x

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación.
Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

 
  Entrar Regístrate
 
Detectando y desinfectando un troyano
#1 · 26/Abr/2008, 21:31
En este post, explicaré como detectar un troyano y eliminarlo, además de conocer la identidad del atacante.

Comencemos:
1.- Que es un troyano
Un troyano es una aplicación Cliente - Servidor que hace que el Cliente (atacante) se conecte al Servidor (víctima que ha abierto la aplicación camuflada) y realize acciones en el PC de la víctima. Aquí explicaré como detectarlo y eliminarlo, pero casi siempre cuando lo detectamos es demasiado tarde. Para eso, estoy trabajando en una aplicación Anti-Troyanos que nos librará de muchos problemas...

2.- Detección
Para detectar un troyano, usaremos la más preciada arma de muchos hackers: la CMD, el último trozo de DOS. Sigamos estos sencillos pasos:
1.- Desactivamos los P2P (eMule, Ares, Kazaa, BitTorrent, Azureus...)
2.- Desactivamos el MSN Messenger y todas las variantes que pueda tener (Google Talk, Yahoo! Messenger, aMSN...)
3.- Vamos a Inicio --> Ejecutar
4.- Escribimos cmd.exe y le damos a Aceptar

Ya estamos en la CMD, asi que vamos a poder detectar el troyano... Escribamos esto:
netstat -n
y le damos a Enter. Asi nos aparecerán todas las conexiones de nuestro PC (por eso antes desactivamos los P2P y servicios de mensajería instantanéa). Nos fijaremos en la columna Dirección local. Alli pueden aparecer estas IP´s
Tu IP (la puedes averiguar en http://www.cualesmiip.com/)
127.0.0.1
129.0.0.1
192.168.0.1

(No te fijes en los dos puntos de detrás de las IP´s)
Si te aparece una IP que no sea la tuya o las especificadas arriba... ¡¡¡CORRE!!! ¡¡¡DESCONECTA INTERNET!!! ¡¡ES CUESTIÓN DE SEGUNDOS!!
Una vez hecho esto, podremos ejecutar tranquilamente la desinfección...

3.- Desinfección
Con Internet desconectado estamos a salvo de momento, pero debemos eliminar el Troyano de los daños que puede hacer más tarde. Escribiremos esto en la CMD:
start regedit.exe
Y pulsamos Enter. Asi habremos abierto el editor de registros, que usaremos para eliminar el troyano del registro (suelen auto-agregarse). Iremos hasta esta clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/
Allí revisaremos todos los archivos agregados, y si hay alguno sospechoso, lo eliminamos. Ahora procederemos a reiniciar el equipo para terminar la desinfección... Desde la CMD escribe esto:
shutdown -r -t 20 -c "Desinfección finalizada. Un saludo de Darth_Carl que espera que te haya servido su tutorial"
y le damos a Enter. En 20 segundos tu PC se reiniciará
Bueno, paso el apuro. Ya está todo arreglado. Ahora daré algunos consejos para prevenir el próximo ataque

4.- Previniendo más posibles ataques
Para prevenir más posibles ataques, realiza esto:
- Descargate un Firewall o Cortafuegos
- Comprate un antivirus (o utiliza el "truco")
- Utiliza la técnica de detección de vez en cuando
- Identifica la IP del hacker. Para esto apunta la IP que conseguimos con el netstat -n
- Si cuando inicias ciertas aplicaciones el Troyano se reactiva, desconecta Internet, apunta la aplicación y preguntame por Privado o por mi web
¿Es muy difícil? Realizalo por más seguridad

Fuente

Darth_Carl
Come y duerme en el foro
Come y duerme en el foro
Haz clic para ver el perfil del usuario
Mensajes: 400
Desde: 29/Ago/2007
· ·
#2 · 26/Abr/2008, 22:23


No estoy del todo de acuerdo con esta guia. No es tan asi.

De inicio no todas las IPs privadas son 192.168.x.x, hay diferentes metricas de IPs. La 192.168 es la mas común, pero no es la unica. Por ejemplo, también es muy comun la metrica 172.16.x.x.

Asi que, no es tan simple de identificar a simple vista una IP agena.

