¿Qué es un Troyano?

    Antes de nada hemos de aclarar el concepto básico de troyano: se conoce por ese nombre a todo programa que lleva oculta una funcionalidad determinada que será usada con fines maliciosos y en contra del usuario que lo instala.
    Se diferencia de los virus en que el troyano forma parte del código fuente del programa instalado y se compila junto con él, mientras que el virus simplemente se añade o suplanta al programa original.
    Se llamó así a estos programas por el conocido Caballo de Troya, que se entregó como un regalo de buena fe y en cuyo interior se escondían los soldados enemigos. ¿Quién no conoce ya la historia?

¿De dónde han salido?

    En sus orígenes, los programadores que creaban conscientemente un troyano lo hacían con alguna finalidad determinada, ya fuese para fastidiar o incluso para garantizarse el cobro de la factura por el trabajo realizado, por ejemplo, un programa que caducara una fecha determinada y destruyera u ocultara la base de datos del trabajo realizado con él y que, en el caso de que el cliente pagara, actualizarle con una "revisión" del producto libre del troyano. Esta utilidad "oculta" si se programaba especialmente para ello, podía permitir a un usuario con conocimiento de ella tener privilegios sobre el programa, por ejemplo que al pulsar una determinada combinación de teclas, nos apareciera una ventana de configuración con opciones no accesibles por el programa principal.

    Con la aparición de Internet y su rápida expansión a nivel mundial, el concepto de Red de ordenadores se convirtió en algo atractivo y novedoso lleno de protocolos de comunicaciones, permisos de acceso a redes y passwords que había que investigar.

    Pronto aparecieron los primeros troyanos cuya funcionalidad oculta era posibilitar el acceso a la máquina instalada sin necesidad de introducir contraseña de acceso creando lo que se conoce como una puerta trasera (Backdoor). Estos troyanos representaban un concepto nuevo de programa malicioso fruto de la rápida expansión de la red Internet, por lo tanto debía tener un nombre, como todas las cosas. Así, el concepto Backdoor-Troyano se asoció.

    En seguida proliferaron en numero y su nivel de sofisticación y potencia fue en aumento, llegando a convertirse en verdaderos programas de acceso y administración remotos (RAT Remote Administration Tool).

    Así pues, el nombre Troyano quedó asignado al Backdoor, y cuando hoy se habla de troyanos, generalmente se hace referencia a programas que instalan puertas traseras para que accedan a nuestro PC sin necesidad de nuestro consentimiento.

    Espero haber dejado claro los conceptos de Troyano (en sus orígenes) y Backdoor (troyano en la actualidad).

    También cabe aclarar otra cosa: cuando se realiza un programa nuevo, para una determinada tarea, éste se somete a fases de depurado (comprobación y mejora de su funcionamiento) antes de su distribución, en las que se pretende minimizar el número de errores de programación, ya que se sobreentiende que el programa perfecto y sin errores no existe, así que se intenta depurar al máximo. Pues bien, en muchos casos, éstos errores de programación que pasan inadvertidos en la fase de depurado se convierten en "Backdoors" potenciales a la espera de que alguien los descubra y los explote. A esto se conoce popularmente con el nombre de BUG (bicho) y en ámbitos de seguridad informática :Vulnerabilidad, y las soluciones que se presentan para corregir el fallo se denominan Parches.

    Dada la importancia de estas Vulnerabilidades, hemos creído conveniente crear una sección que trate del tema.

¿Qué tienen de especial?

    Un troyano es, en definitiva, un programa de administración remota (RAT) pero oculto para poder funcionar sin que el usuario infectado se de cuenta de ello. Para que funcione correctamente, deben existir 2 partes en comunicación:

1. Una de ellas (servidor) instalada en la máquina del usuario infectado, oculta para no ser detectada, se instalará de manera que pueda ejecutarse en cada reinicio de Windows y así poder abrir la puerta trasera cuando conectemos a Internet.
   
    
2. En la máquina del atacante se instala la segunda parte (cliente) que es encargada de comunicarse con la máquina infectada y está diseñada para llevar a cabo acciones contra ella.

¿Cómo funciona?

