| |
|
Back Orifice ---- by NoMoke
El Back Orifice (Orificio Trasero) surgi� durante el a�o 98 creado por un grupo de hackers llamado cDc (Cult of the Dead Cow = Culto de la vaca muerta). Este troyano fue originalmente un programa para control y administraci�n de redes que este grupo se encarg� de modificar y convertirlo en troyano. Se lo puede definir como un troyano porque cuando el programa cliente que permite tomar el control sobre la computadora infectada se instala, lo hace sin dar ning�n tipo de se�al o aviso de su instalaci�n.
Actualmente ya sali� una segunda versi�n conocida como BO2K (BO 2000) que funciona ahora tambi�n bajo Windows NT y Windows 2000 y que si bien pretenden presentarla como el m�s eficiente y gratuito programa para manejo remoto de computadoras, est� claro que mantiene su caracter�stica de instalaci�n/infecci�n silenciosa y teniendo en cuenta algunas noticias recientes respecto de una puerta trasera (back door) que contiene la versi�n anterior y que env�a informaci�n a sus creadores, nos queda claro tambi�n que est� lejos de ser un programa confiable para tan delicada tarea.
Principales caracter�sticas
BackOrifice es un programa de control remoto de computadoras y redes especialmente pensado y realizado para brindar acceso a trav�s de internet o una red LAN -basadas en el protocolo TCP/IP- a terceras personas.
Su primer versi�n funciona �nicamente bajo Windows 95 y Windows 98.
La nueva versi�n BO2K funciona tambi�n sobre Windows NT.
El troyano se transmite principalmente como un ejecutable con cualquier nombre y con una extensi�n aproximada de 122 Kb. en su primer versi�n y 112 Kb. en la versi�n BO2K que uno generalmente recibe a trav�s de Internet, pero no necesariamente por esta v�a. El troyano puedo ser adosado a ejecutables de todo tipo raz�n por la cual los tama�os indicados se dan �nicamente en los casos en que el troyano es enviado en su forma original y sin aditamentos (plug-in's).
El acceso a la computadora puede realizarse �nicamente si la computadora se conecta a una red. Esta red puede ser del tipo Internet o una red LAN (Red de Area Local) sin conexi�n a Internet.
El programa funciona como host, o sea, queda en espera de una conexi�n con el programa y el password correcto.
Para sacar provecho de este programa, el indeseable (pseudo-hacker) debe poder conocer el n�mero de IP de la m�quina infectada. El obtener el n�mero de IP es algo en general bastante sencillo, pero se facilita a�n m�s al conectarse a sistemas de IRC (chat), o al utilizar programas como el ICQ de Mirabilis.
Funciones de la primer versi�n
Las principales funcionalidades del troyano y que pueden ser explotadas por quien tome el control remoto de nuestra computadora infectada son:
Tomar y enviar el nombre de la computadora, el nombre del usuario y la informaci�n del sistema: tipo de procesador, cantidad de memoria, versi�n de Windows, drivers instalados y el espacio libre en la computadora.
Reiniciar (rebootear) la computadora infectada.
Compartir unidades (drives) seleccionadas.
Listar los contenidos del disco y realizar b�squedas de arch�vos espec�ficos.
Enviar/recibir archivos (leer y escribirlos), como as� tambien borrar, copiar, renombrar y ejecutarlos (inclusive actualizarlos).
Crear/borrar directorios.
Comprimir/descromprimir archivos.
Desconectar (logoff) al usuario actual de la red local o de Internet.
Bloquear (colgar) la computadora.
Obtener la lista de absolutamente todos los procesos (programas) en actividad. A�n de aquellos procesos no visibles para el usuario local.
Obtener la lista de recursos de la red local LAN (si existiera) y conectarse a esos recursos (navegar por dentro de la red local).
Detener precesos (programas) determinados.
Capturar y recibir los passwords que fueron utilizados en ventanas de ingreso de passwords del navegador, incluso desencriptar y recibir el passwords del protector de pantallas
(screen saver).
Desplegar ventanas con mensajes en nuestro Windows.
Acceder al Registro del Sistema (Registry System) y manipular con total libertad su informaci�n (leer, cambiar, borrar o agregar).
