Los troyanos II

Lista de Troyanos

OCE
Router32b
WarTools
DeepBO
ICKiller
ICQ Trojan
ICQ Protector
Enigma's Setup
DMSETUP
DMSETUP2
Netbus 1.53~1.6~1.7
NetBus 2.0 Pro
Enigma's Setup Trojan
Phase-0
Back Orifice
Back Orifice Hack
Sockets de Troie
Backdoor
NUKINGS
Hackers Paradise
Executor
Phase server
Master4s Paradise 98

Los troyanos son archivos ejecutables con extensisn (por lo comzn *.exe) y pueden ser renombrados con cualquier nombre de archivo para pasar desapercibidos y mimetizarse con los ficheros originales de windows. Esta es una característica propia de los Troyanos de ultima generación como el NetBus 1.7 y es aprovechada para ocultarlos de manera de hacer mas difícil su localización para el neófito. Pueden funcionar aun así mientras se respete su extensión *.exe Lo que no que no son capaces de admitir es que sea renombrada su extensión dado que deben mantenerse como archivos "exe". Generalmente estos Caballos de Troya están representados gráficamente por un icono que los identifica según su especie.
El Netbus, por ejemplo, se lo reconoce por su característica forma de antena parabólica muy parecida al del icono Canales de Windows. Puede estar instalado en cualquier parte del disco y como dije puede tener cualquier nombre mientras conserve su extensión "exe".
El Master Paradise es un ejecutable que esta representado por la imagen de un icono en forma ángel.
El Back Orifice es un archivo binario con atributos oculto o ideen; sin nombre con extensión solamente *.exe.         
Básicamente funcionan creando un puerto TCP propio por medio del cual  la estructura Cliente~Servidor se comunica Este puerto TCP para el caso del Netbus es por defecto el 12345 y para el Back Orifice el 31337.
Como son puertos fijos que se tornan  operativos cada vez que la maquina blanco de ataque se conecta a una red esos puertos son susceptibles de detección interna y externa.
Detección interna por medio de el comando netstat -a que escrito a continuación del prompt del DOS mostrara las conexiones activas en un momento determinado.
Detección externa por medio un ultra fast port scaner que permite escanear los 255 host de un ISP en forma sumamente eficaz. De hecho el NetBus en su versión 1.70 posee un scanner de puertos 12345 muy rápido pero se traba en maquinas con escasa memoria Ram y mas sobre Windows 95/98 que tiene baja tolerancia a mantener operativas varias conexiones a la vez.
Este NetBus scanner emite una ráfaga muy veloz de pings hacia los 255 host posibles de una ISP buscando puertos 12345 operativos y tiene frecuentes mensajes por Stack Over Flow [Desbordamiento de Pila TCP/IP] que se pueden minimizar parcialmente aumentando la Ram disponible ya que este scanner hace uso intensivo de los recursos del sistema o bien hacerlo sobre Windows NT que esta mas optimizado a soportar tal magnitud de conexiones. Vale la pena hacer un netstat -a durante el scaneo para ver concretamente lo que sucede.
El problema del desbordamiento de la pila TCP/IP se supera muy  bien con una aplicación accesoria llamada Bus Conquerer que corriges este bug del NetBus 1.70. El Bus Conquerer  requiere la librería Mswinsock.ocx instalada para funcionar.
Al descubrir una IP afectada solo hace falta iniciar el programa Cliente y conectarse a la misma para comenzar el ataque propiamente dicho. Aquí pueden comenzar los problemas porque ya sea que el propietario de la maquina blanco con conocimiento de causa establece esta estructura con un colega permitiéndole solo a este el acceso a su ordenador mediante la colocación de un password al Servidor, o bien, puede suceder que la persona que inicio el ataque coloque un password en el Servidor para restringir el acceso de otros usuarios. En consecuencia puede suceder que al  hacer un fast scan ports de un ISP digamos entre la IP inicial 200.34.30.1 y la IP final 200.34.30.255 encontremos un host afectado por ejemplo. Pero sucede que al conectarnos a  200.34.30.71 nos solicita un password. Bueno en este sentido hay varios programitas que crackean el password original permitiendo el acceso.
Bus Conquerer ya mencionado que no solo scanea las probables IP afectadas sino que también cambia los pasword de las mismas por uno que el programa lleva por defecto: leeros que es es el password que hay que ingresar cuando el NetBus lo solicita una vez que el Bus Conquerer a realizado el scan propiamente dicho.

                                             Netbus Password Hacker
                                                      NetBus Hack
                                                     Drive The Bus

Son tres programa que permiten cambiar el password tantas veces como lo necesitemos requieren la presencia de las librerias  Mswinsck.ocx.
El NetBus 1.70 es un programa que generalmente esta comprimido en formato*.zip y contiene los siguientes archivos
NetBus.rtf  breve manual de referencia
NetBus.exe sofware cliente y fast scan port
Patch.exe sofware servidor [este es el Troyano propiamente dicho el cual no se debe ejecutar porque se carga como TSR y quedareis infectados no es detestable por antivirus comunes]
Memo.txt
Hosts.txt