|
| |
Back Orifice
----
by NoMoke
El Back Orifice (Orificio Trasero) surgió durante el año 98 creado por un
grupo de hackers llamado cDc (Cult of the Dead Cow = Culto de la vaca muerta).
Este troyano fue originalmente un programa para control y administración de
redes que este grupo se encargó de modificar y convertirlo en troyano. Se lo
puede definir como un troyano porque cuando el programa cliente que permite
tomar el control sobre la computadora infectada se instala, lo hace sin dar ningún
tipo de señal o aviso de su instalación.
Actualmente ya salió una segunda versión conocida como BO2K (BO 2000) que
funciona ahora también bajo Windows NT y Windows 2000 y que si bien pretenden
presentarla como el más eficiente y gratuito programa para manejo remoto de
computadoras, está claro que mantiene su característica de instalación/infección
silenciosa y teniendo en cuenta algunas noticias recientes respecto de una
puerta trasera (back door) que contiene la versión anterior y que envía
información a sus creadores, nos queda claro también que está lejos de ser un
programa confiable para tan delicada tarea.
Principales características
BackOrifice es un programa de control remoto de computadoras y redes
especialmente pensado y realizado para brindar acceso a través de internet o
una red LAN -basadas en el protocolo TCP/IP- a terceras personas.
Su primer versión funciona ínicamente bajo Windows 95 y Windows 98.
La nueva versión BO2K funciona también sobre Windows NT.
El troyano se transmite principalmente como un ejecutable con cualquier nombre y
con una extensión aproximada de 122 Kb. en su primer versión y 112 Kb. en la
versión BO2K que uno generalmente recibe a través de Internet, pero no
necesariamente por esta vía. El troyano puedo ser adosado a ejecutables de todo
tipo razón por la cual los tamaños indicados se dan únicamente en los casos
en que el troyano es enviado en su forma original y sin aditamentos (plug-in's).
El acceso a la computadora puede realizarse únicamente si la computadora se
conecta a una red. Esta red puede ser del tipo Internet o una red LAN (Red de
Area Local) sin conexión a Internet.
El programa funciona como host, o sea, queda en espera de una conexión con el
programa y el password correcto.
Para sacar provecho de este programa, el indeseable (pseudo-hacker) debe poder
conocer el número de IP de la máquina infectada. El obtener el número de IP
es algo en general bastante sencillo, pero se facilita aún más al conectarse a
sistemas de IRC (chat), o al utilizar programas como el ICQ de Mirabilis.
Funciones de la primer versión
Las principales funcionalidades del troyano y que pueden ser explotadas por
quien tome el control remoto de nuestra computadora infectada son:
Tomar y enviar el nombre de la computadora, el nombre del usuario y la información
del sistema: tipo de procesador, cantidad de memoria, versión de Windows,
drivers instalados y el espacio libre en la computadora.
Reiniciar (rebootear) la computadora infectada.
Compartir unidades (drives) seleccionadas.
Listar los contenidos del disco y realizar búsquedas de archívos específicos.
Enviar/recibir archivos (leer y escribirlos), como así tambien borrar, copiar,
renombrar y ejecutarlos (inclusive actualizarlos).
Crear/borrar directorios.
Comprimir/descromprimir archivos.
Desconectar (logoff) al usuario actual de la red local o de Internet.
Bloquear (colgar) la computadora.
Obtener la lista de absolutamente todos los procesos (programas) en actividad. Aún
de aquellos procesos no visibles para el usuario local.
Obtener la lista de recursos de la red local LAN (si existiera) y conectarse a
esos recursos (navegar por dentro de la red local).
Detener precesos (programas) determinados.
Capturar y recibir los passwords que fueron utilizados en ventanas de ingreso de
passwords del navegador, incluso desencriptar y recibir el passwords del
protector de pantallas (screen saver).
Desplegar ventanas con mensajes en nuestro Windows.
Acceder al Registro del Sistema (Registry System) y manipular con total libertad
su información (leer, cambiar, borrar o agregar).