Abrir y redireccionar otros canales TCP/IP para usar nuestra conexi�n como puente (bridge) y as� navegar utilizando nuestro n�mero de IP.
Acceder y navegar por nuestro disco r�gido y entorno de red utilizando un navegador de Internet.
Ejecutar un archivo de sonido.
Capturar nuestro teclado, guardar en archivos LOG de nuestro r�gido lo que tipeamos y leer toda esta informaci�n.
Ubicar la existencia de medios de captura de video (webcams, sistemas de videoconferencia, etc.), capturar y transferir im�genes o generar y bajar archivos AVI de video en movimiento.
Hacer capturas (video-dump) de lo que el usuario este visualizando en el monitor y bajar estas pantallas a su computadora.
Mediante Plug-In's (aditamentos) agregar o realizar mejoras a las funciones a anteriormente nombradas.
La �nica caracter�stica que hace que este utilitario sea considerado como un programa troyano malicioso es su instalaci�n y ejecuci�n silenciosa (sin el consentimiento ni el conocimiento del afectado). Cuando este programa se ejecuta, se instala a s� mismo en el sistema y entonces lo monitorea sin ningun tipo de aviso ni mensaje. Si ya ten�s al programa (BO) instalado en la computadora, no lo podr�s encontrar en la lista de aplicaciones en ejecuci�n. El troyano no manifiesta su actividad en ninguna forma.
El troyano es distribuido en un paquete de varios programas y documentaciones. Todos los programas del troyano fueron escritos en C++ y compilados con el Microsoft Visual C++ Compiler. Todas las fechas de compilaci�n del troyano fueron realizadas a finales de Julio - primera semana de Agosto, de 1998. Todos los programas tienen el formato de Ejecutables Transportables (Portable Excutable) y pueden ser solo ejecutados bajo Win32.
Cuando el troyano se instala en el sistema crea el archivo WINDLL.DLL. En caso de necesidad el troyano carga este DLL dentro de la memoria y lo inicializa, el DLL entonces captura las entradas del teclado y almacena la informacion capturada en los archivos BOFILEMAPPINGKEY y BOFILEMAPPINGCON que quedan disponibles para la rutina principal del troyano.
Cuando el troyano se ejecuta en la computadora, primero que todo detecta su propio estado: si es la copia original o una copia "pegada" (attacheada) a un programa infectado que hizo de anfitri�n. El troyano ubica las opciones preconfiguradas en el programa infectado y las lee.
El troyano entonces crea el archivo WINDLL.DLL en el directorio System de Windows (este archivo es guardado como un recurso por el troyano), entonces toma las direcciones de varias API (aplicaciones) que utilizan el KERNEL32.DLL para futuros usos, busca troyanos ya ejecutados y de existir los actualiza, se copia a s� mismo al directorio System de Windows y registra esta copia en el Registro del Sistema (System Registry) como un servicio (programa) auto-ejecutable:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices
Muchas otras veces el troyano una vez instalado se lo encuentra en el directorio System de Windows bajo el nombre ".exe" (sin las comillas).
Crea un canal TCP/IP, le asigna (por defecto) un n�mero de port 31337 y lo abre para quedar "a la escucha" (aunque este puerto puede ser cambiado al configurar el programa cliente). El troyano ejecuta entonces un bucle estandar de Windows DispatchMessage (env�o de mensaje) y de esta forma se mantiene en la memoria de Windows como un proceso con atributo de invisible (este hace que no aparezca en la lista de programas en Ejecuci�n -ALT+TAB- y que no sea visible en el Administrador de Tareas -Task Manager-).
La rutina principal del troyano entonces queda "a la escucha" de comandos enviados desde el programa remoto que funciona como Cliente. Los comandos llegan en forma encriptada y comienzan con la cadena de identificaci�n "*!*QWTY?" (sin las comillas).
El programa servidor (host) responder� con un "PONG" en el momento en que -estando conectados- un programa cliente realice un PING sobre el port en el que est� configurado siempre y cuando el programa Servidor (host) no est� configurado con un password, o el PING sea realizado con el password adecuado. Seguramente, los mismos creadores deben tener m�todos para detectar m�quinas infectadas a�n no sabiendo el password, adem�s de tener sin duda herramientas para cambiar el password con el que programa servidor est� configurado as� como existen herramientas similares para Netbus.
