Son programas que crean un acceso directo al ordenador víctima. Suelen encontrarse pegados a otros programas mediante diversas utilidades específicamente diseñadas para ello, y ocultando su función real mediante la apariencia de un programa que aparentemente funciona bien, como podría ser un simple salva pantallas.

Algunos de ellos permiten incluso realizar funciones que de otra forma sería imposible. Son muy parecidos en su funcionamiento, que no en su origen ni en su intención, a los programas de control remoto. De hecho se diferencian únicamente en el modo de instalación y en no aparecer en la bandeja de sistema ni en la barra de estado, si bien algunos programas digamos legales de control remoto, tampoco aparecen.

Constan de dos partes: cliente y servidor. El servidor es quien permite que los intrusos entren en nuestro ordenador, y algunos incluso envían nuestra dirección IP a una dirección de correo electrónico, a una lista de correo, al ICQ, o a un canal de IRC.

Para librarnos de ellos, lo mejor es el sentido común: No aceptar caramelos de desconocidos, ni ejecutables de ninguna clase (mejor ser paranoicos que víctimas). 

Vamos a analizar (por encima) un troyano español, el PTAKKS, creado por Xan y QuoVadis. Al analizarlo no pretendo animaros a que lo consigáis, lo instaléis, infectéis a algún incauto, y un buen día se presenten a buscaros los "men in green" (la guardia civil). Lo que busco es advertir de la peligrosidad de ejecutar cualquier cosa que nos llegue por correo electrónico, disquete, CD-ROM, o bajemos voluntariamente de alguna web.

Otro día analizaré otro troyano español, el CONTROL TOTAL, creado por pelé. Incluso puede que me anime y haga una comparativa de troyanos, con los más importantes. Hay unos 5000, aproximadamente, de los cuales los antivirus no detectan más de 2.000 (creo).

He creado con el PTAKKS un servidor troyano, que me envía a mi correo electrónico tu IP para que pueda conectarme a tu ordenador y hacerte todo lo de la tabla superior. Si deseas probarlo como víctima, envíame un correo electrónico, y PUEDE que te acepte como víctima. Ventajas para ti: No te voy a hacer daño, simplemente curiosearé en tu ordenador y te copiaré en el escritorio una foto de Pamela Anderson, VESTIDA (No te imaginas lo que me ha costado encontrar esa foto).

NO es delito, puesto que cuento con tu consentimiento, manifestado mediante tu correo electrónico, que guardaré como prueba. 

A efectos de simple curiosidad, te agradecería me enviaras un correo (anónimo si quieres), donde me digas si te he motivado a buscar, obtener y ejecutar el troyano, o si por contra vas a seguir mi recomendación y protegerte absteniéndote de ejecutar archivos extraños.
Gracias por tu ayuda.

Este artículo procede de la revista de hackers NETSEARCH:

===== [ Troyanos Pasivos: DraZler v1.0.0 ]

Bien, como ya comente al principio, voy a hablar de lo que se me ha dado por llamar Troyanos Pasivos.

Hasta ahora estamos acostumbrados a los tristemente famosos troyanos del tipo cliente/servidor. Infectabas una maquina con el servidor y después accedías a ella a través del cliente, con el cual conectabas conociendo la IP
de la victima. Los inconvenientes de este sistema son obvios: existe el problema de conseguir que la victima active un ejecutable en su maquina, y además, necesitamos conseguir su IP mas tarde para poder establecer una
conexión. El 95,5% de las maquinas, digamos, normales, no están conectadas 24 horas a Internet (aun con la tarifa Plana :P) y tienen una IP dinámica, por lo que tendríamos que encontrarnos con la victima en el IRC, u otras cosas para eso.

La idea de troyano pasivo consiste en que es la maquina infectada la que conecta a donde el atacante desea, y recoge de allí las instrucciones a seguir. Por ejemplo, cuando la maquina conecta a Intenet, esta realiza una conexión a un ftp gratuito donde yo he dejado un script, un batch, o un binario, lo recoge y lo ejecuta. De esta manera tenemos la maquina controlada sin preocuparnos de si esta conectado o no, y sin saber su IP.

Para ilustrar esto, he creado un sencillo programa, completamente en VBS y Batch. Con ello quiero demostrar dos cosas; que Windows NO ES SEGURO, y que es posible utilizar los propios recursos de una maquina estándar para introducirse en ella, sin necesidad de utilizar programas enlatados.