Abrir y redireccionar otros canales TCP/IP para usar nuestra conexión como
puente (bridge) y así navegar utilizando nuestro número de IP.
Acceder y navegar por nuestro disco rígido y entorno de red utilizando un
navegador de Internet.
Ejecutar un archivo de sonido.
Capturar nuestro teclado, guardar en archivos LOG de nuestro rígido lo que
tipeamos y leer toda esta información.
Ubicar la existencia de medios de captura de video (webcams, sistemas de
videoconferencia, etc.), capturar y transferir imágenes o generar y bajar
archivos AVI de video en movimiento.
Hacer capturas (video-dump) de lo que el usuario este visualizando en el monitor
y bajar estas pantallas a su computadora.
Mediante Plug-In's (aditamentos) agregar o realizar mejoras a las funciones a
anteriormente nombradas.
La única característica que hace que este utilitario sea considerado como un
programa troyano malicioso es su instalación y ejecución silenciosa (sin el
consentimiento ni el conocimiento del afectado). Cuando este programa se
ejecuta, se instala a sí mismo en el sistema y entonces lo monitorea sin ningun
tipo de aviso ni mensaje. Si ya tenés al programa (BO) instalado en la
computadora, no lo podrás encontrar en la lista de aplicaciones en ejecución.
El troyano no manifiesta su actividad en ninguna forma.
El troyano es distribuido en un paquete de varios programas y documentaciones.
Todos los programas del troyano fueron escritos en C++ y compilados con el
Microsoft Visual C++ Compiler. Todas las fechas de compilación del troyano
fueron realizadas a finales de Julio - primera semana de Agosto, de 1998. Todos
los programas tienen el formato de Ejecutables Transportables (Portable
Excutable) y pueden ser solo ejecutados bajo Win32.
Cuando el troyano se instala en el sistema crea el archivo WINDLL.DLL. En caso
de necesidad el troyano carga este DLL dentro de la memoria y lo inicializa, el
DLL entonces captura las entradas del teclado y almacena la informacion
capturada en los archivos BOFILEMAPPINGKEY y BOFILEMAPPINGCON que quedan
disponibles para la rutina principal del troyano.
Cuando el troyano se ejecuta en la computadora, primero que todo detecta su
propio estado: si es la copia original o una copia "pegada"
(attacheada) a un programa infectado que hizo de anfitrión. El troyano ubica
las opciones preconfiguradas en el programa infectado y las lee.
El troyano entonces crea el archivo WINDLL.DLL en el directorio System de
Windows (este archivo es guardado como un recurso por el troyano), entonces toma
las direcciones de varias API (aplicaciones) que utilizan el KERNEL32.DLL para
futuros usos, busca troyanos ya ejecutados y de existir los actualiza, se copia
a sí mismo al directorio System de Windows y registra esta copia en el Registro
del Sistema (System Registry) como un servicio (programa) auto-ejecutable:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices
Muchas otras veces el troyano una vez instalado se lo encuentra en el directorio
System de Windows bajo el nombre ".exe" (sin las comillas).
Crea un canal TCP/IP, le asigna (por defecto) un número de port 31337 y lo abre
para quedar "a la escucha" (aunque este puerto puede ser cambiado al
configurar el programa cliente). El troyano ejecuta entonces un bucle estandar
de Windows DispatchMessage (envío de mensaje) y de esta forma se mantiene en la
memoria de Windows como un proceso con atributo de invisible (este hace que no
aparezca en la lista de programas en Ejecución -ALT+TAB- y que no sea visible
en el Administrador de Tareas -Task Manager-).
La rutina principal del troyano entonces queda "a la escucha" de
comandos enviados desde el programa remoto que funciona como Cliente. Los
comandos llegan en forma encriptada y comienzan con la cadena de identificación
"*!*QWTY?" (sin las comillas).