Otro asunto a considerar es que no solo los P2P utilizan recursos IP. Hay muchos otros programas, como los actualizadores de software de dispositivos, instaladores, etc. Y esos mientras el proceso este corriendo, es posible que utilicen alguna IP. Los mismos antivirus pueden generar una conexión IP.

Y mas.

El CMD y el editor de registro (regedit) son herramientas que hay que usar con cierto cuidado. Se necesita de verdad saber qué se esta haciendo antes de mover algo.

En la llave Run pueden haber muchisimas cosas, a cual mas de extrañas, y no por eso ser nocivas. Las maquinas de fabricante tienen en ocasiones muchas keys de arranque de cuestiones propias de los fabricantes (controladores de audio, consolas de video, software de dispositivos, etc) que son muy dificiles de distinguir.

Y eso, avalando el proceder inmediatamente a tocar el registro. Antes de eso es mucho mas sano y facil utilizar otras herramientas. A decir verdad, el meter mano al registro dificilmente puede ser una "solución" a un problema de malware. Porque ojo, un troyano realmente no es todo el problema, hay mucho mas que simplemente un "troyano": virus, spyware, adware, hijackers, etc.

Antes de manosear el registro, mejor podemos utilizar herramientas muy potentes y efectivas:

La utilización de esas herramientas en conjunto es sin duda mas seguro, mas facil, y mucho mas efectivo, que proceder sin mas ni mas a toquetear el registro.

Finalmente, algo que no se toma en cuenta: Software Actualizado y de preferencia Original.

Tanto los antivirus, y demas herramientas, lo mejor es que sean originales y esten siempre actualizados. Pero no solo esos, sino que tambien es aqui donde toma considerable importancias que el sistema operativo (no solo Windows) este siempre actualizado y con todos sus parches de seguridad.



Caos.X
@man / @woman
@man / @woman
Haz clic para ver el perfil del usuario
Mensajes: 3.230
Desde: 06/Sep/2003
· ·
#3 · 27/Abr/2008, 10:01
Escrito originalmente por Caos.X


No estoy del todo de acuerdo con esta guia. No es tan asi.

De inicio no todas las IPs privadas son 192.168.x.x, hay diferentes metricas de IPs. La 192.168 es la mas común, pero no es la unica. Por ejemplo, también es muy comun la metrica 172.16.x.x.

Asi que, no es tan simple de identificar a simple vista una IP agena.

Otro asunto a considerar es que no solo los P2P utilizan recursos IP. Hay muchos otros programas, como los actualizadores de software de dispositivos, instaladores, etc. Y esos mientras el proceso este corriendo, es posible que utilicen alguna IP. Los mismos antivirus pueden generar una conexión IP.

Y mas.

El CMD y el editor de registro (regedit) son herramientas que hay que usar con cierto cuidado. Se necesita de verdad saber qué se esta haciendo antes de mover algo.

En la llave Run pueden haber muchisimas cosas, a cual mas de extrañas, y no por eso ser nocivas. Las maquinas de fabricante tienen en ocasiones muchas keys de arranque de cuestiones propias de los fabricantes (controladores de audio, consolas de video, software de dispositivos, etc) que son muy dificiles de distinguir.

Y eso, avalando el proceder inmediatamente a tocar el registro. Antes de eso es mucho mas sano y facil utilizar otras herramientas. A decir verdad, el meter mano al registro dificilmente puede ser una "solución" a un problema de malware. Porque ojo, un troyano realmente no es todo el problema, hay mucho mas que simplemente un "troyano": virus, spyware, adware, hijackers, etc.

Antes de manosear el registro, mejor podemos utilizar herramientas muy potentes y efectivas:

La utilización de esas herramientas en conjunto es sin duda mas seguro, mas facil, y mucho mas efectivo, que proceder sin mas ni mas a toquetear el registro.

Finalmente, algo que no se toma en cuenta: Software Actualizado y de preferencia Original.

Tanto los antivirus, y demas herramientas, lo mejor es que sean originales y esten siempre actualizados. Pero no solo esos, sino que tambien es aqui donde toma considerable importancias que el sistema operativo (no solo Windows) este siempre actualizado y con todos sus parches de seguridad.