A continuación comentare a grandes rasgos y a modo de historia lo que podría hacer DraZler, pero como siempre he dicho, un código fuente es el mejor tutorial que puedes consultar.

" Domingo, 12:52 horas.

Los padres de Selmito acaban de salir de casa para ir a misa de una. El, como siempre, se había quedado dormido y no le daba tiempo de llegar, por lo que se levanta, se ducha, desayuna un poco y corre enseguida a su ordenador para conectarse a Internet (por fin le han puesto su tarifa plana y tiene que aprovechar que hoy es "gratis" todo el día, y así bajarse el ultimo álbum de los Britney Spears). Arranca su flamante Pentium 500 con 128 de RAM y su querido Windows 98 personalizado hasta los topes. Pincha sobre el icono que pone Internet y mientras su US Robotic 56K emite unos extraños pero graciosos soniditos, aprovecha para arrancar su Internet Explorer, su Outlook y su mIRC para ir ahorrando tiempo.

Cuando el sonido remite, teclea en su navegador la dirección de Terra para enviar un mensaje al móvil que se acaba de comprar su compañero de clase.

Mientras carga la Web, pulsa el botón "Enviar y Recibir" en el Outlook, para bajarse el correo. Selmito esboza, como todos los días una sonrisita al ver como su Outlook se baja el correo de la cuenta de su padre y a continuación el de la suya. Todavía recuerda como fardó con sus colegas cuando configuro el solito las dos cuentas en el mismo cliente de correo. De pronto siente una gran curiosidad al ver que el asunto de uno de los mensajes de su padre dice así "IMPORTANTE". Sabe que no debe leerlo porque no es suyo, pero como el entiende
mas de informática que su padre, decide leerlo por la vista previa y así dejarlo como no leído. Pronto pierde el interés al ver que el cuerpo del mensaje apenas dice una sarta de estupideces sobre el negocio de su padre, el
cual nunca le intereso a el (Eso de ser el editor de una revista del corazón no es muy divertido).

En ese momento escucha como alquien esta abriendo la puerta de entrada, y apaga el ordenador.

...

(Mientras, en las entrañas del Pentium 500 con 128 de RAM)

El viaje a través de Internet dando saltos de servidor en servidor lo había dejado hecho polvo. Cuando por fin llego a la maquina destino, DraZler, el pequeño gusano se dejo caer a través de Outlook en el directorio inicio de
Windows gracias a sus queridas librerías Scriptlet. Por fin encontró una forma un poco mas cómoda en la mutación HTA. Después de tan largo viaje a través de líneas de cobre, cables de fibra óptica y ondas, decidió descansar hasta la próxima inicialización del sistema.

Domingo, 14:23 horas.

El padre de Selmito enciende el ordenador de casa. Tiene que terminar un articulo para el Martes, ya que es una gran exclusiva sobre Rodríguez Menéndez que no debe salir antes en ninguna otra publicación. Abre su Microsoft Word y comienza a escribir un largo y movidito articulo de 34 paginas, con todo lujo de detalles. -"La competencia lo va flipar" - se decía a si mismo.

...

Al arrancar el sistema, DraZler decidió activarse de nuevo, dividiéndose en varios archivos VBS y Batch. Activo en el registro su "despertador", para que cada vez que iniciase el sistema le despertase. Volcó un acceso directo para despertarse sin "hacer ruido". DraZler pudo comprobar que esta maquina no estaba todo el dia comunicada con el exterior, así que decidió realizar una conexión ftp con la dirección que le había dado su jefe una y otra vez, hasta que el canal modulador/demodulador estableciese un enlace con la RED. Se dio cuenta de que esto era demasiado "ruidoso", ya que estaba utilizando un Batch con bucle infinito que llamaba al ftp.exe de Windows, de modo que hizo un pequeño apaño en el registro tocando los punteros del escritorio para que el dichoso relojito no apareciese cada dos por tres. Bien, solo quedaba esperar a que se estableciese esa comunicación y así poder recoger las ordenes de su jefe en el ftp.

Domingo, 18:36 horas

Selmito conectaba desesperado su ordenador a Internet, harto ya de hacer los deberes del Lunes. Además, hoy estaba nervioso, había quedado con una chica en el IRC, que debía estar para comérsela según la foto que esta le había enviado. Se llamaba Sheila.

...