El programa servidor (host) responderá con un "PONG" en el momento en
que -estando conectados- un programa cliente realice un PING sobre el port en el
que esté configurado siempre y cuando el programa Servidor (host) no esté
configurado con un password, o el PING sea realizado con el password adecuado.
Seguramente, los mismos creadores deben tener métodos para detectar máquinas
infectadas aún no sabiendo el password, además de tener sin duda herramientas
para cambiar el password con el que programa servidor esté configurado así
como existen herramientas similares para Netbus.
El programa cliente trae incorporado un sistema de Ping Sweep que permite hacer
búsquedas secuenciales de números de IP a partir de una lista de números de
IP de proveedores de acceso o servidores de extranets que puede ser provista al
programa a través de un archivo TXT plano. Durante el funcionamiento de esta
rutina de Ping Sweep el programa hackea a su vez a quien está utilizando este
programa Cliente y envía información (no se aún de que tipo) a la gente del
sitio www.netninja.com obviamente ligada con los creadores o probablemente sean
los creadores mismos. En base a la cantidad de puertos simultaneos que abre, lo
probable es que envíe información de los números de IP de sistemas infectados
que encuentre durante la búsqueda. De esta forma los creadores podrían estar
recibiendo cientos de miles de números de IP de computadoras infectadas
alrededor del mundo desde el primer momento en que fué lanzado el troyano
gracias a la "colaboración" de quienes utilizan el programa cliente.
Funciones de la versión 2000
La versión BO2K lanzada a mediados del año 1999 fué programada por DilDog del
grupo cDc (Cult of the Dead Cow) basandose en el código de la versión original
producida por el programador de alias Sir Dystic's de ese mismo grupo.
Según su propio creador el objetivo de esta nueva versión es la de
"mejorar las capacidades de administración remota del sistema operativo
Windows y destacar que Windows no fué diseñado pensando en la seguridad"
(ciertamente, algo por demás demostrado).
Las funcionalidades de esta versión prácticamente no han cambiado respecto de
la versión anterior en cuanto a los comandos que permite ejecutar remotamente.
Se han mejorado algunos, se arreglaron otros, y se incluyeron unos pocos. Las
principales mejoras se encuentran en el área de la transferencia de archivos y
el manejo del Registro de Windows.
Teniendo en cuenta que BO2K es una versión completamente reescrita esta nueva
versión incluye la posibilidad de comunicaciónes UPD o TCP/IP y una flexible y
escalable posibilidad de ampliación de sus funcionalidades a través de
plug-in's que permiten extender cada pequeña parte del programa. También
incluye plug-in's que permiten comunicaciones con encriptación segura (sólo en
la versión de distribución para Estados Unidos -US-). Además esta versión
permite trabajar con sesiones múltiples lo que significa que pueden ser
manejadas varias computadoras al mismo tiempo o varios Servidores (hosts)
funcionando en una misma computadora en distintos puertos (ports).
Entre las características agregadas se encuentran:
Solicitar la información de la versión de BO 2000 que está funcionando en la
computador remota.
Utilizar los servicios de Servidores de Nombres (DNS) de la computadora remota
para resolver nombres de servidores y direcciones.
Mediante plug-in: encriptación de la información transmitida entre el programa
Servidor y el programa Cliente.
Mediante plug-in: manejo remoto del mouse y el teclado así como del escritorio
de Windows.
Mediante plug-in: encriptación de paquetes utilizando XOR o 3DES.
Mediante plug-in: administración mediante interface gráfico del Registro de
Windows en la computadora remota.
Solicitud de password para la conexión al programa Servidor.
Elegir entre la posibilidad de que se ejecute o no al iniciarse el Windows.
Borrar o no el ejecutable original luego de instalarse en la computadora remota.
Mantenerse escondido en la lista de procesos (programas) en funcionamiento
si/no.
Cambiar el nombre con que aparece en la lista de tareas (por defecto:
"Explorer")
Elegir el nombre con el que aparecerá en la lista de servicios de Windows NT.
Por defecto "Remote Administration Service".