    Aquí hemos de diferenciar algunas fases:

1. Infección: A diferencia de los virus (y hasta el momento, por suerte) los troyanos no tienen capacidad para reproducirse por su cuenta y la infección ha de pasar por manos del usuario incauto que, mediante engaños, ejecuta el fichero con el troyano.
   
       El fichero puede llegar por cualquier sistema de transferencia de archivos: e-mail, MSN, ICQ, IRC, FTP, descargado de la WEB, etc. Y estará "maquillado" para que no se note lo que en realidad es, por ejemplo, en un fichero que lleve una doble extensión: "tenniswithKournikova.avi.exe", ¿por qué con doble extensión?, pues por una sencilla y buena razón: El Windows, por defecto, está configurado para que oculte la extensión de los ficheros conocidos, con lo cual, ese fichero aparecerá en nuestro sistema como: "tenniswithKournikova.avi" y claro, convencidos de que se trata de una interesante animación, ejecutaremos el fichero...
   
        También se nos puede hacer creer que el fichero es una actualización de un programa o una utilidad nueva y muy recomendable de uso, y que en realidad está "preparada" para instalarnos en la máquina un precioso troyano, en éste caso no hará falta usar la técnica de la doble extensión... Incluso se nos puede "hackear" la máquina mediante alguna Vulnerabilidad del sistema e introducirnos el troyano directamente, sin que notemos nada.
        En definitiva, la idea es que el usuario a infectar ejecute el fichero para que se instale la parte "servidor" del troyano. La metodología que se usa para ello depende del ingenio del atacante.
   
    
2. Asegurando posiciones: En el momento que el troyano es ejecutado, éste modificará el sistema para garantizar su ejecución cada vez que arranquemos nuestro PC, esto es: modificará los ficheros y registros del sistema que crea necesarios para que automáticamente Windows lo ejecute:
   
   
   • SYSTEM.INI: En este fichero suelen modificar la entrada "shell":
     
         [boot]
         shell=Explorer.exe (ruta y nombre troyano)
     
     Hemos de dejarla así:
     
         [boot]
         shell=Explorer.exe
     
      
   • WIN.INI: Aquí las entradas "load" o "run", cualquiera de las dos vale:
     
         [windows]
         load= (ruta y nombre troyano)
         run= (ruta y nombre troyano)
     
     Hemos de dejarlas así:
     
         [windows]
         load=
         run=
     
      
   • REGISTRO DE WINDOWS: Este es un tema algo más complicado, ya que una mala modificación del registro del sistema podría provocar que windows no arrancara la próxima vez que encendiéramos el PC. Así que, lo primero que hemos de hacer es visitar: cómo hacer una copia de seguridad del registro de Windows. (por lo que pudiera pasar).
     
     En el registro, las claves que se suelen modificar son:
     
     Windows 9x/Me/NT/2000:
     
     "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run"
     "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run-"
     
     Windows 9x/Me:
     
     "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices"
     "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices-"
     
     WinNT/2000:
     "HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services Remote Administration Service"
     
         En estas claves de registro encontramos algunos de los programas que se inician al arrancar Windows y un troyano puede modificar una clave de éstas para garantizar su ejecución cada vez que arranca el sistema.
     
      
3. Comunicación con el atacante: Si el troyano se ha ejecutado y se encuentra en memoria, detectará el momento en que nos conectemos a Internet, entonces, existen varias maneras de comunicarse con el(los) atacante(s):
   
   
   • Enviará un mensaje al atacante con la IP y el número de puerto que ha dejado abierto para trabajar. Éste mensaje le puede llegar bien por correo electrónico, bien por MSN, ICQ, o directamente a su IP y un puerto especificado. Depende de la configuración que el programador haya dado al troyano.
     
      
   • Se colocará a la escucha en un puerto determinado a la espera que desde Internet "alguien" reclame su atención. En este caso, el troyano no actúa bajo las órdenes de un individuo, sino que cualquiera que tenga conocimiento de su existencia y funcionamiento puede escanear La Red en busca de rastros de troyanos.

    Los ficheros "SYSTEM.INI" y "WIN.INI" se encuentran en "C:WINDOWS" y se pueden editar en modo texto desde el Bloc de notas (Notepad) por ejemplo. El registro es accesible desde "INICIO / EJECUTAR" y "REGEDIT.EXE".