El programa cliente trae incorporado un sistema de Ping Sweep que permite hacer b�squedas secuenciales de n�meros de IP a partir de una lista de n�meros de IP de proveedores de acceso o servidores de extranets que puede ser provista al programa a trav�s de un archivo TXT plano. Durante el funcionamiento de esta rutina de Ping Sweep el programa hackea a su vez a quien est� utilizando este programa Cliente y env�a informaci�n (no se a�n de que tipo) a la gente del sitio www.netninja.com obviamente ligada con los creadores o probablemente sean los creadores mismos. En base a la cantidad de puertos simultaneos que abre, lo probable es que env�e informaci�n de los n�meros de IP de sistemas infectados que encuentre durante la b�squeda. De esta forma los creadores podr�an estar recibiendo cientos de miles de n�meros de IP de computadoras infectadas alrededor del mundo desde el primer momento en que fu� lanzado el troyano gracias a la "colaboraci�n" de quienes utilizan el programa cliente.
Funciones de la versi�n 2000
La versi�n BO2K lanzada a mediados del a�o 1999 fu� programada por DilDog del grupo cDc (Cult of the Dead Cow) basandose en el c�digo de la versi�n original producida por el programador de alias Sir Dystic's de ese mismo grupo.
Seg�n su propio creador el objetivo de esta nueva versi�n es la de "mejorar las capacidades de administraci�n remota del sistema operativo Windows y destacar que Windows no fu� dise�ado pensando en la seguridad" (ciertamente, algo por dem�s demostrado).
Las funcionalidades de esta versi�n pr�cticamente no han cambiado respecto de la versi�n anterior en cuanto a los comandos que permite ejecutar remotamente. Se han mejorado algunos, se arreglaron otros, y se incluyeron unos pocos. Las principales mejoras se encuentran en el �rea de la transferencia de archivos y el manejo del Registro de Windows.
Teniendo en cuenta que BO2K es una versi�n completamente reescrita esta nueva versi�n incluye la posibilidad de comunicaci�nes UPD o TCP/IP y una flexible y escalable posibilidad de ampliaci�n de sus funcionalidades a trav�s de plug-in's que permiten extender cada peque�a parte del programa. Tambi�n incluye plug-in's que permiten comunicaciones con encriptaci�n segura (s�lo en la versi�n de distribuci�n para Estados Unidos -US-). Adem�s esta versi�n permite trabajar con sesiones m�ltiples lo que significa que pueden ser manejadas varias computadoras al mismo tiempo o varios Servidores (hosts) funcionando en una misma computadora en distintos puertos (ports).
Entre las caracter�sticas agregadas se encuentran:
Solicitar la informaci�n de la versi�n de BO 2000 que est� funcionando en la computador remota.
Utilizar los servicios de Servidores de Nombres (DNS) de la computadora remota para resolver nombres de servidores y direcciones.
Mediante plug-in: encriptaci�n de la informaci�n transmitida entre el programa Servidor y el programa Cliente.
Mediante plug-in: manejo remoto del mouse y el teclado as� como del escritorio de Windows.
Mediante plug-in: encriptaci�n de paquetes utilizando XOR o 3DES.
Mediante plug-in: administraci�n mediante interface gr�fico del Registro de Windows en la computadora remota.
Solicitud de password para la conexi�n al programa Servidor.
Elegir entre la posibilidad de que se ejecute o no al iniciarse el Windows.
Borrar o no el ejecutable original luego de instalarse en la computadora remota.
Mantenerse escondido en la lista de procesos (programas) en funcionamiento si/no.
Cambiar el nombre con que aparece en la lista de tareas (por defecto: "Explorer")
Elegir el nombre con el que aparecer� en la lista de servicios de Windows NT. Por defecto "Remote Administration Service".
Entre las funciones que han sido mejoradas se encuentran:
Completa manipulaci�n del Registro de Windows.
Ejecutar sonidos en la computadora remota una vez o en loop indefinido.