1.- Lo de las IP´s se me paso, gracias por aclararlo
2.- Es cierto que otros programas generan conexiones, pero si las detectamos como ajenas, el usuario seguirá el tutorial y desconectará Internet
3.- El editor del registro si, pero la CMD no. O por lo menos si sabes utilizarla. Cualquiera que sepa emplear Batch, puede utilizar la CMD a su antojo. Todos los códigos que he puesto aquí estan hechos por mí y están probados
4.- Es cierto que los antivirus (mejor dicho: ciertos antivirus) detectan los troyanos, pero este tutorial está hecho por si ya te ha entrado un troyano (el AV dificilmente te lo podrá solucionar si no lo ha detectado)
5.- Como dice el título, este tutorial esta orientado a troyanos. Virus, Keyloggers y demás ya se tratarán en otro tema...
Remarco el punto 4: este tutorial esta hecho por si ya te ha entrado un troyano, no para prevenirlo. Si te descargases uno de esos antivirus, le estarías dando paso al atacante (no voy a decir hacker), para atacarte de nuevo

Darth_Carl
Come y duerme en el foro
Come y duerme en el foro
Haz clic para ver el perfil del usuario
Mensajes: 400
Desde: 29/Ago/2007
· ·
#4 · 27/Abr/2008, 18:43


1.- Aprende que NO debes hacer quoteos (citas) tan largas.

2.- Al desconectarte cortas parte del efecto del malware, cierto. Pero no lo quitas del modo escucha. Las IPs tienen distintos modos de operar, y si un programa busca una conexión pero no la logra puede quedar en modo escucha, por ejemplo. Asi que, nuevamente, la referencia de la IP NO ES SUFICIENTE.

3.- Puede ser mas efectivo mirar al administrador de tareas buscando sintomas.

4.- El CMD dificilmente alguien sabe usarlo hoy dia. Y el problema no es entrar o no al CMD o al editor de registro. El punto es que realmente es NO es lo mejor que puedes hacer para limpiar cualquier codigo malicioso. Es definitivamente mas recomendable usar herramientas adecuadas.

5.- No quiero parecer un "hijo de p..." pero eso de que los comandos estan hechos por ti....  errr...   hubicate, bajate un poquito de tu nube. Ya te lo habia dicho antes, es excelente que seas animoso en esto de la informatica, pero una mala guia puede ser peor que no tener guia. Y una actitud como la que a veces tomas, tampoco ayuda. Tu no hiciste esos comandos, y es de verdad absurdo que incluyas un saludo a ti mismo. Si miras en Google, para netstat, shutdown, ipconfig, netsh, y todos esos comandos, veras que aparecen millones de resultados, casi en todos es precisamente para guiar al usuario para reparar diversos problemas.

6.- Yo hable de antivirus, pero tambien de software especifico para detectar codigos maliciosos. No los volvere a mencionar, estan en mi primera respuesta, y solo son unos cuantos, hay muchos mas. Esos que puse porque son de los mas prestigiados y en consecuencia de los mas utilizados.

7.- ¿Sabes que es exactamente un troyano?

8.- Y bueno, en afan de mejorar un poco esto, mencionare que faltan pasos BASICOS para atender un problema de codigos maliciosos.

Me adelantare a responder la pregunta que deje antes. Un troyano en palabras faciles es "un programa dentro de otro programa". Asi, puede haber keyloggers troyanos, virus troyanos, spywares troyanos, etc.

"Troyano", "Gusano", etc., es la forma en que el programa invade al equipo usuario.

"Keylogger", "Spyware", "Adware", "Hijacker", etc., es la categoria según lo que haga el programa malicioso.

Es decir. Una guia para quitar un "troyano" es como poner una guia para quitarse los estornudos, pero no para curar la gripa que los causan.


En rapidos palabras (no tengo mucho tiempo en este momento), resumire los pasos basicos para limpiar un codigo malicioso.

¿Como podemos sospechar que tenemos un codigo malicioso? (Sypware, Adware, Hijacker, Virus, etc).

Podemos sospechar que tenemos un codigo malicioso si la maquina esta lenta, abre ventanas que nosotros no pedimos, nos lleva a direcciones web que nosotros no solicitamos, empezamos a perder archivos, la navegación en internet es lenta, empiezan a haber bloqueos del equipo, y en general notamos que la maquina "actua" raro.