¿Cómo los combatimos?

    Normalmente el troyano está diseñado para pasar desapercibido y para ocultarse en el sistema infectado, así que se valdrá de las herramientas que el sistema tiene para instalarse y tomar el control. Por lo tanto, nosotros podemos usar "las mismas herramientas" para removerlo de nuestro sistema. Esto hay que aclararlo un poco, y es que, para remover un troyano totalmente del sistema hemos de conocer, a parte de las "zonas" de nuestro PC donde se puede instalar un troyano, qué zonas usará dicho bichejo para infectarnos, pues no todos usarán las mismas.

    Es correcto pensar que si conocemos todas las secciones de nuestro PC donde un troyano se puede instalar y las revisamos, podemos estar "seguros", pero claro, cabe la posibilidad que el troyano esté dentro de un programa que usamos normalmente y que no lo sepamos. Mejor es que vayamos por partes:

1. Llegada del fichero: Hemos de tener estar alerta con los ficheros que nos llegan de Internet. Ya sea vía e-mail, IRC, MSN, WEB, etc. Antes de permitir instalar nada es mejor escanearlo con un buen antivirus y, en algunos casos, con un buen antitroyanos. Por regla general, y mientras no nos demuestre lo contrario, hemos de desconfiar de cualquier fichero que nos llegue, aunque lo hayamos solicitado, ¡y sobre todo si lleva doble extensión! El primer paso para nuestra protección es ser conscientes de nuestros actos.
   
    
2. Puntos del sistema donde se instala: Pueden darse 2 casos: a) Que el troyano esté dentro de un programa que usamos normalmente y que nosotros no lo sepamos. En este caso pasaremos al punto 3. b) Si es un fichero independiente que se instala y oculta en nuestro sistema, una vez ejecutado el troyano o su instalador, se copiará un fichero (que se llama servidor del troyano) en cualquier parte del disco duro, normalmente en "C:WINDOWS" ó "C:WINDOWSSYSTEM", y modificará algunos puntos para poder ejecutarse cada vez que se inicie Windows. Por ejemplo:
   • Puede crear un acceso directo en el menú inicio de Windows.
     
      
   • O una entrada en los ficheros de inicio:
         CONFIG.SYS
         AUTOEXEC.BAT
         WIN.INI
         SYSTEM.INI
     
      
   • O modificar el registro de Windows, dentro de la rama:
          KEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion
     
     las llaves: Run, RunOnce, RunServices y RunServicesOnce.
     
      
3. Chequeo del PC: Visto lo anterior, vamos a definir un proceso para chequear nuestro PC, que nos garantice a un 90-95% la limpieza de nuestro sistema. Lo dividiremos en 3 Fases:
   
   
   1. Revisión manual del PC:
      
      - Lo primero de todo, y siguiendo los pasos del guión anterior, si acabamos de instalar un nuevo programa o de haber ejecutado un fichero adjunto, hemos de chequear qué ficheros nuevos se han creado en nuestro sistema:
      
          Vamos a :"INICIO Buscar Archivos o carpetas", seleccionamos como nombre de archivo a buscar *.*, marcaremos que busque en todos los discos duros y en fecha, elegiremos la que nos parezca más adecuada: (Si sospechamos de un fichero de hace una semana, pues eso... Si acabamos de ejecutarlo, pues desde el día de hoy).
      
          Esto nos sacará un listado de los ficheros que se han creado / modificado a partir de la fecha seleccionada, y dependerá de nosotros el identificar el(los) sospechoso(s). En principio, una foto de un amigo/a no debe provocar la creación de un fichero tipo: "C:WINDOWSSYSTEMMSINIT.EXE" (por poner un ejemplo...).
      
      - Luego procederemos a chequear el inicio de Windows: vamos a "INICIO Ejecutar" y escribimos "MSCONFIG", que nos abrirá el programa de configuración del sistema:
      
      
      
      
      
          Sobre todo, y antes de modificar nada, "a saco", hagamos una copia de seguridad haciendo 'clic' en el botón "Crear copia de seguridad" de la pestaña "General", y automáticamente nos la creará. Esta copia la podremos restaurar con el botón "Restaurar copia de seguridad".
      