Cargar o descargar aditamentos (plug-in's) en forma din�mica tanto programados para la versi�n nueva como para la anterior.
El paquete de distribuci�n incluye un programa de configuraci�n del servidor que funcionar� en la computadora remota. Este programa de configuraci�n no tiene pre-definido ning�n puerto en particular por lo que no existe ya la posibilidad de reducir las posibilidades de conexi�n bloqueando el puerto que anteriormente se conoc�a como el puerto por defecto (31337) que era lo que hace el NOBO y otros tantos programas de bloqueo para la versi�n anterior. En cambio, para comunicaciones UDP el puerto por defecto es 54321.
BAJO WINDOWS 95/97/98/2000
Por defecto, el programa servidor se instala en el directorio \windows\system bajo el nombre UMGR32~1.EXE (el nombre con que se lo ve bajo DOS).
El siguiente Registro de Windows es modificado:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices]
"UMGR32.EXE"= "C:\\WINDOWS\\SYSTEM\\UMGR32.EXE e"
Nota: el programa servidor en la versi�n actual no tiene una extensi�n ".EXE" sino que su extensi�n es ".EXE" seguido por 230 espacios y finalmente la letra "e". Todo esto compone la extensi�n. Por esta raz�n cuando se realiza una b�squeda con un antivirus hay que hacer un chequeo de TODOS los archivos ya que de lo contrario, por esta extensi�n inv�lida el antivirus pasar� por sobre este archivo.
BAJO Windows NT
Por defecto, al igual que en Win95, el nombre del programa servidor es UMGR32~1.EXE (como se lo ve bajo DOS), pero es grabado en el directorio c:\winnt\system32
El Registro es modificado en las siguientes ubicaci�nes:
[HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\ Remote Administration Service]
Y all� grabados los siguientes par�metros:
"Type"=00000110
"Start"=00000002
"ErrorControl"=00000000
"ImagePath"= "C:\WINNT\ System32\UMGR32.EXE e"
"DisplayName"="Remote Administration Service"
"ObjectName"="LocalSystem"
[HKEY_LOCAL_MACHINE\ SYSTEM\ControlSet001\ Services\Remote Administration Service\Security]
"Security"= (una larga cadena de valores hexadecimales)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ Remote Administration Service\Enum]
"0"="Root\LEGACY_REMOTE ADMINISTRATION SERVICE\0000"
"Count"=00000001
"NextInstance"=00000001
La siguiente vez que el Windows es reiniciado, el BO2K se carga y modifica las siguientes ubicaciones del Registro:
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ Remote Administration Service]
"Type"=00000110
"Start"=00000002
"ErrorControl"=00000000
"ImagePath"="C:\WINNT\System32\UMGR32.EXE e"
"DisplayName"="Remote Administration Service"
"ObjectName"="LocalSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ Remote Administration Service]
"Security"= (una larga cadena de valores hexadecimales)
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ Remote Administration Service]
"0"="Root\LEGACY_REMOTE ADMINISTRATION SERVICE\0000"
"Count"=00000001
"NextInstance"=00000001
ESCONDI�NDOSE
Bajo Windows NT el servidor (UMGR32.EXE) intenta esconder su proceso expandiendo la memoria asignada a una cadena (thread) de caracteres existente, entonces se copia a s� mismo dentro de esta porci�n de memoria creando luego una cadena (thread) remota que trabaja en el espacio de proceso de la primer cadena (thread). El programa original entonces termina y su proceso desaparece de memoria.
Bajo Windows 95/97/98/2000 el programa servidor usa una t�cnica diferente para esconderse de los entrometidos. Modifica el Kernel del sistema operativo de forma tal que cualquier llamada a funciones del sistema operativo que listan los procesos en ejecucci�n es pasada al programa servidor en vez de al sistema operativo. Esta nueva funci�n en el programa servidor 'salta' por sobre su propio proceso y por lo tanto 'esconde' el proceso del servidor. La versi�n 1.0 del servidor de BO 2000 parece tener un Bug que le impide a este mecanismo funcionar bajo Windows 98 Segunda Edici�n v4.10.2222 A. Cuando se ejecuta bajo este sistema operativo el programa servidor causa un error de 'operaci�n ilegal' y no queda residente. Aunque a�n as� copia el archivo a windows\system\umgr32.exe y produce los cambios en el Registro que le permiten ejecutarse al iniciarse Windows (si el servidor fue configurado de esta manera), esto resulta en un error que se produce cada vez que el Windows se inicia.
