Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 1, Número 11, Agosto de 2002

LOS TROYANOS INVADEN Y ATACAN SISTEMAS OPERATIVOS

Mariana Celorio Suárez

 

Insertados en una computadora personal o servidor, sin el conocimiento y la autorización del dueño o responsable, los Caballos de Troya (Trojan Horses) conocidos como Troyanos, son programas informáticos que permiten que una persona no autorizada, llamada intruso, viole y controle vía remota los equipos.

Los Troyanos o Caballos de Troya son programas disfrazados dentro de otros, “entran” en un equipo cuando los usuarios bajan programas de sitios de Internet y abren sus correos electrónicos.

Deben su nombre al pasaje mitológico en el cual los griegos se apoderaron de la Ciudad de Troya a través del engañoso ingreso del Caballo de Troya. En este sentido, por su forma de operar, emulan la invasión de aquellos soldados.

Existen diversos tipos de Troyanos que afectan de acuerdo con sus características, tanto a los usuarios como a su información, en muchos casos se utilizan como herramienta de acceso remoto para controlar a distancia una computadora personal o un servidor, sea de Web o de correo; sirven también para el robo y la alteración de datos, contraseñas y programas; usan computadoras personales o servidores infectados como puente a otros sistemas y con ello, realizan ataques que involucran al dueño o responsable del equipo o cometen delitos a través de una computadora personal infectada; todo esto afecta directamente la administración, estabilidad, control, seguridad y confidencialidad de la información y de los procesos de las empresas, instituciones, bancos, universidades y organizaciones, sea con fines intimidatorios, de espionaje, robo y alteración de información o simplemente, para demostrar la vulnerabilidad de los sistemas de seguridad informática.

Los Troyanos pueden afectar o dañar a todos los sistemas operativos, cada tipo de éstos contiene las funciones específicas que necesita de acuerdo con el sistema operativo donde opere y tiene diversas maneras de ejecutarse. La razón de esto radica en que su arquitectura no es la misma para todos los sistemas, por ejemplo para el sistema operativo Windows se requiere que el Troyano sea un ejecutable, mientras que para sistemas Linux o Unix, aunque no tiene la característica de “ejecutable”, sí ejecuta su código malicioso.

CLASIFICACIÓN DE LOS TROYANOS

Los Troyanos de acceso remoto establecen una relación cliente-servidor entre la computadora infectada y la atacante, de forma tal, que ésta última tiene control total sobre la infectada para beneficio propio.

Por su parte, los Troyanos de correo electrónico actúan a modo de servidor, su tarea consiste en capturar e informar desde el teclado, es decir, comunican al intruso con el teclado del equipo “víctima”, y lo realizan mediante un cliente de correo propio e incorporado en el Troyano.

Los Troyanos de FTP sólo actúan como servidor y permiten una conexión FTP con la máquina infectada, en ésta pueden copiar o crear archivos.

Los Troyanos de Telnet, al igual que en el caso anterior, actúan como servidor permitiendo ejecutar comandos en una máquina o computadora infectada.

Los Troyanos de forma, acceden a datos privados y confidenciales, como direcciones IP, usuarios y claves, además de que envían la información por medio de una conexión a Internet, y a su vez a un servidor Web.

Los Keyloggers, un tipo particular de troyano, tienen la particularidad de capturar del teclado de la máquina infectada y guardar la información de ésta en un archivo log especial, donde el intruso accede las veces que quiere sin problema, y consulta la información.

Los Fake Trojans, son los más usados por los hackers para ataques de autentificación, con objeto de apoderarse de contraseñas y nombres de usuarios. Crean ventanas con mensaje de error y solicitan introducir el nombre de usuario y la contraseña, para capturar sus datos y utilizarlos en su beneficio.

DETECCIÓN DE TROYANOS

El descubrimiento de un Troyano en el sistema varía, depende de cómo el intruso use estos programas y de las acciones que vaya a realizar. Existen patrones de conducta que reflejan que el sistema de una computadora o servidor ha sido infectado:

  • Creación y eliminación de archivos, sin que el usuario haya realizado estas acciones.
  • Generación de archivos temporales, sin justificación aparente.
  • Bloqueo de la máquina.
  • Reiniciación continua del sistema.
  • Pérdidas continuas de la conexión, vía módem o de la red.
  • Inicio y terminación de programas sin justificación.
  • La bandeja de CD se abre y cierra sin motivo.
  • El teclado no funciona o se encuentra desactivado.
  • Actividad en Internet, sin que el usuario realice ninguna conexión o comunicación.
  • El servidor de correo no reconoce el nombre y contraseña, o indica que está siendo utilizado.
  • Ejecución de sonidos sin justificación.
  • Presencia de archivos de texto sin extensión en “C:\”, en los cuales se pueden encontrar palabras, frases, conversaciones o comandos que no hayan sido capturados por el usuario.
  • Presencia de archivos con caracteres extraños.
  • Mensajes que indiquen la existencia de un Troyano.

Cabe puntualizar que los anteriores son algunos patrones de conducta de los Troyanos, sin embargo, en ocasiones no se detecta su presencia a causa de algún problema con el hardware, Internet, software, etcétera.

PARA ELIMINARLOS...

Los gusanos deben ser borrados físicamente de una computadora personal o de un servidor. En el caso de los Troyanos, se deben eliminar los archivos y las carpetas creadas por éstos, también las entradas del registro y las líneas añadidas a los archivos del sistema; esto puede ser realizado por un antitroyano. En la red, se encuentran algunas herramientas diseñadas específicamente para eliminar este tipo de programas malignos.

De forma manual también se pueden suprimir estos programas, cabe señalar que no todos los Troyanos se borran exactamente igual, sin embargo, regularmente en sistemas Windows se llevan a cabo los siguientes tres pasos:

  • Eliminar de las entradas del registro el Troyano y las líneas de comando en los archivos del sistema, este paso es importante ya que se debe hacer cuando el sistema esté inicializado en Modo a prueba de fallos.
  • Reiniciar el sistema.
  • Eliminar los ejecutables y las bibliotecas de los Troyanos en el sistema.

PRECAUCIONES

Para evitar este tipo de programas y el daño en los equipos, se deben tomar algunas precauciones, como contar con un programa antitroyano actualizado que además de buscar en el disco duro, verifique también los correos electrónicos, archivos de descarga y rechace aquellos archivos con doble extensión.

La característica más importante y común de los Troyanos en sistemas Windows es su doble extensión, por ejemplo: un archivo nombrado como elefante.gif.exe. El archivo aparecerá en el explorador como elefante.gif sin la doble extensión .exe, de ahí que sea imprescindible configurar el sistema para que muestre todas las extensiones de los archivos.

También se sugiere no abrir correos con archivos ejecutables enviados por conocidos y desconocidos, o evitar correos con mensajes donde se solicite a los usuarios descargar cierta herramienta.

PARA SEGURIDAD

http://www.htmlweb.net/seguridad/virus/virus_4.html

http://mouse.tercera.cl/2001/rep/07/27/03.htm

PARA CONOCER LOS TIPOS DE TROYANOS

http://www.geocities.com/Paris/Cafe/9084/troyanos.html

PREGUNTAS FRECUENTES

http://www.alerta-antivirus.es/

VIRUS, GUSANOS Y TROYANOS

http://derecho-internet.org/teoria.php?teoria_id=41

 

Inicio | Contacto |