Troyanos: ¿que son? breve introducción

Fandi en un comentario sobre el virus del messenger IMG0024.zip preguntó si en el caso de que fuera un troyano, como funcionaria.

Funcionaria igual que todos los troyanos del mundo.

Un troyano es un programa que se instala en tu pc (o instalas porque te engañan, o te lo pasan y confiabas en esa persona, o eres ávido de conocimientos y te gusta probar cosas, o …) normalmente sin consentimiento y hace de servidor. Un servidor, como su propio nombre indica sirve (da, provee, reparte) los recursos que tenga que servir. Un servidor web, sirve webs, un servidor de correo, sirve correos y los manda… Pues un troyano sirve tu pc.

¿Como nacieron? quiero pensar que para asistencia remota, se te estropea el pc, me conecto desde mi casa y te lo arreglo (el MSN Messenger tiene esa opción). Pero como somos malos por naturaleza… A lo mejor nació simplemente con el propósito de fastidiar, y alguien lo uso para asistencia remota… no lo sé.

No todo el mundo puede acceder a tu pc si estas infectado por un troyano, sólo pueden acceder a tu pc los que sepan que estas infectado, y tengan el cliente de ese troyano. Un cliente es un programa que se beneficia de los recursos de un servidor. El internet explorer, firefox, opera,… son clientes webs, porque sirven para ver paginas web servidas por un servidor web, sirven para mas cosas, pero su funcionalidad básica y por simplificar, sirven para eso. un cliente bittorrent sirve para bajar archivos bittorrent… y asi con todo lo que tenga que ver con comunicación. (podria extenderme con los clientes y servidores pero no es el caso).

Cuando un cliente se conecta a un servidor, este cliente podrá hacer todo lo que le deje el servidor.

Ejemplo fácil:

cliente: navegador de internet

servidor: Google.com

El servidor jámas te hará la facturación separada por trienios de todas las empresas en las que has trabajado porque simplemente no es su función, la función de ese servidor es buscar y mostrártelo.

Recapitulando, tenemos un programa que hace de servidor de tu pc (troyano), y un cliente que accede a ese servidor.

¿Como saben los clientes que estoy infectado? puede ser por dos cosas: la primera de ellas es porque el que te lo ha enviado te conoce y sabe que te lo ha enviado y tiene el cliente calentito para usarlo contigo. Y la segunda es proque alguien se aburriría demasiado y hace un scan (escaneo) de ips y te encuentra (menos probable, pero me se de uno que empieza por x y acaba en hiena que hacia cosas de esas de joven xD).

Cuando un cliente del troyano se conecta al servidor, este puede hacer todo lo que le deje el servidor, como he comentado antes, y en estos casos suele ser todo. Desde copiar todos los archivos de tu pc, a abrirte la bandeja del cd, pasando por cambiarte la música que estés escuchando. Todo eso depende del servidor. Hubo un tiempo que triunfaron mucho, y toda la gente sabía juanquear (parodia de hackear) y cosas de esas. Hay muchos tipos de troyanos:

  • los que permiten hacer tonterias (te abro la bandeja del cd, te muevo el raton, te apago el monitor).
  • los que permiten ver cosas (tu webcam, lo que estas enviando a internet, el historial de navegacion, lo que tecleas (keyloggers), los programas abiertos…).
  • los que permiten acceso total al sistema (mover archivos, descargarse archivos, subir archivos, borrar archivos).

Clasificaciones hay muchas y tipos de programitas de estos también.

Centrándome en el caso concreto, ¿si el IMG0024.zip fuera un troyano que ve por la webcam, coge tus fotos, coge la información privada, la cifra y la envía a un servidor (creo que no me dejo nada de la pregunta) como funcionaria?, ¿como obtengo el server? o simplemente, ¿como funciona exactamente este programa? ¿en vez de server va todo por web?

Pues como he dicho antes, los troyanos suelen llevar implementado todo eso ya. Y por ejemplo, la mayoría de keyloggers (troyanos que capturan todas las teclas que pulsas del ratón) lo que suelen hacer es que el fichero donde lo guardan todo, lo envian por e-mail a una dirección que ha especificado el que ha echo el server.

Volviendo al caso, si el IMG0024.zip fuera un troyano que pudiera hacer todo eso, simplemente tendria que tenerlo implementado:

  • Accedería al registro de hardware instalado para ver si tienes una webcam y si la tienes sacarte fotos.
  • Haría una búsqueda por tus discos duros buscando todas las fotos (*.jpg, *.gif, *.bmp, *.png,…) y las guardaría / listaría / mandaría / …
  • con la informacion privada haria lo pertinente, la sacaria (si esta echo para eso sabe donde está), la encriptaría, la mandaría,…

¿y como lo mandaría?