Entre las funciones que han sido mejoradas se encuentran:
Completa manipulación del Registro de Windows.
Ejecutar sonidos en la computadora remota una vez o en loop indefinido.
Cargar o descargar aditamentos (plug-in's) en forma dinámica tanto programados
para la versión nueva como para la anterior.
El paquete de distribución incluye un programa de configuración del servidor
que funcionará en la computadora remota. Este programa de configuración no
tiene pre-definido ningún puerto en particular por lo que no existe ya la
posibilidad de reducir las posibilidades de conexión bloqueando el puerto que
anteriormente se conocía como el puerto por defecto (31337) que era lo que hace
el NOBO y otros tantos programas de bloqueo para la versión anterior. En
cambio, para comunicaciones UDP el puerto por defecto es 54321.
BAJO WINDOWS 95/97/98/2000
Por defecto, el programa servidor se instala en el directorio \windows\system
bajo el nombre UMGR32~1.EXE (el nombre con que se lo ve bajo DOS).
El siguiente Registro de Windows es modificado:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices]
"UMGR32.EXE"= "C:\\WINDOWS\\SYSTEM\\UMGR32.EXE e"
Nota: el programa servidor en la versión actual no tiene una extensión
".EXE" sino que su extensión es ".EXE" seguido por 230
espacios y finalmente la letra "e". Todo esto compone la extensión.
Por esta razón cuando se realiza una búsqueda con un antivirus hay que hacer
un chequeo de TODOS los archivos ya que de lo contrario, por esta extensión inválida
el antivirus pasará por sobre este archivo.
BAJO Windows NT
Por defecto, al igual que en Win95, el nombre del programa servidor es
UMGR32~1.EXE (como se lo ve bajo DOS), pero es grabado en el directorio
c:\winnt\system32
El Registro es modificado en las siguientes ubicaciónes:
[HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\ Remote Administration
Service]
Y allí grabados los siguientes parámetros:
"Type"=00000110
"Start"=00000002
"ErrorControl"=00000000
"ImagePath"= "C:\WINNT\ System32\UMGR32.EXE e"
"DisplayName"="Remote Administration Service"
"ObjectName"="LocalSystem"
[HKEY_LOCAL_MACHINE\ SYSTEM\ControlSet001\ Services\Remote Administration
Service\Security]
"Security"= (una larga cadena de valores hexadecimales)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ Remote Administration
Service\Enum]
"0"="Root\LEGACY_REMOTE ADMINISTRATION SERVICE\0000"
"Count"=00000001
"NextInstance"=00000001
La siguiente vez que el Windows es reiniciado, el BO2K se carga y modifica las
siguientes ubicaciones del Registro:
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ Remote Administration
Service]
"Type"=00000110
"Start"=00000002
"ErrorControl"=00000000
"ImagePath"="C:\WINNT\System32\UMGR32.EXE e"
"DisplayName"="Remote Administration Service"
"ObjectName"="LocalSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ Remote Administration
Service]
"Security"= (una larga cadena de valores hexadecimales)
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ Remote Administration
Service]
"0"="Root\LEGACY_REMOTE ADMINISTRATION SERVICE\0000"
"Count"=00000001
"NextInstance"=00000001
ESCONDIÉNDOSE
Bajo Windows NT el servidor (UMGR32.EXE) intenta esconder su proceso expandiendo
la memoria asignada a una cadena (thread) de caracteres existente, entonces se
copia a sí mismo dentro de esta porción de memoria creando luego una cadena
(thread) remota que trabaja en el espacio de proceso de la primer cadena
(thread). El programa original entonces termina y su proceso desaparece de
memoria.
