Comercio electrónico
Criptología y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
| A la caza del troyano |
Por Alfonso Lázaro Téllez y Julio César
Internet ... Red de redes ..., donde podemos encontrar prácticamente cualquier utilidad que queramos para nuestro ordenador. Pero hay que tener un poco de cuidado, cualquier programa que descarguemos puede contener un virus o un troyano.
¿Pero que es un troyano? Es sencillamente un programa que oculta dentro otro programa potencialmente peligroso para nuestro ordenador y que, de no ir disimulado en otro, probablemente nunca instalaríamos en nuestro PC. Al intentar ejecutar esa utilidad que tantas ganas teníamos de obtener y que por fin hemos conseguido encontrar en Internet, no funciona correctamente ( esto es una generalidad pero no es así en el 100% de los casos ) y para colmo hemos infectado nuestro ordenador.
Al igual que en la ciudad de Troya ... hemos metido al enemigo dentro de nuestro ordenador, en un bello envoltorio, y dejado a este a merced de la persona que escribió el troyano.
Los últimos troyanos aparecidos permiten a terceras personas tomar el control TOTAL de nuestro ordenador de forma remota, pueden escribir, borrar, cambiar archivos, configuraciones ... etc., al igual que nosotros mismos delante de nuestra pantalla.
En estos programas, a diferencia de los virus, su fin no es reproducirse. Por tanto, la mayoría de los scaners heurísticos de los antivirus no detectan estos programas como peligrosos a menos que hayan sido actualizados convenientemente.
Bueno ... y ¿ qué puedo hacer para saber si el programa que acabo de ejecutar es un troyano o no?. Daremos unas pequeñas pautas generales para intentar descubrir si oculta o no un troyano.
1. Comprobar la nueva aparición de DLLs o EXEs en c:\windows o c:\windows\system. Hay diversos métodos. Uno de ellos es usar find con la opción de búsqueda por fecha de modificación o creación. Otra es usar utilidades específicas como FileMon, un utilísimo programa gratuito que podemos obtener de http://www.sysinternals.com/filemon.htm y que ayuda a monitorizar cualquier cambio en el sistema de ficheros.
2. La única manera de mantener el control de nuestra maquina por un troyano es abriendo alguna conexión con nuestro ordenador , para ello comprobaremos las conexiones abiertas con un netstat -an. Cualquier conexión sospechosa debe ser analizada en profundidad.
3. Comprobaremos el Registry de Windows, desconfiando de nuevas entradas que aparecen espontáneamente al ejecutar cualquier programa. Hay que tener especial cuidado con las claves que cuelguen de
HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run,
ya que suele ser el lugar escogido por la mayoría de troyanos para instalar una clave que apunte al fichero que quieren que se ejecute cada vez que se reinicia Windows. En cualquier caso, también nos será de gran ayuda la utilidad gratuita RegMon, que ayuda a monitorizar cualquier cambio en el Registry de Windows.
Por último, no está de más recordar que existen herramientas creadas especialmente para la detección/eliminación de troyanos. Aunque muchos antivirus hoy en día detectan y eliminan muchos troyanos, la protección que ofrecen no puede considerarse, en ningún caso, suficiente. Las herramientas anti-troyanos específicas, aunque aún tienen mucho que mejorar, son en general muy superiores con respecto a los antivirus. Mencionaremos dos de ellas: Jammer 1.7, que tiene una versión freeware y LockDown2000.
Publicado en el Boletín del Criptonomicón #56.
Alfonso Lázaro Téllez y Julio César son consultores de IP6Seguridad.
| Información adicional |
| Artículos publicados |
Puedes consultarlos por temas, o también por orden de aparición en el boletín.
| Enviar a un amigo |
Si consideras que este artículo puede interesarle a alguien que conozcas, puedes enviárselo por correo electrónico. No tienes más que indicar la dirección del destinatario, el asunto y tu nombre.
Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.
Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.