      Procedamos:
      
      La pestaña "General" la dejamos tal cual, por defecto.
      
      Config.sys contiene los comandos iniciales de configuración del sistema, generalmente el "display", el "country" y el "Setver" que define la versión de Windows. Cualquier otra cosa no significa que sea malo, pero sí sospechosa, así que nuestra labor es informarnos sobre qué es eso que pone en el config y no sabemos para qué es. El conocimiento es la base del progreso.
      
      Autoexec.bat es otro fichero de arranque del PC. Aquí se configuran el teclado, modo de pantalla, rutas (PATH) de búsqueda de ficheros (cuando se manda a ejecutar un fichero sin especificar el sub-directorio donde está), las variables de entorno, etc.
          Lo mismo que para el CONFIG.SYS: Revisemos, informémonos y actuemos en consecuencia.
      
      System.ini: Expandimos la rama "[boot]" haciendo clic en el "+" de la izquierda y revisamos que las entradas:
      
          shell=Explorer.exe
      y
      
           user.exe=user.exe
      
      Estén escritas de esta manera, que es como deben de estar, y cualquier otro contenido sería sospechoso.
      
      Win.ini: Expandimos la rama "[windows]" haciendo clic en el "+" de la izquierda y revisamos que las entradas:
      
          load=
      
      y
      
           run=
      
      Si. Deben de estar vacías. Eso sería lo correcto.
      
      Inicio: Aquí se listan los programas que arrancan al inicio, permitiéndonos activar o desactivar del arranque los que deseemos, mediante la casilla correspondiente. No hay más que hacer que revisar los programas y preguntar sobre los que no conozcamos. Tengamos en cuenta que la mayoría son de sistema, aunque tengan un nombre "raro".
      
      - Ahora vamos al registro del sistema: "INICIO Ejecutar" y escribimos "REGEDIT". Aquí también recomiendo hacer una copia de seguridad antes de continuar.
          Expandimos la rama "HKEY_LOCAL_MACHINE" clicando en el "+" de la izquierda, y también las sub-ramas: "Software", "Microsoft", "Windows" y "CurrentVersion". Hemos de comprobar lo que haya definido dentro de:
      
          Run
          RunOnce
          RunServices
          RunServicesOnce
      
      Tengamos en cuenta que muchos programas instalados en nuestro PC, así como los del propio sistema estarán colocados aquí, así que antes de alterar nada, investiguemos, preguntemos lo que no sepamos, etc.
      
          En principio esta sería una buena revisión manual del sistema, que nos permitiría saber si nuestro PC tiene un troyano activo. Pero en el caso de no haber encontrado indicios, no podemos estar seguros al 100% (nunca lo estaremos, como mucho yo diría un 95%), así que seguiremos chequeando...
      
       
   2. Revisión automática: Un buen sistema de chequeo complementario al realizado manualmente, y que sin duda será más cómodo, es la utilización de programas encargados a chequear nuestro PC en busca de troyanos, como antivirus, antitroyanos, etc.:
      
      - Antivirus: Algunos programas antivirus también tienen en sus bases de datos las definiciones de algunos troyanos, así que nuestro programa antivirus también nos puede echar una mano en esta tarea. Hemos de tenerlo siempre actualizado, a ser posible, con fecha de hoy, para tener una mayor fiabilidad.
      Escaneamos nuestro PC con él, para ver que nos encuentra.
      Antivirus recomendables: DrWEB, AVP, NOD32, Panda, McAfee, Norton... y un largo etc.
      
      - Antitroyanos: En principio podría creerse que un antitroyanos es lo mismo que un antivirus, pero eso no es así. Un antitroyanos está más orientado a la detección de los troyanos, como su nombre indica, y siempre será más fiable que un antivirus. Por supuesto, también se debe tener actualizado.
      Procedemos al escaneo con él.
      Antitroyanos que recomiendo: The Cleaner (este tiene una característica de monitor del sistema que me agrada bastante. La explico más abajo.), Trojan Remover, y otro largo etc.
      
          Decidir cual de estos programas es el mejor o el peor es algo que no voy a hacer. Comparativas se han hecho muchas, y hay expertos que se dedican a ello, bien por trabajo o por hobbie.
      