S�ntomas de la infecci�n
Back Orifice tiene caracter�sticas particulares de este tipo de troyano y para detectar s�ntomas estudiemos algunas de sus caracter�sticas m�s visibles desde el punto de vista de la "victima":
Compartir unidades (drives) seleccionadas.
Si se tuviera una Red, el indeseable puede tener acceso a los recursos compartidos. Si aparecieran s�ntomas de acciones de terceros (desaparici�n o aparici�n de archivos y directorios) podr�a significar una infecci�n.
Listar los contenidos del disco y realizar b�squedas de arch�vos espec�ficos.
Los listados de directorios y especialmente las b�squedas generan actividad en nuestro r�gido. Muchas veces, ante una situaci�n particular que no deber�a requerir mayor utilizaci�n de nuestro disco nos encontramos con que el mismo entra en actividad por per�odos intermitentemente. Si bien puede haber programas en background (tareas no visibles) funcionando, podemos fundamentalmente verificar esto cerrando todos los programas en actividad.
Enviar/recibir archivos (leer y escribirlos), como as� tambien borrar, copiar, renombrar y ejecutarlos (inclusive actualizarlos).
Al igual que en el caso anterior, la transferencia de archivos genera una actividad del r�gido constante con intermitencias en per�odos regulares, si cerramos todos los programas y esto contin�a y al mismo tiempo verificamos que existe transferencia real de datos a traves de las luces de nuestro modem externo o el �cono de conexi�n de nuestro Windows (para modems internos), es entonces una clara se�al de alerta.
Crear/borrar directorios.
Muchas veces, los indeseables como se�al de su paso y en muchos casos como pruebas (ya que aprenden y practican con las m�quinas ajenas fundamentalmente) generan o borran directorios. As� que si encontramos directorios que no podemos justificar estar alertas. Como alternativa, tengamos en cuenta que hay programas que durante su instalaci�n generan directorios (especialmente dentro del directorio Temp), como as� tambi�n la creaci�n de directorios por error, en el caso de usuarios poco experimentados, o el uso de una misma computadora por parte de varias personas.
Comprimir/descromprimir archivos.
Idem punto 2.
Desconectar (logoff) al usuario actual.
Clara se�al de infecci�n de Back Orifice (aunque tambi�n de Netbus) es el repetido corte de nuestra conexi�n con nuestro proveedor. Si bien esto hace que el indeseable se quede sin posibilidad de seguir conectado a nuestra computadora, muchas veces esta conducta es tomada como represalia por parte de alg�n usuario de un canal de chat o alg�n conocido por Internet que de pronto se ha vuelto nuestro enemigo. Eso si, tengamos en cuenta alternativas como por ejemplo el tener habilitado el servicio de Aviso de Llamada en Espera (en el servicio telef�nico) que produce cortes de conexi�n cada vez que introduce el BEEP de aviso en la comunicaci�n, y tambi�n tengamos en cuenta como posibilidad el tener inconvenientes en la instalaci�n f�sica del cableado y fichas de conexi�n que puede estar produciendo descargas y por ende ruido en la l�nea. Esto �ltimo deber�a ser audible en una comunicaci�n telef�nica normal (persona a persona).
Bloquear (colgar) la computadora.
Este s�ntoma, tal como lo mencionamos en la secci�n de S�ntomas Generales deber ser muy atendible, aunque como en todos los casos, tambi�n puede dar lugar a confusi�n. Conociendo a Windows y en particular a toda la gran (y poco feliz) familia de productos Microsoft, no es novedad que el Windows y sus programas tienden a colgarse bastante. Lo que quiz�s es atendible el hecho de que se cuelgue la computadora sin que -a nuestro criterio- hayamos hecho nada que pudiera producir un bloqueo tan repentino y que no permite otra opci�n m�s que reiniciar la computadora.