Bajo Windows 95/97/98/2000 el programa servidor usa una técnica diferente para
esconderse de los entrometidos. Modifica el Kernel del sistema operativo de
forma tal que cualquier llamada a funciones del sistema operativo que listan los
procesos en ejecucción es pasada al programa servidor en vez de al sistema
operativo. Esta nueva función en el programa servidor 'salta' por sobre su
propio proceso y por lo tanto 'esconde' el proceso del servidor. La versión 1.0
del servidor de BO 2000 parece tener un Bug que le impide a este mecanismo
funcionar bajo Windows 98 Segunda Edición v4.10.2222 A. Cuando se ejecuta bajo
este sistema operativo el programa servidor causa un error de 'operación
ilegal' y no queda residente. Aunque aún así copia el archivo a
windows\system\umgr32.exe y produce los cambios en el Registro que le permiten
ejecutarse al iniciarse Windows (si el servidor fue configurado de esta manera),
esto resulta en un error que se produce cada vez que el Windows se inicia.
Síntomas de la infección
Back Orifice tiene características particulares de este tipo de troyano y para
detectar síntomas estudiemos algunas de sus características más visibles
desde el punto de vista de la "victima":
Compartir unidades (drives) seleccionadas.
Si se tuviera una Red, el indeseable puede tener acceso a los recursos
compartidos. Si aparecieran síntomas de acciones de terceros (desaparición o
aparición de archivos y directorios) podría significar una infección.
Listar los contenidos del disco y realizar búsquedas de archívos específicos.
Los listados de directorios y especialmente las búsquedas generan actividad en
nuestro rígido. Muchas veces, ante una situación particular que no debería
requerir mayor utilización de nuestro disco nos encontramos con que el mismo
entra en actividad por períodos intermitentemente. Si bien puede haber
programas en background (tareas no visibles) funcionando, podemos
fundamentalmente verificar esto cerrando todos los programas en actividad.
Enviar/recibir archivos (leer y escribirlos), como así tambien borrar, copiar,
renombrar y ejecutarlos (inclusive actualizarlos).
Al igual que en el caso anterior, la transferencia de archivos genera una
actividad del rígido constante con intermitencias en períodos regulares, si
cerramos todos los programas y esto continúa y al mismo tiempo verificamos que
existe transferencia real de datos a traves de las luces de nuestro modem
externo o el ícono de conexión de nuestro Windows (para modems internos), es
entonces una clara señal de alerta.
Crear/borrar directorios.
Muchas veces, los indeseables como señal de su paso y en muchos casos como
pruebas (ya que aprenden y practican con las máquinas ajenas fundamentalmente)
generan o borran directorios. Así que si encontramos directorios que no podemos
justificar estar alertas. Como alternativa, tengamos en cuenta que hay programas
que durante su instalación generan directorios (especialmente dentro del
directorio Temp), como así también la creación de directorios por error, en
el caso de usuarios poco experimentados, o el uso de una misma computadora por
parte de varias personas.
Comprimir/descromprimir archivos.
Idem punto 2.
Desconectar (logoff) al usuario actual.
Clara señal de infección de Back Orifice (aunque también de Netbus) es el
repetido corte de nuestra conexión con nuestro proveedor. Si bien esto hace que
el indeseable se quede sin posibilidad de seguir conectado a nuestra
computadora, muchas veces esta conducta es tomada como represalia por parte de
algún usuario de un canal de chat o algún conocido por Internet que de pronto
se ha vuelto nuestro enemigo. Eso si, tengamos en cuenta alternativas como por
ejemplo el tener habilitado el servicio de Aviso de Llamada en Espera (en el
servicio telefónico) que produce cortes de conexión cada vez que introduce el
BEEP de aviso en la comunicación, y también tengamos en cuenta como
posibilidad el tener inconvenientes en la instalación física del cableado y
fichas de conexión que puede estar produciendo descargas y por ende ruido en la
línea. Esto último debería ser audible en una comunicación telefónica
normal (persona a persona).
Bloquear (colgar) la computadora.
