Comercio electrónico
Criptología y seguridad
Cuestiones legales
Intimidad y privacidad
Virus
| La amenaza de los últimos caballos de Troya |
Por Pedro Bustamante
LOS VIRUS
Hoy en día las incidencias de programas malignos nuevos que aparecen por Internet crece a un ritmo impresionante. De estos programas existen dos variantes: virus y caballos de Troya.
Los virus no son mas que programas que, por definición, se copian o replican a sí mismos al ser cargados, sin intervención necesaria por parte del usuario. Para poder activarse necesitan ser ejecutados o cargados por el sistema operativo. Ésta es la razón por la que los virus únicamente contagian a los archivos ejecutables. Todo esto cambia con los virus más conocidos y que más circulan hoy por hoy; los virus de macro.
LOS CABALLOS DE TROYA
A diferencia de los virus, los caballos de Troya o troyanos están diseñados para obtener información privilegiada del ordenador donde son ejecutados. Así pues existen troyanos que únicamente consiguen contraseñas, otros que graban secuencias metidas en el teclado, otros que abren puertas traseras al ordenador, etc.
Los más conocidos últimamente son el BackOrifice y el NetBus. Ambos son troyanos que abren una puerta trasera a un equipo basado en Windows 95, Windows 98 o Windows NT.
El BackOrifice, creado por "Cult of the Dead Cow", es un programa cliente/servidor para Win95/98. Al ser ejecutada la porción del servidor en una máquina Win95/98, ésta se cargará en memoria y hará referencia a sí misma en el registro, asegurándose que se cargará cada vez que Windows se cargue. La porción del servidor es configurable a través del cliente, pero por defecto se instala como .exe ("espacio".exe), sin clave de acceso, y abriendo la comunicación para que los clientes se conecten a él a través del puerto UDP 31337. La comunicación entre el BackOrifice Client/Server es cifrada, aunque ha habido informes de grupos que han conseguido romper el esquema de cifrado utilizado.
Lo único que un hacker tiene que hacer para obtener control total de la máquina de un usuario es mandarle, a través de un e-mail attachment, por ejemplo, un fichero servidor del BackOrifice. Una vez el usuario haya ejecutado este fichero, el hacker únicamente tiene que conocer la dirección IP del usuario para poder conectarse a dicha máquina. Una vez conectado, el hacker puede obtener contraseñas, bajarse ficheros, subir otros troyanos, etc. El Cult of the Dead Cow indica que se puede tener más control de una maquina Win95/98 remotamente desde un cliente BackOrifice ¡que sentado en frente de la máquina fisicamente!
Existen en circulación varios programas cuyo supuesto propósito es proteger a usuarios del BackOrifice, pero que en realidad no es así. Uno de ellos, llamado BOSniffer (BOSniffer.zip) pretende ser un programa que protege las partes del registry que el BackOrifice escribe, pero en realidad no es más que un BackOrifice server. Existe otro, llamado IPSpoof (theipsoof.zip) que prentende ser una utilidad para hackers que ayuda a esconder la dirección IP del "supuesto" hacker, así pudiendo meterse en sitios del web sin poder ser identificado. Este fichero también contiene un servidor BackOrifice.
El otro troyano, conocido como NetBus, es bastante similar el BackOrifice, pero introduce otro peligro: también funciona bajo Windows NT. Al igual que el BackOrifice, el NetBus se trata de un programa cliente/servidor. El servidor por defecto escucha en el puerto 12345 UDP.
Al igual que el BackOrifice, el servidor NetBus también se está repartiendo por Internet bajo otro nombre. En este caso se esta distribuyendo como WHACKAMOLE.EXE, un juego que en realidad lleva escondido el servidor NetBus. Al ejecutar la instalación del juego, el programa de instalación también instalará el servidor NetBus.
METODOS DE PROTECCION
Dada la facilidad de expansión de estos tipos de virus y troyanos mediante el correo electrónico, es recomendable contar con un antivirus con capacidad de analizar el correo electrónico en el mismo momento de su recepción y antes siquiera de que sea abierto.
Hay que tener en cuenta que incluso los cortafuegos (firewalls) más avanzados de hoy en día pueden ser ineficaces contra este tipo de troyanos, ya que el hacker puede configurar el troyano servidor a escuchar bajo cualquier puerto, de tal manera que el tráfico troyano <--> cliente pasara totalmente desapercibido al administrador del firewall. Aparte, la comunicación se hace a través de UDP, que es la porción de TCP/IP que no necesita establecer conexiones para poder mandar y recibir paquetes IP.
La mejor protección contra este tipo de programas malignos en la actualidad es Panda Antivirus Platinum, ya que cuenta con tres tipos de escáneres en uno: * Panda Antivirus (escanea discos y memoria) * Modulo de Protección Permanente de E-Mail * Modulo de Protección Permanente de Internet
Gracias a estos módulos, Panda Antivirus consigue detectar y desinfectar con la mayor eficacia virus y troyanos transmitidos a través de TCP/IP y otros métodos más conocidos.
Publicado en el Boletín del Criptonomicón #28.
Pedro Bustamante trabaja en Panda Software International.
| Información adicional |
- Los nuevos caballos de Troya
- Limpiador del NetBus/Whackamole con Panda Antivirus
- Cult of the Dead Cow
- NT Tool Box Información sobre NetBus
- Cómo protegerse frente a virus
| Artículos publicados |
Puedes consultarlos por temas, o también por orden de aparición en el boletín.
| Enviar a un amigo |
Si consideras que este artículo puede interesarle a alguien que conozcas, puedes enviárselo por correo electrónico. No tienes más que indicar la dirección del destinatario, el asunto y tu nombre.
Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.
Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.