Enumerar y enviar la lista de procesos en actividad.
Si aparece alguien haciendoles alg�n chiste o comentario sobre los programas que en ese momento est�n ejecutando, entonces no crean que es un chiste as� nom�s... casi seguro esa persona est� conectada mediante Back Orifice con tu computadora.
Detener precesos determinados.
Este es otro gran s�ntoma... que sin raz�n alguna un programa se cierre. Esto no es m�s que un s�ntoma de que alguien est� jugando con nuestra computadora y sin duda que estaremos infectados.
Capturar y enviar passwords que fueron utilizados, incluso desencripta y envia el password del screen saver (protector de pantalla).
Estando infectados, esta opci�n permite capturar el nombre de usuario y password que estemos utilizando para conectarnos con nuestro proveedor de acceso a Internet. Es probable que si de pronto nos vemos en repetidas ocasiones imposibilitados de conectarnos porque nuestro proveedor no permite accesos duplicados, es probable que sea porque el indeseable esta robando nuestro acceso. Y como tambi�n el password de acceso suele ser tambien el mismo que el del E-mail tambi�n pueden pasar cosas raras con nuestro correo. Un cambio de clave ayuda, pero no mucho si a�n estamos infectados ya que la pr�xima que nos ubique va a nuevamente robarse nuestra clave.
Desplegar ventanas con mensajes en nuestro Windows.
Obvio, si se les abren raras ventanas con raros textos, no lo duden, estan infectados, aunque tambi�n puede ser Netbus.
Ejecutar un archivo de sonido.
Sin duda que si sin raz�n alguna empiezan a ejecutarse sonidos, mala se�al.
Capturar, guardar y enviar entradas realizadas por el teclado mientras el usuario ingresa a la red.
Un rastro habitual del uso de este comando es encontrar en el directorio ra�z archivos sin extensi�n o .txt que si los abrimos con el Notepad (libreta de anotaciones) nos encontraremos con que podremos ah� encontrar cosas que escribimos durante una conexi�n a Internet (quizas un chat, mensajes que escribimos por ICQ, o cualquier otra cosa). Todo queda capturado en ese archivo. Como el BO queda en memoria y activo a�n despu�s de haber cortado la comunicaci�n, si el indeseable activa esta opci�n durante la conexi�n, la captura continuar� a�n despu�s de cortar la comunicaci�n y hasta el momento en que apaguemos o reiniciemos la computadora.
Ubicar la existencia de medios de captura de video (webcams, sistemas de videoconferencia, etc.), capturar y transferir im�genes o generar y bajar videos AVI desde estos medios.
Si uno posee algun tipo de c�mara para videoconferencias y uno encuentra archivos .avi o im�genes capturadas que no reconoc�s haberlas creado personalmente, entonces sospechar inmediatamente.
Hacer capturas (screen-dump) de lo que el usuario este visualizando en el monitor y bajarla a su computadora.
En este caso, como en el de la captura de teclado, el rastro m�s com�n es el de encontrar archivos .gif bastante grandes que cuando uno los ve encuentra como im�gen lo que ser�a una captura de la pantalla de la computadora en un momento dado.
Forma de detectar y remover
Existen formas simples y m�s complejas para la detecci�n e igualmente para la remoci�n. Podr�amos tambi�n dividirlas en manuales y atrav�s de programas.
Qu� diferencia unas de otras? fundamentalmente que las formas manuales de detecci�n tienen un grado de certeza mayor mientras que las realizadas a trav�s de programas (ejemplo, antivirus) pueden fallar a partir del momento en que se le hace alg�n tipo, aunque sea m�nimo, de cambios al troyano y ya el antivirus puede no llegar a detectarlo o por el simple hecho de que el antivirus no tenga una base de virus completa y actualizada. Por lo tanto, la utilizaci�n de un programa antivirus o detector especializado puede ser una excelente primer medida, pero si se quiere estar un tanto m�s tranquilo/a no estar�a mal recurrir tambi�n a un m�todo manual y de no contar con el conocimiento t�cnico pedirle a alguien conocido que lo haga por nosotros.