Este síntoma, tal como lo mencionamos en la sección de Síntomas Generales
deber ser muy atendible, aunque como en todos los casos, también puede dar
lugar a confusión. Conociendo a Windows y en particular a toda la gran (y poco
feliz) familia de productos Microsoft, no es novedad que el Windows y sus
programas tienden a colgarse bastante. Lo que quizás es atendible el hecho de
que se cuelgue la computadora sin que -a nuestro criterio- hayamos hecho nada
que pudiera producir un bloqueo tan repentino y que no permite otra opción más
que reiniciar la computadora.
Enumerar y enviar la lista de procesos en actividad.
Si aparece alguien haciendoles algún chiste o comentario sobre los programas
que en ese momento están ejecutando, entonces no crean que es un chiste así
nomás... casi seguro esa persona está conectada mediante Back Orifice con tu
computadora.
Detener precesos determinados.
Este es otro gran síntoma... que sin razón alguna un programa se cierre. Esto
no es más que un síntoma de que alguien está jugando con nuestra computadora
y sin duda que estaremos infectados.
Capturar y enviar passwords que fueron utilizados, incluso desencripta y envia
el password del screen saver (protector de pantalla).
Estando infectados, esta opción permite capturar el nombre de usuario y
password que estemos utilizando para conectarnos con nuestro proveedor de acceso
a Internet. Es probable que si de pronto nos vemos en repetidas ocasiones
imposibilitados de conectarnos porque nuestro proveedor no permite accesos
duplicados, es probable que sea porque el indeseable esta robando nuestro
acceso. Y como también el password de acceso suele ser tambien el mismo que el
del E-mail también pueden pasar cosas raras con nuestro correo. Un cambio de
clave ayuda, pero no mucho si aún estamos infectados ya que la próxima que nos
ubique va a nuevamente robarse nuestra clave.
Desplegar ventanas con mensajes en nuestro Windows.
Obvio, si se les abren raras ventanas con raros textos, no lo duden, estan
infectados, aunque también puede ser Netbus.
Ejecutar un archivo de sonido.
Sin duda que si sin razón alguna empiezan a ejecutarse sonidos, mala señal.
Capturar, guardar y enviar entradas realizadas por el teclado mientras el
usuario ingresa a la red.
Un rastro habitual del uso de este comando es encontrar en el directorio raíz
archivos sin extensión o .txt que si los abrimos con el Notepad (libreta de
anotaciones) nos encontraremos con que podremos ahí encontrar cosas que
escribimos durante una conexión a Internet (quizas un chat, mensajes que
escribimos por ICQ, o cualquier otra cosa). Todo queda capturado en ese archivo.
Como el BO queda en memoria y activo aún después de haber cortado la
comunicación, si el indeseable activa esta opción durante la conexión, la
captura continuará aún después de cortar la comunicación y hasta el momento
en que apaguemos o reiniciemos la computadora.
Ubicar la existencia de medios de captura de video (webcams, sistemas de
videoconferencia, etc.), capturar y transferir imágenes o generar y bajar
videos AVI desde estos medios.
Si uno posee algun tipo de cámara para videoconferencias y uno encuentra
archivos .avi o imágenes capturadas que no reconocés haberlas creado
personalmente, entonces sospechar inmediatamente.
Hacer capturas (screen-dump) de lo que el usuario este visualizando en el
monitor y bajarla a su computadora.
En este caso, como en el de la captura de teclado, el rastro más común es el
de encontrar archivos .gif bastante grandes que cuando uno los ve encuentra como
imágen lo que sería una captura de la pantalla de la computadora en un momento
dado.
Forma de detectar y remover
Existen formas simples y más complejas para la detección e igualmente para la
remoción. Podríamos también dividirlas en manuales y através de programas.
Qué diferencia unas de otras? fundamentalmente que las formas manuales de
detección tienen un grado de certeza mayor mientras que las realizadas a través
de programas (ejemplo, antivirus) pueden fallar a partir del momento en que se
le hace algún tipo, aunque sea mínimo, de cambios al troyano y ya el antivirus
puede no llegar a detectarlo o por el simple hecho de que el antivirus no tenga
una base de virus completa y actualizada. Por lo tanto, la utilización de un
programa antivirus o detector especializado puede ser una excelente primer
medida, pero si se quiere estar un tanto más tranquilo/a no estaría mal
recurrir también a un método manual y de no contar con el conocimiento técnico
pedirle a alguien conocido que lo haga por nosotros.