Pues depende del servidor donde la tenga que enviar, tendrá implementado su forma de envio. Si lo tiene que enviar a un servidor de correo, pues tendrá implementado un mini servidor smtp para enviar el correo o simplemente se conectara a una web y desde la web enviaría un correo. Si lo tiene que enviar a un ftp, no tendría que implementar nada porque todos los sistemas operativos tienen un cliente ftp integrado (por linea de comandos) y solo tendría que lanzar el comando.

Y creo que ya, sólo advertir que los que usan troyanos suelen usar ingeniería social para infectar a sus victimas (les intentan convencer engañándolos)

Nuevo virus para MSN Messenger: IMG0024.zip

¡¡¡Nuevo virus en el mercado!!!

Leo en emezeta que hay nuevo virus en el messenger.

se pasa como un archivito zip “IMG0024.zip” o similares y dentro contiene IMG0024-(alguna web .com) lo que hace es que se aprobecha de que los .com son tambien ejecutables en windows.

y ademas el virus se reenvia con frases que todos diriamos. Un colega esta infectado y me lo envio diciendo:

xxxxxx dice:

jaja recuerda cuando tuviste el pelo asi

xxxx le quiere enviar IMG0024.zip

hay mas frases como

oye voy a poner esa foto de nosotros en mi myspace :D
debes poner esa foto como foto principal en tu myspace o algo
oye voy a agregar esa foto a mi blog ya
voy a poner esa foto de nosotros en mi blog ya
el lol mi hermana quisiera que le enviara este álbum de foto
hola esas son las fotos
hey i’m going to add this picture of us to my weblog
jaja recuerda cuando tuviste el pelo asi
lol remember when you used to have your hair like this

y cosas por el estilo

Ante este virus lo mejor es la prevención:

  • un zip con un archivo .com (los enlaces a paginas web son .url)
  • un zip con un archivo .com que no tiene el icono del explorer …
  • una imagen que no tiene extensión de imagen (jpg, fig, jpeg, tiff, png, bmp…)
  • si te quiere pasar una imagen, ¿para que coño la comprime?

Si de todas formas te la cuela, para quitarlo puedes hacer unas cuantas cosillas:

  • Si tienes antivirus, actualizarlo y pasarlo. (con esto debería bastar)
  • si sabes que lo tienes y no te lo detecta hazlo en modo a prueba de fallos.
  • si aun así no te lo pilla la mayoria de antivirus tienen un sistema de scaneo en profundidad que pasan el scan antes de iniciar windows, try it.
  • Pasarte el Antivirus online que más te guste con el msn cerrado (para más seguridad en modo a prueba de fallos o como se diga en xp ¿modo seguro con funciones de red?)
  • Pasarte el MSNCleaner en modo a prueba de fallos sin internet / modo seguro sin funciones de red

EDIT (13/9/2007)

He encontrado en el forospyware que un usuario lo quitó con el MSNCleaner en modo a prueba de fallos:

– Reporte MSNCleaner 1.3.1
– Reporte Creado: 10/09/2007 a las 10:42:53 p.m.
– Sistema Operativo: Windows XP
– Modo de Inicio: Prueba de fallos
_________________________________________

Archivos detectados: 3
Archivos eliminados: 3
Archivos no eliminados: 0

C:\Archivos de programa\MSN Messenger\msngserv.exe <— Eliminado
C:\WINDOWS\IMG0024.zip <— Eliminado
C:\WINDOWS\system\services.exe <— Eliminado

EDIT (14/9/2007)

Gracias a multani_mh tenemos otra forma de quitarlo:

descargar de la página http://www.zonavirus.com/datos/descargas/78/EliStarA.asp

una vez descargado para hacer arranque seguro inicio>ejecutar
escribir msconfig
pinchar en boot.ini y seleccionar /safeboot
aplicar, cerrar y reiniciar como te pide

te arranca en modo seguro, aceptas pantalla al iniciar y ejecutas el archivo descargado

tardará tiempo, y limpiará todo.

puedes ejecutarlo una segunda vez para mayor tranquilidad

posteriormente volver a hacer inicio>ejecutar
msconfig
otra vez boot.ini y quitar la selección de /safeboot

reiniciar y ya arrancará en modo normal y debe estar limpito.

y mnemosime nos comenta que:

Me contaron que quien este infectado, si tiene en el messenger la contraseña ya puesta en el inicio de sesión que la quite porque estos virus las guardan y después el messenger se te abre solo y empieza a mandar la supuesta foto a todos tus contactos, ojito con esto.

Gracias a ambos :D (se esta haciendo grande el post este xD)