Troyanos o caballos de troya?

Queridos amigos después de tanto trabajo y tanto viajar encuentro un rato de tiempo para actualizar y escribir algo en este blog. Hoy toca un tema que a muchas personas no familiarizadas con la seguridad informática le suena a ciencia-ficción o a algo surrealista, con esto me refiero a los troyanos o también conocidos como caballo de troya.

¿Pero que es un troyano?

troyano_itrack.jpg

Según la wikipedia un troyano o caballo de Troya es un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo ocasiona daños. El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Omero. Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado. Un troyano no es estrictamente un virus informático, y la principal diferencia es que los troyanos no propagan la infección a otros sistemas por sí mismos.

Vamos al grano!….. que información puede enviar un troyano al atacante

Voy a mencionar uno de los troyanos más conocidos y famosos por la red: Bifrost

Bifrost es el mejor troyano con conexión inversa y el mejor de los troyanos para hacerse indetectable con todo tipo de opciones, es el troyano mas avanzado de todos que consigue sobrepasar firewalls utilizando la conexión inversa, y el server ocupa apenas unos 20kb. Cuando hablamos de conexión inversa nos referimos al hecho que es el ordenador infectado que se conecta a su victima, eso conlleva muchas ventajas a la hora de atravesar barreras como cortafuegos y routers. El procedimiento es el siguiente: un atacante envía por correo electrónico, o messanger etc o la victima se descarga desde Internet algo que tiene ocultado el server del troyano bifrost. Este se instala en la victima de forma oculta para que posteriormente cada vez que enciendes tu ordenador se conecte al ordenador atacante y esté a su completa merced.El atacante tendrá una ventana abierta con todos los ordenadores victimas activos en un determinado momento Las funciones que un atacante puede realizar desde un menú muy amigable son las siguiente:

Screen Capture: Esta opción te muestra imágenes de su pantalla, para que veas que es lo que esta haciendo, tiene varios tamaños, rango de actualización de nuevas screenshots, calidad, etc.

Cam Capture: Sirve para que veas la cámara Web de tu victima. Muy buena si tu victima es una mujer con la PC en su recamara, xD se los dejo a su imaginación.

Remote Shell: Te abre una shell remota de su computadora, desde aquí le puede enviar comandos de MS-DOS, útil si le quieres apagar la PC, cambiarle permisos a archivos, etc.

Key Logger: Te muestra todas las teclas que tu victima pone y su pusiste el plugin offline keylogger tienes la opción de descargar el Log de las teclas que ha escrito la victima aunque tu no estuvieras conectado o no tuvieras el keylogger normal abierto.

Find Passwords: Encuentra passwords guardados en la PC y te los muestra.

Change name: Te da la opción de cambiarle el nombre con el que aparece tu victima en el BiFrost.

Copy IP: Copia su dirección IP en tu portapapeles.

Pregunto ¿Os parece poco?

Contramedidas

Como siempre muchos antivirus no detectan este archivo “server” ocultado detrás de quien sabe que. El ideal es tener mucho cuidado con lo que se descarga por la red, sobretodo estos programitas crakeados que siempre suelen llevar sorpresas con sigo. De todas formas podeis abrir la consola de vuestro sistema operativo windows y tecleáis: netstat -a -o esto os mostrará todas las conexiones activas con sus respectivos procesos y así de forma visual podéis averiguar si teneis algún proceso que desde un puerto se conecta a una ip o nombre de dominio raro que no sea microsoft. En Internet podéis encontrar mucha información adicional sobre que es un proceso o un puerto, yo os aconsejo tener famliaridad con estos términos tan importantes para gestionar vuestro ordenador.

Conclusiones

Estas las dejo a vosotros, mirad el siguiente vídeo donde se ve el bifrost en acción desde un ordenador atacante:

http://www.youtube.com/watch?v=sq_87Gn7DW8&feature=related

Leave a comment

About this Archive

Find recent content on the main index or look in the archives to find all content.