Por otra parte, el hacer que un antivirus, aún super actualizado, chequee un
ejecutable en función de saber si puede o no estar infectado no es siempre 100%
confiable. Existen por ejemplo programas que se utilizan para pegar el Back
Orifice a un ejecutable cualquiera, y cuando se utilizan ese tipo de programas,
el troyano en sí mismo es modificado de tal forma que el antivirus no lo
detecta en el ejecutable ni tampoco detecta la infección sino hasta luego de un
rato en el mejor de los casos. Moraleja? la de siempre, los antivirus no son
infalibles y ejecutar cosas por curiosidad a veces puede producir un gran dolor
de cabeza.
Cómo se detecta?
Existe una huella inalterable que todos los troyanos en general dejan y es en el
Registro de Windows. Allí se guarda la información de todos los programas
instalados y es allí donde los troyanos también están obligados a incorporar
algunas líneas para poder enmascarar su funcionamiento y así lograr no estar
visibles en la lista de tareas que se están ejecutando. Aunque no es una tarea
extremadamente compleja, sin duda que chequear el Registro con el programa
Regedit es algo que de ser posible es mejor sea realizada por una persona con
cierto nivel técnico, pero repito, no necesariamente.
La ejecución del REGEDIT.EXE realizando los siguientes pasos:
Presionar en Inicio/Start
Clickear en Ejecutar/Run
En la ventana emergente tipear el nombre del programa: regedit.exe (no importa
si es mayúsculas o minúsculas) y presionar Intro/Enter.
El programa se ejecutará y una vez allí
Una vez que tenemos el Regedit.exe funcionando lo que veremos es algo similar a
lo que vemos cuando navegamos nuestro disco rígido con el Explorador de
Windows. Allí, agrupados en forma de arbol con ramas y subramas, vamos a
encontrar los distintos valores de los distintos registros para los programas
que tengamos en la computadora.
En la medida en que sólo naveguemos por dentro del Registro no hay
posibilidades de dañar nada, pero recomendable es no hacer más que eso a menos
que se tengan conocimientos técnicos suficientes.
Y ahí dentro que hago? bueno, vas a las secciónes de este web que contienen
Precisiones Técnicas sobre las diversas versiones de troyanos y ahí vas a
encontrar la posición dentro del Registro que cada troyano cambia o genera.
Y entonces? en las Precisiones Técnicas vas a encontrar que los troyanos como
Back Orifice, Netbus y otros generan ciertas variables con ciertos valores, si
en esa posición del árbol encontrás esas variables y valores entonces eso es
señal garantida de infección.
Y si encuentro esos valores y estoy infectado/a? entonces vas a encontrar que en
alguno de esos valores se especifica el directorio y el nombre del troyano. Los
pasos siguientes ya son más complejos y riesgosos por lo que te recomiendo que
sólo los sigas si tenés un nivel de conocimientos técnicos aceptables de lo
contrario mejor pedir ayuda a algún amigo que los tenga.
Cómo se remueve?
Remover un troyano requiere básicamente de tres etapas:
Remover las variables del Registro de Windows relacionadas.
Reiniciar la máquina
Remover el ejecutable del troyano y de ser posible también sus librerías .dll
Vamos a ver entonces cada uno de estos pasos.
Remover las variables del Registro de Windows relacionadas.
Con la información relacionada al Registro de Windows que encontramos en las
precisiones técnicas del troyano en cuestión, ejecutamos el REGEDIT.EXE
siguiendo los pasos que aparecen más arriba, y se navega por el árbol del
Registro hasta llegar al indicado en las precisiones. Una vez allí, si estamos
infectados vamos a encontrar las variables y los valores tal cual figuarn en las
precisiones. Si encontramos otras variables distintas NO BORRARLAS, y si
encontramos las variables que grabó el troyano y también otras más, tampoco
remover esas otras variables distintas a las generadas por el troyano.
