 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
 |
|
|
|
|
|
|
|
|
Lista
de Troyanos
OSCE
Router32b
WarTools
Debo
ICKiller
ICC Trotan
ICC Protector
Enigmas CETUR
DMSETUP
DMSETUP2
Netbus 1.53~1.6~1.7
NetBus 2.0 Pro
Enigmas CETUR Trotan
Pase-0
Back Orifica
Back Orifica AC
Soques de Troce
Backdoor
NUKINGS
Acres Paradse
Ejecutor
Pase servir
Master4s Paradse 98
|
|
|
|
|
|
|
|
|
|
Bien,
la aparición de los programas de acceso y control remoto no
es nueva y sus orígenes se remontan varios años atrás. Pero
mas recientemente Cal-Fredrik Neikter un programador sueco,
creador del NetBus y el grupo conocido como CALT of the Dead
Cow Communications desarrolladores del Back Orifice han puesto
en jaque a la frágil seguridad de Windows creando estas
aplicaciones que se han visto mejoradas en su interfaz
grafica, en la potencia de sus funciones y en el grado de
ocultamiento alcanzado.
Y es evidente, a juzgar por los continuos y cada vez mas
frecuentes pedidos de auxilio que venimos registrando en los
news y en mailing lista originados porque los ataques con estos
programas son cada vez mas frecuentes. Esto es debido a que no
se necesitan muchos conocimientos de informática para lograr
una penetración sobre las plataformas Windows.
Sobre NetBus y mas concretamente sobre su versión 1.70 voy a
hacer algunas consideraciones refiriéndome solo
superficialmente hacia los demás Troyanos.
|
|
|
|
|
|
|
|
|
|
|
|
Requerimientos
Windows
95/98/NT
Pc 486
(Basico) Pentium (Recomendado).
16 Mb de
Ram (Básico) 32 Mb (Recomendado).
Stacks
TCP/IP.
Sofware
Cliente
|
|
|
|
|
|
|
|
|
|
|
Funcionamiento
Un programa Troyano o Caballo de Troya es una aplicación que
se coloca en la maquina atacada.
La colocación del Troyano puede hacerse por contacto directo
con el ordenador blanco o por envió del archivo Troyano vía remota, por medio de
E~mail, ICQ, IRC, etc.
Se requiere como condición sin embargo que dicho troyano sea
ejecutado en cualquier sector del directorio de los sistemas
vulnerables win95/98NT.
Esta ejecución determina que el programa se grabe en el
registro y en la memoria del sistema operativo, se crean los
archivos necesarios para que este trabaje, mientras que
el el programa Troyano quede como un TSR es decir
terminate-and-stay-resident program (programa de terminar y
permanecer residente).
A partir de este proceso se establece una estructura
Cliente Servidor; donde la maquina que contiene el Troyano entra
como Servidor (ordenador atacado) y la maquina que actúa como Cliente es la que contiene el programa que ejecuta
los comandos remotos del servidor (ordenador atacante)
Desde ya digamos que las entradas del registro donde ingresa
la orden para cargar este programa Troyano durante el arranque
de Windows, son por lo regular
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
|
|
|
|
|
|
|
|
|
|
|
|
Ahora
bien una vez que se ha creado el programa TSR y se ha generado
la entrada en el registro esta maquina funcionara como un
Servidor ejecutando las ordenes del Cliente remoto.
El ordenador Cliente posee el software que permite
adquirir los privilegios de administrador de
una red algunos de los cuales son:
|
|
|
|
|
|
|
|
|
|
|
|
recursos
multimedia (ejecutar sonidos, activar el CD-Dom, video
captura, oir video conferencias, mostrar imágenes, etc)
visualización en tiempo real de la escritura del teclado
acceso
al disco rígido y a todos sus archivos incluidos los ocultos
ejecutar
cualquier programa del disco
capacidad
para borrar, subir o bajar archivos
acceso
al prompt del DOS
administración del registro acceso a las login y password
redirección de puertos y aplicaciones
envió y recepción de mensajes
control
del teclado y mouse
mostrar
o quitar ventanas abiertas
logoff
y shutdown del sistema
|
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
 |
|