top of page

24 de abril de 2015

Libérate de los troyanos

En este post aprenderás cómo funciona un troyano y a verificar si tu equipo ha sido infectado con estos programas maliciosos.

Ten en cuenta

Troyano: toma la figura de la leyenda de la Guerra de los helenos con los troyanos, en la que un trofeo de guerra introdujo soldados escondidos dentro de él.

Posts anteriores
El autor

Luis Enríquez

Luis Enríquez es un abogado experto en Derecho en Internet. Además, es un músico reconocido de música académica y rock. Fue guitarrista de Sal y Mileto.

Ilustración.

Encriptas tus chats

Una guía rápida para tener chats realmente privados.

Las noticias del día
Salta la censura en Internet con TOR

Navegar con anonimato en la red...

Videochat de bienvenida

Los programas denominados troyanos son programas maliciosos que se ejecutan en tu computador (o smartphone), creando  una conexión inversa que bien puede ser controlada a la distancia por un espía. A través de esa conexión, el espía tiene acceso al control total de tu máquina, a robar tus passwords, intercerptar tus conversaciones, e incluso, a tomarte fotos desde tu propia webcam.

Este panorama aterrador es más común de lo que parece, y ningún sistema operativo es inmune. La mayoría de troyanos célebres (como Poison Ivy, o Bitfrost) han sido hechos para infectar sistemas Windows. Sin embargo es igual de fácil infectar a computadoras o smartphones con sistemas Mac OSX, IOS, Windows phone, o Android.

Una vez creado un troyano, se lo  encripta utilizando programas denominados Crypters, con la finalidad de burlar a los programas de antivirus. Está tarea no es tan difícil, dado que los antivirus únicamente detectan las firmas de los troyanos conocidos que han sido reportados. Eso quiere decir que un espía puede programar su propio troyano, con su propia crypter y será indetectable (los crypters serán abordados en una próxima edición).

 

CÓMO SE CAMUFLAN LOS TROYANOS

 

Los troyanos generalmente vienen escondidos dentro de archivos legítimos, como fotos, videos, documentos de texto, etc. Para lograr desconderlos con éxito, se utilizan programas llamados Binders. A continuación una demostración utilizando el programa Cactus Joiner 2.5.

1. En el menú principal, adjuntamos el troyano malicioso con  la foto de un koala:
 

Ocultar archivos en lugares inesperados

Archivos secretos dentro de fotos, audios, etc...

Mejora las seguridad de tus claves

Aprende a tener el control sobre tus claves.

2. Ahora en opciones generales, escogemos el ícono que deseamos para nuestro programa. En este caso, he escogido el ícono de archivos de fotos .jpg:

3. Compilamos el programa, y listo.
 

De esta manera, es muy fácil quedar infectado de un troyano, pues la víctima no sospechará que la foto de un hermoso koala vinó infectada. Al abrir la foto el computador será automáticamente infectado por el troyano, pero la víctima sólo verá la foto del koala,

Manos a la obra

2. Después de ejecutar la foto que esconde el troyano malicioso, un nuevo proceso será abierto, hacia la dirección IP 192.168.0.10, y desde el puerto 6666

MEDIDAS DE PROTECCIÓN

1. Los troyanos de conexión reversa pueden ser detectados escaneando los procesos que corren en la memoria de nuestro computador. Para ello utilizamos el comando netstat  -ano,  desde nuestro terminal de windows (cmd.exe). El siguiente screenshot fue tomado antes de abrir la foto infectada del koala,

Esta es una muestra de un troyano en ejecución. La víctima podría pasar años sin saber que está siendo espiada. Los procesos del troyano también podrían estar escondidos detrás de otros legítimos. Para tener un análisis minucioso de los procesos que corren en tu memoria será necesario extraer una imagen de bit a bit de la memoria, y analizarla con software forense como volatility.  
 

 

CONTRAMEDIDAS

1. Scanear regularmente tu computador con programas Antivirus y Antispyware. Esto no te dará una protección absoluta, pero al menos disminuirás tus posibilidades de estar infectado.

2. No descargar archivos o programas desde lugares poco confiables.

3. Revisar de manera habitual los procesos que corren en la memoria de tu computador.

4. En caso de estar ya infectado, y que los programas de antivirus no puedan remover el troyano, tu sistema ya no será confiable. Llama a un experto en seguridad (ethical hacker) para que te ayude, o en último caso, reinstala tu sistema operativo.

 

Saludos digitales,

Luis Enríquez
(LLM, MD, CEH, CHFI)
https://www.owasp.org/index.php/OWASP_Security_Labeling_System_Project
http://fosslawyers.org
twitter: @foss_lawyers
Linkedin: http://www.linkedin.com/in/LuisEnriquezA
 

Join us on:

 

  • Facebook Classic
  • Twitter Classic
  • YouTube Classic

Libertad Digital, 2014'2015

bottom of page