¿Cómo funciona un
troyano?
Partiendo del hecho que existen unos 5.000 troyanos distintos, es bastante
complicado hacer una descripción generalizada. Las capacidades de los primeros
troyanos no tienen nada que ver con las de los troyanos más recientes, mucho más
poderosos
y con herramientas infinitamente más avanzadas que permiten un control casi
total del ordenador infectado, cosa que no ocurría con los primeros de su
especie. Nos vamos a centrar en la descripción de los troyanos de última
generación para hacernos una idea de las prestaciones que pueden alcanzar.
Comencemos con un hecho que diferencia a los troyanos entre ellos, y es que cada
troyano comunica los dos PCs (el PC atacante y el PC infectado) a través de
puertos de comunicación distintos. Cada uno de estos bichejos utiliza uno o
varios puertos específicos para comunicar ambos sistemas, si bien ésta es una
configuración por defecto,
pudiéndose
en muchos casos configurar el programa para que actúe a través de puertos
distintos a los establecidos por defecto. Esta característica permite a los
firewall identificar a los troyanos. Si se produce un tipo de comunicación en
concreto a través de un puerto en concreto, el firewall la identifica entonces
como un troyano también en concreto. Si se produce, por ejemplo, una conexión
TCP o UDP no autorizada y encriptada a través de los puertos 31337 o 54321 que
comiencen por la cadena "*!*QWTY?", el firewall identificará esa conexión como
un intento de comunicación del Back Orifice 2000.
Aclarado este punto, pasemos a ver qué ocurre durante el proceso de instalación
de un troyano. Partamos pues desde el momento en que la víctima ejecuta el
servidor del troyano. Primeramente el troyano instala archivos ejecutables y
librerías en el disco duro, se instala en la memoria del PC, añade nuevas
entradas en el registro y archivos del sistema y se auto-configura como una
aplicación TSR (terminate-and-stay-resident program) residente y con atributos
invisibles para que no aparezca ni en el administrador de tareas del PC, ni en
la lista de programas en ejecución ni al pulsar ALT+TAB. Es decir, que no conste
en ningún sitio que esa aplicación está activa. También aplica un puerto en
concreto para mantener comunicación con su cliente y lanza un mensaje al
atacante mostrando su ubicación (IP del PC infectado), situándose entonces en
modo de “escucha” a la espera de instrucciones. Tras haberse instalado el
troyano el ordenador infectado tendrá una relación cliente-servidor con el PC
del atacante, funcionando como un servidor y ejecutando las órdenes del cliente
remoto.
El cliente del troyano tiene capacidad de tomar privilegios de administrador de
una red, como por ejemplo acceso al registro, redireccionamiento de puertos,
acceso a todos los archivos de los discos (incluidos los archivos ocultos),
borrar/crear/copiar/modificar/subir/bajar ficheros, capacidad de iniciar
aplicaciones, capacidad de apagar y reiniciar el sistema, ...
Una capacidad que tienen los troyanos, como muchas otras aplicaciones, es la de
mantener su operatividad aunque sea renombrado, siempre y cuando no se modifique
su extensión (por lo general “EXE”).
Algunos troyanos de última generación constan de un escáner de puertos integrado
en el cliente. De esta forma el cliente puede encontrar por la red ordenadores
infectados con su servidor, hayan sido o no infectados por él mismo. Una vez se
ha detectado un ordenador infectado se inicia el cliente del troyano para
contactar con el servidor. Si el servidor ha sido “personalizado” entonces
aparecerá la opción de introducir una contraseña. Si se conoce, se teclea sin
más. Si no se conoce, hay programas que permiten crackearlas. Y es que ya no hay
respeto ni entre los propios hackers.
Otra opción que ofrecen algunos troyanos de última generación es la de
configurar el servidor del troyano antes de realizar la infección con un editor
de servidores, de esta forma el troyano actuará de una u otra manera una vez se
haya realizado la instalación en el PC de la víctima. Esto posibilita al
atacante para actuar de modos distintos dependiendo del sistema operativo de la
víctima, de los motivos de la infección, del sistema de seguridad del PC
atacado, ...
Los troyanos suelen ser actualizados regularmente y es frecuente encontrarse con
troyanos con versiones v1.0, v1.1, v1.2beta,... etc. También existen troyanos
con la capacidad de ser actualizados on-line. Es decir, que en vez de tener que
volver a instalar una versión nueva del troyano en un ordenador infectado, lo
que se hace es una actualización del mismo desde el PC del atacante por medio de
parches, pluggins, etc... de la misma forma que se puede actualizar un programa
corriente. Para ello se utiliza generalmente una aplicación de apoyo, específica
de cada troyano: los editores de clientes.
Clases de troyanos
Troyanos de acceso remoto
Son el tipo de troyanos más habitual. Tan habituales como peligrosos y dañinos.
Establecen una relación cliente-servidor entre el PC infectado y el PC del
atacante. Para ello necesitan estar instalados en los dos ordenadores. La parte
llamada servidor en el ordenador atacado y la parte llamada cliente en el
ordenador atacante. Por medio de estos troyanos el atacante puede realizar en el
PC infectado las mismas acciones que el dueño del PC.
Troyanos de correo
En este caso, este tipo de troyanos tan sólo actúa en modo servidor. Su función
principal es la de capturar e
informar. El troyano captura y graba el teclado cuando el usuario afectado
introduce contraseñas, cuando se navega por internet y en cualquier archivo en
general. Es decir, son capturadores de teclado. Se les llama troyanos de correo
no porque afecten al correo electrónico de nuestro PC, sino porque para
comunicar a nuestro atacante las capturas de teclado que ha realizado lo hace a
través de un cliente de correo propio e incorporado en el propio troyano, lo
cual dificulta su localización.
Keyloggers
Parecidos a los Troyanos de correo ya que también capturan el teclado de la
máquina infectada. Sin embargo,
en vez de pasar la información por medio de emilios, lo que hacen es crear un
archivo log especial al que el intruso puede acceder para descifrar contraseñas.
Fake Trojans
Muy usados por los hackers en ataques de autentificación (ver Tipos de ataque de
la sección Seguridad en Internet) para hacerse con claves y nombres. Por medio
de estos troyanos el atacante crea en el ordenador de la víctima ventanas o
avisos de algún supuesto error. Normalmente se solicita el nombre y password de
la víctima para subsanarlo. Cuando la víctima introduce su nombre y clave el
"problema" se soluciona... y el troyano ya ha capturado ambos elementos y
guardado en un archivo al que accederá más adelante el atacante.
Troyanos de FTP
Sólo actúan en modo servidor y permiten una conexión FTP con la máquina
infectada, desde la cual se puede
tanto subir como bajar archivos.
Troyanos de Telnet
Funcionan en modo servidor y permiten ejecutar comandos del DOS en el PC
infectado.
Troyanos de forma
Son troyanos que acceden a datos privados como pudieran ser la dirección IP,
usuarios, claves,... etc y que
envían esos datos a una Web por medio de una conexión HTTP.
¿Cómo es el cliente del troyano?
El cliente del troyano, es decir, la parte del troyano que nunca vemos ya que se
encuentra en el PC del
atacante, consiste generalmente en una ventana similar a la de muchos de los
programas que nosotros conocemos. Desde ella el atacante tiene a mano todas las
funciones con las que está capacitado el troyano y que le permiten actuar de una
forma más o menos sencilla sobre los ordenadores infectados.