Una prueba muy simple para ver si tenemos problemas es cerrar todos los programas (TODOS), incluyendo los que quedan junto al reloj, excepto claro si tenemos antivirus y/o firewall. Si con eso vemos que en el indicador de la conexión tiene mucha actividad, podemos sospechar que tenemos problemas. Claro, esto realmente solo es como una curiosidad.


Lo ideal es que sí sospechamos que tenemos problemas, simplemente usemos algunas herramientas sencillas:
  • Antes que cualquier cosa, un buen antivirus. Los hay muy efectivos y gratuitos: Avira, AVG, etc. Siempre original. Siempre actualizado a full. Ojo. Los antivirus se hacen viejos. El Norton 2002 pirata que tienes instalado seguramente ya no sirve xD
  • El prestigiado y siempre confiable Ad-Aware SE de Lavasoft es muy potente buscando codigos maliciosos.
  • El buen HijackThis (secuestrame esta ) es excelente, si sabemos qué buscar en él.
  • Y el clasico Spybot Seach And Destroy Este es de los primeros y mas faciles de usar.

La utilización de esas herramientas en conjunto es sin duda muy seguro, facil, y efectivo. Todas estas herramientas hay que utilizarlas con todos los programas cerrados.

Y hay que insistir en algo: Software Actualizado y de preferencia Original.

Tanto los antivirus, y demas herramientas, lo mejor es que sean originales y esten siempre actualizados. Pero no solo esos, sino que tambien es aqui donde toma considerable importancias que el sistema operativo (no solo Windows) este siempre actualizado y con todos sus parches de seguridad.

Y dependiendo de lo que detecten las herramientas será lo que tengamos que hacer. Algunas amenazas se arreglan asi de simple. Otras, muchas, necesitan pasos mas complicados. Lo siento, pero por ahora no tengo tiempo de profundizar mas.



Caos.X
@man / @woman
@man / @woman
Haz clic para ver el perfil del usuario
Mensajes: 3.230
Desde: 06/Sep/2003
· ·
#5 · 27/Abr/2008, 19:21
Como no podira ser menos...Caos.X,sentando catedra.

 Otra que me agrego, ...reconociendo los creditos de autor, claro


No agries el día...sonrie!!!
Y si no puedes sonreir.... vuelve en otro rato.
Gracias!!!

PaseanteDelForo
Moderador
Moderador
Haz clic para ver el perfil del usuario
Mensajes: 4.772
Desde: 10/May/2006
·
#6 · 27/Abr/2008, 19:42
Cita
5.- No quiero parecer un "hijo de p..." pero eso de que los comandos estan hechos por ti....  errr...   hubicate, bajate un poquito de tu nube. Ya te lo habia dicho antes, es excelente que seas animoso en esto de la informatica, pero una mala guia puede ser peor que no tener guia. Y una actitud como la que a veces tomas, tampoco ayuda. Tu no hiciste esos comandos, y es de verdad absurdo que incluyas un saludo a ti mismo. Si miras en Google, para netstat, shutdown, ipconfig, netsh, y todos esos comandos, veras que aparecen millones de resultados, casi en todos es precisamente para guiar al usuario para reparar diversos problemas.

xD, no me refería a que yo hubiese hecho los comandos, sino los códigos



Darth_Carl
Come y duerme en el foro
Come y duerme en el foro
Haz clic para ver el perfil del usuario
Mensajes: 400
Desde: 29/Ago/2007
· ·
ATENCIÓN: Este tema no tiene actividad desde hace más de 6 MESES,
te recomendamos abrir un nuevo tema en lugar de responder al actual
Foro de soporte · General · Informatica General
Opciones:
Versión imprimible del tema
Subscríbete a este tema
Date de baja de este tema
Ir al subforo:  
TU NO PUEDES Escribir nuevos temas en este foro
TU NO PUEDES Responder a los temas en este foro
TU NO PUEDES Editar tus propios mensajes en este foro
TU NO PUEDES Borrar tus propios mensajes en este foro
Ahora son las 13:58 UTC+02:00 DST
Temas similares
No se han encontrado temas similares