Por otra parte, el hacer que un antivirus, a�n super actualizado, chequee un ejecutable en funci�n de saber si puede o no estar infectado no es siempre 100% confiable. Existen por ejemplo programas que se utilizan para pegar el Back Orifice a un ejecutable cualquiera, y cuando se utilizan ese tipo de programas, el troyano en s� mismo es modificado de tal forma que el antivirus no lo detecta en el ejecutable ni tampoco detecta la infecci�n sino hasta luego de un rato en el mejor de los casos. Moraleja? la de siempre, los antivirus no son infalibles y ejecutar cosas por curiosidad a veces puede producir un gran dolor de cabeza.
C�mo se detecta?
Existe una huella inalterable que todos los troyanos en general dejan y es en el Registro de Windows. All� se guarda la informaci�n de todos los programas instalados y es all� donde los troyanos tambi�n est�n obligados a incorporar algunas l�neas para poder enmascarar su funcionamiento y as� lograr no estar visibles en la lista de tareas que se est�n ejecutando. Aunque no es una tarea extremadamente compleja, sin duda que chequear el Registro con el programa Regedit es algo que de ser posible es mejor sea realizada por una persona con cierto nivel t�cnico, pero repito, no necesariamente.
La ejecuci�n del REGEDIT.EXE realizando los siguientes pasos:
Presionar en Inicio/Start
Clickear en Ejecutar/Run
En la ventana emergente tipear el nombre del programa: regedit.exe (no importa si es may�sculas o min�sculas) y presionar Intro/Enter.
El programa se ejecutar� y una vez all�
Una vez que tenemos el Regedit.exe funcionando lo que veremos es algo similar a lo que vemos cuando navegamos nuestro disco r�gido con el Explorador de Windows. All�, agrupados en forma de arbol con ramas y subramas, vamos a encontrar los distintos valores de los distintos registros para los programas que tengamos en la computadora.
En la medida en que s�lo naveguemos por dentro del Registro no hay posibilidades de da�ar nada, pero recomendable es no hacer m�s que eso a menos que se tengan conocimientos t�cnicos suficientes.
Y ah� dentro que hago? bueno, vas a las secci�nes de este web que contienen Precisiones T�cnicas sobre las diversas versiones de troyanos y ah� vas a encontrar la posici�n dentro del Registro que cada troyano cambia o genera.
Y entonces? en las Precisiones T�cnicas vas a encontrar que los troyanos como Back Orifice, Netbus y otros generan ciertas variables con ciertos valores, si en esa posici�n del �rbol encontr�s esas variables y valores entonces eso es se�al garantida de infecci�n.
Y si encuentro esos valores y estoy infectado/a? entonces vas a encontrar que en alguno de esos valores se especifica el directorio y el nombre del troyano. Los pasos siguientes ya son m�s complejos y riesgosos por lo que te recomiendo que s�lo los sigas si ten�s un nivel de conocimientos t�cnicos aceptables de lo contrario mejor pedir ayuda a alg�n amigo que los tenga.
C�mo se remueve?
Remover un troyano requiere b�sicamente de tres etapas:
Remover las variables del Registro de Windows relacionadas.
Reiniciar la m�quina
Remover el ejecutable del troyano y de ser posible tambi�n sus librer�as .dll
Vamos a ver entonces cada uno de estos pasos.
Remover las variables del Registro de Windows relacionadas.
Con la informaci�n relacionada al Registro de Windows que encontramos en las precisiones t�cnicas del troyano en cuesti�n, ejecutamos el REGEDIT.EXE siguiendo los pasos que aparecen m�s arriba, y se navega por el �rbol del Registro hasta llegar al indicado en las precisiones. Una vez all�, si estamos infectados vamos a encontrar las variables y los valores tal cual figuarn en las precisiones. Si encontramos otras variables distintas NO BORRARLAS, y si encontramos las variables que grab� el troyano y tambi�n otras m�s, tampoco remover esas otras variables distintas a las generadas por el troyano.
Haciendo un click sobre alguna de las variables vamos a ver que queda seleccionada, y si luego presionamos el bot�n derecho del mouse vamos a ver que aparece la opci�n Remover/Delete. Utilizando esa opci�n lograremos borrar esas variables.