Al fin! Por fin se abrían las puertas. DraZler se dirigió a julai.gratisftp.org y alli recogió ord.vbs. Eran las ordenes de su jefe. Este le pedía el archivo c:\mis documentos\*rod*men*. Pues alli se fue. Por el camino no pudo evitar fijarse en un directorio llamado "guarras" en c:\windows, pero no se detuvo. Al llegar a c:\mis documentos encontró un archivo llamado Rodríguez Menendez.doc. Pues nada, estableció de nuevo una conexión ftp y subió
allí el archivillo.

Lunes, 13:05 horas

El padre de Selmito no se lo podia creer. El articulo sobre la boda del codiciado abogado había salido en una publicación de la competencia. Pero como!. Era una exclusiva. Le habían tomado el pelo...

...

DraZler ya se habia asentado y acomodado a este su nuevo hogar, y disfruto de su trabajo y sus escapaditas esporadicas a julai.gratisftp.com durante un espacio de 7 meses y 4 días, hasta que Selmito abrió una foto de Sheila llamada en_la_ducha.exe y el disco duro de su ordenador comenzó a girar..."

En fin, después de este culebron de mierda que acabo de escribir (joder, son las 4 de la mañana y tengo que levantarme a las 7:30 para ir a clase. Que esperabais? :P ), solo queda que vosotros mismos veáis como funciona este bichejo. Solo comentar que este es el código para infectar la maquina, y que de ir adjunto en un HTML o en un email para Outlook tiene que ser modificado para adaptarlo. Por favor, no lo utilicéis, solo es una ilustración de este articulo, además, posee un fallo que hará sospechar a la persona infectada :P
 

PUERTOS por Ripper
( ripper@interlap.com.ar )

Puertos más comunes:

9 discard Basura
11 systat Te da la data de los usuarios
13 Fecha y hora
15 netstat
17/tcp qotd Quote of the Day
19 chargen Generador de caracteres
21 ftp transf
22/tcp ssh SSH Remote Login Protocol
23 telnet Login pass
25 smpt smtp
37 time hora
38/tcp rap RouteAccessProtocol
39 rlp Localización del recurso
42/tcp name server Hostname Server
43 whois Información sobre la red objetivo
49/tcp tacacs LoginHostProtocol(TACACS)
50/tcp re-mail-ck RemoteMailCheckingProtocol
53 domain Nombre de la maquina
63/tcp whois++
69/tcp tftp TrivialFileTransfer
70 gopher
79 finger info. de los users
80 http ServidorWeb
88/tcp kerberos Kerberos
107 rtelnet Telnet remoto
109/tcp pop2 PostOfficeProtocol-Version2
110 pop3 pop3 (e mail)
111/tcp sunrpc SUN Remote Procedure Call
113/tcp auth Authentication Service
115/tcp sftp Simple File Transfer Protocol
117/tcp uucp-path UUCP Path Service
119 nntp Grupos de noticias Usenet
133/tcp statsrv Statistics Service
136/tcp profile PROFILE Naming System
137/tcp netbios-ns NETBIOSNameService
137/udp netbios-ns NETBIOSNameService
138/tcp netbios-dgm NETBIOSDatagramService
138/udp netbios-dgm NETBIOSDatagramService
139/tcp netbios-ssn NETBIOSSessionService
139/udp netbios-ssn NETBIOSSessionService
143/tcp imap InternetMessageAccessProtocol
144/tcp news News
161/tcp snmp SNMP
194/tcp irc InternetRelayChatProtocol
213/tcp ipx IPX
220/tcp imap3 InteractiveMailAccessProtocolv3
443 shttp server by web
512/ udp biff notifiacion de mail
513/tcp rlogin remote login
513/udp who quien? (te dice quien esta)
514/tcp shell Shell remota
514/udp syslog
515/tcp printer spooler
520 route Protocolo de información routing
529/tcp irc-serv IRC-SERV

VFrom: Lancelot < juanmas2001@yahoo.com >
Date: Tue, 1 Jan 2002 15:35:32 -0800 (PST)
Subject: RE: [haygentepato] puertos
Reply-To: haygentepato@yahoogroups.com
Content-Type: text/plain

y bueno... esta es la lista de los puertos que podrian en su momento verse "visitados" por los troyanos.