       
   3. Chequeo del funcionamiento del PC:
      No contentos con los chequeos anteriores, aún podemos hacer más. Se trata de revisar que nuestro PC no esté haciendo nada que no debiera, por ejemplo, que tengamos un troyano instalado y esté en la fase de comunicación con el "cliente".
      Esto lo podemos testear con un sistema de monitoreo de puertos, aquí os explicaré 2 programas, uno que viene con el Windows y otro que es "Freeware":
      
       
   • NETSTAT: Es una utilidad que viene con Windows y que nos permite conocer qué puertos tenemos activos, con qué IP se están comunicando y el protocolo.
     Abrimos una ventana de MS-DOS y en ella tecleamos: "NETSTAT -n", aparecerá un listado como el que sigue:
     
     
     
     En él podemos observar 4 columnas:
     
     Proto: Especifica el protocolo que se está usando en esa conexión. (TCP o UDP)
     
     Dirección local: Aquí vemos la dirección IP nuestra y el nº de puerto que se está usando. En éste caso, yo estaba conectado a Internet con la IP 62.82.34.18 y, además, mi IP de Red (porque tengo una mini-red en casa) era la 192.168.0.1.
     El número de puerto local estará entre el rango 1024 - 65535, pues los primeros 1024 (0 - 1023) están reservados.
     
     Dirección remota: Lo mismo que la dirección local, pero en este caso corresponde con la máquina a la que se ha conectado. Así por ejemplo, ese día yo estaba conectado a la IP 194.221.112.194 por el puerto 80 que es el destinado al protocolo http para descargar páginas WEB.
     
     Estado: Nos indica como está la conexión en ese momento, pudiendo ser:
     
         Listening: Permanece el puerto abierto y a la escucha en espera de una conexión externa (Red local o Internet)
     
         Syn-Sent: Esperando una petición de conexión igual, después de haber enviado una.
     
         Syn-Received: Esperando una confirmación de la petición de conexión después de haber recibido y enviado ambas máquinas una petición de conexión.
     
         Established: Conectado actualmente.
     
         Fin-Wait-1: En espera de una petición de fin de conexión desde la máquina remota o una confirmación de la petición de fin enviada anteriormente.
     
         Fin-Wait-2: Esperando una petición de fin de conexión desde la máquina remota.
     
         Close Wait: Esperando una petición de cierre de la conexión por parte de la máquina local.
     
         Closing: Esperando una respuesta remota confirmando el cierre de la conexión.
     
         Last-Ack: Esperando una confirmación de la petición de cierre de la conexión enviada anteriormente a la máquina remota, que incluye también una confirmación de su petición de cierre.
     
         Time Wait: Puerto a la espera de que transcurra el suficiente tiempo como para garantizar que la máquina remota ha recibido la confirmación de cierre de la conexión.
     
         Closed: Desconectado actualmente.
     
     Podemos también jugar con los siguientes comandos:
     
     "NETSTAT -an", que muestra todas las conexiones y puertos a la escucha.
     
     "NETSTAT -a", lo mismo que la anterior pero, al no llevar la opción "-n", mostrará el nombre de la máquina a la que nos conectamos (si éste estuviera accesible).
     
      
   • RED SPIDER: Es una utilidad Freeware que nos permite monitorizar conexiones TCP y UDP bajo Windows.
     
     
     
         Muestra la tabla de conexiones TCP / UDP del sistema de manera similar a NETSTAT y la actualiza cada diez segundos, (pudiendo refrescarse a voluntad pulsando F5). También ofrece la posibilidad de resolver las direcciones IP a nombres, e incluso, en win XP, nos mostrará el proceso del sistema que controla una determinada conexión.
     
         Una característica que lo hace muy atractivo y que me agrada mucho es la posibilidad de cerrar una determinada conexión, o todas si nos interesara, con un simple clic del ratón sobre la conexión y "terminate".
     
     
         Otra cosa que podemos hacer para completar nuestra monitorización del sistema es activar un programa que nos detecte cualquier intento de modificación en los ficheros del sistema, WIN.INI, SYSTEM.INI, AUTOEXEC.BAT. REGISTRO DE WINDOWS, etc. Y nos permita editar la modificación que se produjo.
     