La importancia de esta acci�n consiste en que, una vez removidas estas variables, el troyano ya no se cargar� m�s en memoria a partir de la pr�xima vez que reiniciemos Windows, raz�n por la cual ya podremos pasar a removerlo porque que de lo contrario, a�n cuando detectaramos al troyano, si estuviera en memoria no podr�amos removerlo manualmente porque el Windows no lo permitir�a.
Ah! un dato importante!! antes de borrar las variables, anotar el directorio de funcionamiento y el nombre del troyano. Estos datos figuran en una de las variables que seguramente va a decir algo como c:\windows\...
Reiniciar la m�quina
Reiniciar la computadora no es nada nuevo, es m�s, si utilizan Windows casi que podr�an recibir un diploma de especialistas en la materia. As� que pasemos al siguiente punto.
Remover el ejecutable del troyano y de ser posible tambi�n sus librer�as .dll
Con el dato de a donde se encuentra y con qu� nombre iremos tras su b�squeda y una vez que lo encontremos lo borramos, sin ning�n tipo de piedad. Veamos tambi�n que en las precisiones t�cnicas tambi�n se suelen nombrar algunas librer�as .dll que ser�a bueno tambi�n ubicar y borrar... puede suceder que los nombres de estas librer�as difieran de las nombradas en las precisiones, y si es as� no va a ser tan f�cil ubicarlas, pero llegado este caso no hay peligro alguno en que esas librer�as queden, ya que de por s� no significan peligro alguno.
Noticias Relevantes
Se descubri� que el programa cliente de Back Orifice (en su primer versi�n) tiene dentro rutinas que env�an informaci�n de la computadora en la que se est� utilizando el programa a los hackers del sitio http://www.netninja.com/.Esto no es ciencia ficci�n y lo comprob� personalmente mediante el m�todo descripto para verificar tal "anomal�a".Esta informaci�n es enviada hacia alguno de los n�meros de IP de estos hackers momentos despu�s de que se comienza a utilizar la funci�n de ping sweep, espec�ficamente pensada para la b�squeda secuencial de n�meros de IP a la pesca de computadoras infectadas con este troyano.Quienes quieran comprobarlo y verlo con sus propios ojos no tienen m�s que echar a correr esa funcionalidad y al mismo tiempo abrir una ventana de DOS y en ella ejecutar el comando:netstat -a -n 1>ns.txtSi prefieren verlo en tiempo real eliminen la parte final de '>ns.txt' que hace que la salida de informaci�n se guarde en ese archivo.Si observan ver�n que un poco despu�s de comenzado el ping sweep el programa comenzar� a conectarse utilizando diferentes ports locales a un port 80 remoto de una direcci�n IP igual o similar a esta: 209.25.3.113. De qui�n es? si, claro de www.netninja.com que evidentemente tienen alg�n tipo de relaci�n, o son los mismos creadores del Back Orifice.Sospechosamente, la version 2000 de Back Orifice fue, desde un principio, promocionada por sus propios creadores -la gente de cDc, Cult of the Dead Cow- como un eficiente y gratuito software de control de redes y administraci�n remota de computadoras... justamente, la funcionalidad que originalmente ten�a este programa que luego adaptaron para que se convirtiera en un troyano. Sinceramente, lejos estar�a de pensar utilizar semejante programa para semejantes tareas, sobre todo en vistas de que a partir de este momento podemos aseverar que el cazador indeseable estuvo siendo cazado desde un primer momento.Se�ores indeseables: disculpen por la mala noticia.Al margen, esta gente de cDc parece estar esmer�ndose mucho para poder ser noticia de tapa en el 2000 como ya lo fueron en el '99.
By NoMoke -----.:X�
|
|
Si por cualquier motivo no
debes, no puedes, no quieres o no sabes utilizar tu cliente de correo electr�nico
o tu correo electr�nico v�a web, con cualquiera de los dos formularios que hay
en la p�gina contactar, puedes ponerte en contacto
conmigo. Si lo que deseas es formular cualquier tipo de pregunta sobre seguridad
inform�tica, te recuerdo que existe una lista de correo
espec�ficamente para ello. !Suscr�bete!
|
|
|
|
|
|