Segun http://scan.sygatetech.com  la lista es:

port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
port 23 - Tiny Telnet Server (= TTS)
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Executor, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
port 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1001 - Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1090 - Xtreme
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1269 - Mavericks Matrix
port 1349 - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1981 - Shockrave
port 1999 - BackDoor
port 1999 - TransScout
port 2000 - TransScout
port 2001 - TransScout
port 2001 - Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2565 - Striker
port 2583 - WinCrash
port 2600 - Digital RootBeer
port 2801 - Phineas Phucker
port 2989 - RAT
port 3024 - WinCrash
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3459 - Eclipse 2000
port 3700 - Portal of Doom
port 3791 - Eclypse
port 3801 - Eclypse
port 4092 - WinCrash
port 4321 - BoBo
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetro
port 5321 - Firehotcker
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5742 - WinCrash
port 6400 - The Thing
port 6669 - Vampyre
port 6670 - DeepThroat
port 6771 - DeepThroat
port 6776 - BackDoor-G, SubSeven
port 6912 - Shit Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrasher, Priority, IRC 3
port 6970 - GateCrasher
port 7000 - Remote Grab, Kazimas
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7789 - Back Door Setup, ICKiller
port 8080 - RingZero
port 9400 - InCommand
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9876 - Cyber Attacker
port 9878 - TransScout
port 9989 - iNi-Killer
port 10067 - Portal of Doom
port 10101 - BrainSpy
port 10167 - Portal of Doom
port 10520 - Acid Shivers
port 10607 - Coma
port 11000 - Senna Spy
port 11223 - Progenic trojan
port 12076 - Gjamer
port 12223 - Hack«99 KeyLogger
port 12345 - GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346 - GabanBus, NetBus, X-bill
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12631 - WhackJob
port 13000 - Senna Spy
port 16969 - Priority
port 17300 - Kuang2 The Virus
port 20000 - Millennium
port 20001 - Millennium
port 20034 - NetBus 2 Pro
port 20203 - Logged
port 21544 - GirlFriend
port 22222 - Prosiak
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23477 - Donald Dick
port 26274 - Delta Source
port 29891 - The Unexplained
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30303 - Sockets de Troi
port 30999 - Kuang2
port 31336 - Bo Whack
port 31337 - Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
port 31338 - NetSpy DK ,Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack«a«Tack
port 31787 - Hack«a«Tack
port 31788 - Hack«a«Tack
port 31789 - Hack«a«Tack
port 31791 - Hack«a«Tack
port 31792 - Hack«a«Tack
port 33333 - Prosiak
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 47262 - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 53001 - Remote Windows Shutdown
port 54320 - Back Orifice 2000
port 54321 - School Bus, Back Orifice 2000
port 60000 - Deep Throat
port 61466 - Telecommando
port 65000 - Devil

Saludos!

Lancelot. : -)

 

From: "ViPeR DaRK (e-mail censurado a petición del autor. Motivo: Todos los lamers del reino lo agregan al messenger, pidiéndoles que les enseñe a meter troyanos") Date: Censurada por el mismo motivo
Subject: Re: [HackIndex] Desinfeccion del Sub7 y demás

No se si todo esto ya lo sabreis pero.... que no se diga que no escribo xD
Sobre lo de los troyanos, yo me he instalado el server de unos cuantos (los mas conocidos, bo, netbus,sub7...) y todos funcionan igual, quiero decir, que se autoejecutan con el Güin2. Yo los quito a mano sin ningún programa.

Lo que hago es:
1º Inicio>Programas>Inicio> | Todavía hay algunos troyanos que crean un acceso directo aqui para que se ejecute
2º Miro en el Win.ini | En las 3 primeras líneas está el Load= y el Run= que tienen que estar vacías.
3º Miro en el Registro | Hay varios sitios para ejecutar programas:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

Por lo que he podido encontrar sólo se pueden ejecutar programas desde esos tres.
Y despues de eliminar cualquier clave de registro reinicia.

Tambien esta la información del systema que está (creo) en: C:\Archivos de programa\Archivos comunes\Microsoft Shared\MSinfo\ que te da info de los programas que se ejecutan y los que se están ejecutando y donde estan.

Salu2
 

De la tavernadelkaos (URL censurada por recomendación de mi abogado):

1. Descripción

Un caballo de Troya es un programa aparentemente útil, novedoso, o atractivo que contiene funciones ocultas que permiten, por ejemplo, obtener privilegios de usuario (siempre que el programa se ejecute), suponiendo un enorme problema de seguridad. Generalmente un caballo de Troya no tiene efecto sin la colaboración involuntaria del usuario a quien va dirigido.