         Esto es posible, por ejemplo, con la utilidad TCMONITOR incuida en el antitroyanos The Cleaner, la cual permanece en memoria alertando si uno de estos archivos es modificado. Así podremos saber si algún programa que no debiera se está instalando en nuestro sistema:
     
     
     
     The Cleaner también tiene una utilidad para monitorear los procesos activos del sistema, permitiéndote terminarlos a voluntad. Esta es TCActive!:
     
     
     
     Para activar éstas opciones, en The Cleaner hemos de marcar las casillas "Run TCActive! At startup" y "Run TCMonitor at startup":
     
     
     
     Y así se ejecutarán cuando arranque el sistema.
      

    Creo que con esto podemos decir que tenemos un 95% de seguridad de que en nuestro sistema no está ejecutándose un troyano. El otro 5% está provocado por los innumerables agujeros de seguridad que tienen los programas que normalmente usamos y que en algunos casos pueden permitir a un atacante ejecutar código malicioso en nuestra máquina. Este código puede ser el de un troyano de su nueva invención y que hasta ahora no se conozca, por lo que podríamos estar infectados sin saberlo.

    Más recomendaciones sobre detección de bichos nuevos... yo sugeriría que nos mantengamos informados de todo lo nuevo que aparece, ya sean virus, troyanos, agujeros de seguridad etc. Pues muchas veces estudiando las técnicas que usan estos bichos, podemos detectar manualmente si hay uno o no.

    En definitiva, y como muchas veces se ha dicho, el factor humano es una medida de seguridad esencial.

¿Qué es un puerto?

    Un puerto se podría definir como el punto de enlace entre 2 procesos, ya sean locales (en el mismo PC) como remotos (desde una Red local o una Internet). Por ejemplo, podríamos comparar los puertos del PC con los puertos comerciales entre pueblos o países que gestionan la materia que les llega antes de ser distribuida al resto del pueblo o país. Un puerto sería un punto de conexión y de organización de la información que circula.

    Ahora que sabemos que es básicamente un puerto del PC, también nos interesa saber cuantos tenemos y cómo se usan en Internet.

    La primera pregunta es rápida: tenemos 65536 (2^16) puertos en el PC y están numerados del 0 al 65535. Los 1024 primeros (0...1023) son los "Well Known Ports" (o puertos conocidos) estandarizados por la IANA (Internet Assigned Numbers Authority) definidos para ser usados por procesos o usuarios del PC con derechos del sistema o "root", también conocidos como administradores, por ejemplo:

    La segunda pregunta tiene una respuesta algo más extensa: Como hemos dicho, los puertos son puntos de conexión entre 2 PC dentro de Internet. Cuando realizamos una conexión, nuestro ISP (Proveedor de acceso a Internet) nos asigna una IP (Protocolo Internet), la IP es un 'numero' del tipo: 'NNN.NNN.NNN.NNN' donde 'nnn' es un número del 0 al 255, con lo que tenemos la friolera de 4.294.967.296 posibles diferentes direcciones de Internet (y si nos paramos a pensar que somos 6.000.000.000 de personas en el mundo, nos encontramos con que el protocolo será insuficiente en algún momento de la evolución de Internet, esperemos que los expertos lo 'controlen' antes de que llegue el momento, o nos encontraremos con "otro bug del milenio" provocado por las limitaciones impuestas en tiempos pasados... pero esto es otro tema, que ya me estoy yendo por las ramas).

    Retomando la 'conversación', Ya estamos conectados a Internet y tenemos nuestra IP, ahora vamos a visitar una página... dicha página también tiene asignada una IP, que identifica al PC que la contiene, es aquí donde entran en juego los puertos: un servidor WEB está "a la escucha" de una petición de visita a la página que alberga proveniente de nuestro PC, ¿y como escucha? Pues por un puerto específico para ello, el 80, por aquí recibe nuestra petición y la envía a nuestro ISP que, posteriormente, nos la enviará a nuestro PC.

    Antes de eso, entre nuestro PC y el servidor WEB se han producido una serie de comunicaciones para establecer la conexión, en la que se fija un puerto en nuestro PC por donde recibiremos la página WEB (en nuestro caso no será el 80, sino uno por encima del 1023).