alexa, Hotbar, MyWebSearch etc.. que no podemos eliminar.
3- Botones que se aparecen la barras de herramientas del navegador y no podemos sacarlos.
5. La navegación por la red se hace cada día mas lenta
¿Como desinfectarme de estos Adwares y Spywares?Pues excisten varios programas muy buenos que nos permiten desinfectarnos o limpiarnos de estos malwares!
como son:
[Anti-Spywares\Adwares]
SpyBot Search & Destroy 1.5.2Descarga:
http://www.spybotupdates.com/files/spybotsd152.exeSUPERAntiSpywareDescarga:
http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exebueno estos son 2 de los mas comunes, y de los que puede encontrar! xD!
Ire actualizando la lista con el tiempo!Salu2's!
Autor