Los caballos de Troya son normalmente instalados por los propios usuarios inadvertidamente o bien por intrusos que han obtenido acceso sin permiso al sistema a través de otros medios.

2. Métodos de introducción.

Los atacantes utilizan métodos de distribución como los siguientes.

1. Envío masivo de e-mails con un troyano adjunto. Recientemente se ha dado el caso de un e-mail presuntamente enviado por Microsoft a sus usuarios que invita a actualizar el navegador Microsoft Internet Explorer. Sin embargo Microsoft ha confirmado que no proporciona parches o actualizaciones a través de correo electrónico, aunque sí distribuye de está forma boletínes periódicos de seguridad.

Este mensaje contiene un programa ejecutable adjunto llamado Ie0199.exe. Tras su instalación, el programa origina bastantes modificaciones en el sistema e intenta contactar con otros sistemas remotos. Existen múltiples versiones de este caballo de Troya, por lo que las modificaciones no cumplen una norma generalizada.

Una de estas versiones se acompaña del mensaje siguiente:

«As an user of the Microsoft Internet Explorer, Microsoft Corporation provides you with this upgrade for your web browser. It will fix some bugs found in your Internet Explorer. To install the upgrade, please save the attached file (ie0199.exe) in some folder and run it. »

Por supuesto, no es un mensaje de Microsoft.

2. Envío durante sesiones IRC. Se convence a un usuario no experimentado de que reciba un programa muy interesante, dependiendo de los gustos del usuario, se renombra el troyano para que su ejecución sea segura.

3. Distribución a través de Web, Newsgroups, FTP, etc, con las mismas técnicas de "venta", es decir, programa novedoso, interesante, de gran utilidad...

4. Inserción del Troyano en programas de gran demanda, modificando su instalación pero manteniendo intacto el programa original, sin que el usuario aprecie ningún cambio o indicios sospechosos en su funcionamiento.

5. Modificación de programas en lugares de distribución de reconocido prestigio, lo cual supone una entrada no autorizada en dichos sistemas e implica un alto grado de infección incluso en máquinas de usuarios experimentados y precavidos.

6. Infección a través de applets Java, Javascript, Active X.

7. Cualquier otra técnica de ingeniería social, incluso envío de cds o de cualquier otro soporte de almacenamiento por correo tradicional, simulando regalos, anuncios, promociones, etc.

3. Posibilidades del atacante.

Una vez el Troyano se ha ejecutado en un sistema, el atacante, dependiendo de las posibilidades del programa, puede, por ejemplo:

Ejecutar programas remotamente
Eliminar, leer, modificar archivos, y por tanto información sensible, como claves de acceso, información bancaria y personal, etc. Es decir, se consigue idéntico acceso que el usuario presente físicamente ante su máquina.
Posibilidad de enviar y ejecutar nuevos troyanos
Posibilidad de cometer acciones delictivas utilizando la máquina de la víctima.
Instalar virus
etc, etc, etc...

Si la víctima tiene acceso administrativo al sistema operativo, el caballo de Troya puede permitir al atacante, obtener la cuenta "root" en Unix, la cuenta "administrator" en NT o cualquier otro tipo de cuenta que suponga acceso administrativo al sistema operativo.

Puede comprometer cualquier sistema de una red, incluyendo consecuencias en otros sistemas de la misma red. Son muy vulnerables aquellos sistemas que transmiten datos de autentificación, como por ejemplo, claves de acceso en texto plano o en métodos débiles de encriptación. Si la seguridad del sistema ha sido comprometida por un caballo de Troya, el intruso puede instalar un sniffer y recolectar nombres de usuario y claves o cualquier otro tipo de información privilegiada durante su travesía por la red.

Incluso el sistema afectado puede convertirse en la fuente de un ataque que pueda exponer a la organización, empresa, o usuario a serias complicaciones legales. Puede ser utilizado para realizar acciones ilegales sin que el verdadero culpable pueda jamás verse implicado, pero sí los responsables del sistema afectado.

3. Prevención

Todo usuario en general debe verificar cualquier software que ha sido instalado, procurar que provenga de fuentes conocidas y seguras, asegurarse de que no haya sido modificado.

No ejecutar ningún programa enviado vía e-mail no solicitado.

Mucha precaución con los contenidos de los applets Java, JavaScript, Active X durante la navegación. Es preferible configurar el navegador para desactivar cualquier ejecución automática, de estos contenidos.