Haciendo un click sobre alguna de las variables vamos a ver que queda
seleccionada, y si luego presionamos el botón derecho del mouse vamos a ver que
aparece la opción Remover/Delete. Utilizando esa opción lograremos borrar esas
variables.
La importancia de esta acción consiste en que, una vez removidas estas
variables, el troyano ya no se cargará más en memoria a partir de la próxima
vez que reiniciemos Windows, razón por la cual ya podremos pasar a removerlo
porque que de lo contrario, aún cuando detectaramos al troyano, si estuviera en
memoria no podríamos removerlo manualmente porque el Windows no lo permitiría.
Ah! un dato importante!! antes de borrar las variables, anotar el directorio de
funcionamiento y el nombre del troyano. Estos datos figuran en una de las
variables que seguramente va a decir algo como c:\windows\...
Reiniciar la máquina
Reiniciar la computadora no es nada nuevo, es más, si utilizan Windows casi que
podrían recibir un diploma de especialistas en la materia. Así que pasemos al
siguiente punto.
Remover el ejecutable del troyano y de ser posible también sus librerías .dll
Con el dato de a donde se encuentra y con qué nombre iremos tras su búsqueda y
una vez que lo encontremos lo borramos, sin ningún tipo de piedad. Veamos también
que en las precisiones técnicas también se suelen nombrar algunas librerías
.dll que sería bueno también ubicar y borrar... puede suceder que los nombres
de estas librerías difieran de las nombradas en las precisiones, y si es así
no va a ser tan fácil ubicarlas, pero llegado este caso no hay peligro alguno
en que esas librerías queden, ya que de por sí no significan peligro alguno.
Noticias Relevantes
Se descubrió que el programa cliente de Back Orifice (en su primer versión)
tiene dentro rutinas que envían información de la computadora en la que se está
utilizando el programa a los hackers del sitio http://www.netninja.com/.Esto no
es ciencia ficción y lo comprobé personalmente mediante el método descripto
para verificar tal "anomalía".Esta información es enviada hacia
alguno de los números de IP de estos hackers momentos después de que se
comienza a utilizar la función de ping sweep, específicamente pensada para la
búsqueda secuencial de números de IP a la pesca de computadoras infectadas con
este troyano.Quienes quieran comprobarlo y verlo con sus propios ojos no tienen
más que echar a correr esa funcionalidad y al mismo tiempo abrir una ventana de
DOS y en ella ejecutar el comando:netstat -a -n 1>ns.txtSi prefieren verlo en
tiempo real eliminen la parte final de '>ns.txt' que hace que la salida de
información se guarde en ese archivo.Si observan verán que un poco después de
comenzado el ping sweep el programa comenzará a conectarse utilizando
diferentes ports locales a un port 80 remoto de una dirección IP igual o
similar a esta: 209.25.3.113. De quién es? si, claro de www.netninja.com que
evidentemente tienen algún tipo de relación, o son los mismos creadores del
Back Orifice.Sospechosamente, la version 2000 de Back Orifice fue, desde un
principio, promocionada por sus propios creadores -la gente de cDc, Cult of the
Dead Cow- como un eficiente y gratuito software de control de redes y
administración remota de computadoras... justamente, la funcionalidad que
originalmente tenía este programa que luego adaptaron para que se convirtiera
en un troyano. Sinceramente, lejos estaría de pensar utilizar semejante
programa para semejantes tareas, sobre todo en vistas de que a partir de este
momento podemos aseverar que el cazador indeseable estuvo siendo cazado desde un
primer momento.Señores indeseables: disculpen por la mala noticia.Al margen,
esta gente de cDc parece estar esmerándose mucho para poder ser noticia de tapa
en el 2000 como ya lo fueron en el '99.
By NoMoke -----.:X€
|