Emplear regularmente programas antivirus convenientemente actualizados. Emplear firewalls o cualquier método seguro de controlar los puertos de su sistema.

No emplear los máximos privilegios en tareas para las que no sean extrictamente necesarios.

Si puede evitarse, no almacene información de importancia vital en su sistema, si un atacante la consigue, puede hacer desaparecer el troyano, el fichero por el cual se instaló, y eliminar toda prueba de su existencia, para posteriormente utilizar los datos obtenidos, por ejemplo al cabo de unos meses, sin que la víctima pueda jamás imaginar la causa de la filtración


PRINCIPALES TROYANOS

Acid Shiver Este troyano funciona en un puerto TCP aleatorio cada vez que se ejecuta y envía un email a la persona que lo ha infectado, mostrándole la información. Se conecta a él mediante telnet al puerto especificado. A pesar de funcionar exclusivamente mediante línea de comandos, es un muy buen troyano. Se trata de un proyecto abierto, con las fuentes a disposición de quien lo desee, por lo que pueden haber muchas variantes.
Backdoor Creación de Dark Eclipse Software. Otro troyano similar al Back Orifice o al Netbus. Algunas funciones, especialmente la visión de la estructura de directorios, están bastante más optimizadas aumentando su velocidad. A cambio precisa de bastantes OCX y DLLs. Parece ser que las próximas versiones serán optimizadas para reducir en lo posible tanto sus requisitos y los archivos necesarios.
Back Orifice 2000 Personalmente, a mi no me gusta mucho. El grupo de hackers "The Cult of the Dead Cow" ha desarrollado una nueva versión de su Back Orifice. Esta nueva versión, llamada Back Orifice 2000, incluye nuevas caracteristicas y la posibilidad de ejecutarse en entornos Windows NT. El código fuente de esta versión se ha hecho público, permitiendo a cualquiera modificar el software, por lo que se prevé la aparición de multitud de versiones, plugins y mejoras.
Deep Throat
Instala server Otra utilidad de administración remota para W95-8. Este troyano presenta también una interfaz agradable, a excepción de un pequeño problema con las fuentes.
Ofrece nuevas características con respecto a los troyanos más conocidos, como ftp server, ejecución de aplicaciones de forma camuflada, etc.
El Instala Server simula estar ejecutando una aplicación, pero en realidad está instalando el servidor de este troyano.
Dolly 1.6 Nueva version de otro de los grandes troyanos. RECOMENDADO
Forced Entry Ocupa 1,2 megas
Netbus 1.7 Es un troyano muy fácil de manejar. A mi me gusta bastante debido a la cantidad de personas que hay infectadas con este troyano en inet.
Netbus 2.0 Pro Una nueva version de este conocido troyanos, aunque hay muchos más infectados con el 1.70
NetSphere Ocupa 726K
Phase Zero Cabayo de Troya para Windows 95/98/NT, de interfaz gráfico e instalador. Consta de un servidor FTP integrado, funciones para manipular el registro, restricción de accceso al servidor a rangos de IP, posibilidad de configurar el puerto, las entradas de registro y el ejecutable del servidor, etc. El resto de las funciones son las típicas de las aplicaciones de este tipo.
SubSeven Para mi es el mejor troyano. Tiene multitud de opciones, opciones nuevas y muchas cosillas graciosas. El puerto por defecto es el 27374, aunque tanto el puerto como muchisimas otras opciones se pueden configurar.
Year 3K Excelente troyano, no demasiado conocido, de muy facil manejo pero con posibilidades.
Paradise Troyano sencillo de facil manejo
Milenium Troyano , no demasiado bueno que cumple su funcion
Inikiller 74K
Portal of Doom Ha sido creado por los componentes de HackCity.
Bugs El cliente de este troyano es bugs.exe y el cliente es bug' s.exe
Coma 140K
Cain 400K
Devil 1.3 El puerto que utiliza es el 6500
Excalibur Ocupa 307K
WinCrash 2.0 Troyanno especializado en "joder" sistemas operativos W9x. Solo para mentes malvadas.

 

Si por cualquier motivo no debes, no puedes, no quieres o no sabes utilizar tu cliente de correo electrónico o tu correo electrónico vía web, con cualquiera de los dos formularios que hay en la página contactar, puedes ponerte en contacto conmigo. Si lo que deseas es formular cualquier tipo de pregunta sobre seguridad informática, te recuerdo que existe una lista de correo específicamente para ello. !Suscríbete!