Los troyanos III

Lista de Troyanos

OCE
Router32b
WarTools
DeepBO
ICKiller
ICQ Trojan
ICQ Protector
Enigma's Setup
DMSETUP
DMSETUP2
Netbus 1.53~1.6~1.7
NetBus 2.0 Pro
Enigma's Setup Trojan
Phase-0
Back Orifice
Back Orifice Hack
Sockets de Troie
Backdoor
NUKINGS
Hackers Paradise
Executor
Phase server
Master4s Paradise 98

Como dije al comienzo de la nota una particularidad propia de los últimos Troyanos es permitir que sean renombrados sin perder sus propiedades.
En el caso el NetBus 1.70 Patch.exe puede ser renombrado a Server.exe GDI.exe Canales.exe
Antinuke.exe Explorer.exe y cualquiera que la imaginación permita.
Al renombrarlo con un nombre parecido o igual al de uno de los archivos de Windows el enmascaramiento es mayor.
Otra técnica de ocultamiento es cambiarle los atributos con el comando
attrib +h +s  +r Patch.exe.
Así el troyano no es visible y tiene atributos de solo lectura, de sistema y oculto.
Si a la vez el Patch.exe ha sido renombrado a digamos User.exe antes de borrarlo Windows le preguntara si estará seguro de borrar un archivo de sistema con lo cual la mayoría no se animara a hacerlo manualmente.
A mi modo de ver la practica del manejo los programas Troyanos no es Hacking como podrán creer algunos. Hackear es un arte mucho mas complejo que requiere experiencia, entrenamiento y conocimientos.
Sin embargo considero que es una herramienta muy útil para la obtención de cuentas en otros ISP lo que permite cierto grado de anonimato al utilizar otras IP.
Concretamente un programita como el Fatal error. exe puede ser colocado con el NetBus 1.70 co con cualquier otro sofware cliente como Back Orifice y una vez colocado en la maquina blanca se lo ejecuta este programa Fatal error produce una false ventana donde a la desprevenida víctima  se le sugiere que para que no sea desconectado de Internet debe anotar su login y su pasword de acceso telefónico a redes y que solo escribiendo esos datos podrá continuar esa información se guarda en un archivo Os32779.sys en el directorio C:\ del ordenador atacado. Luego solo queda bajarse el Os32779.sys y leer allí los datos de la cuenta de la víctima y conseguir los números de teléfono de la cuenta con el proveedor.
Comandos adicionales al registro.
Patch /noadd Comando usado para propósitos de testeo impide que el Patch se cargue en cada sesión de Windows.
Patch /remove Comando que remueve por si mismo al Troyano de memoria y del registro
Patch /pass:xxx  Comando que instala al servidor con su propio password.
Patch /port:xxx  Comando que instala al servidor con un puerto por defecto el 12345.

                                                                           Como protegerse?

Eliminación manual. Bueno  el problema es que para eliminarlo directamente a la papelera, Windows se niega a hacerlo y da error de archivo en uso. Entonces hay que dirigirse al registro y mirar en las siguientes claves buscando la entrada de el archivo*.exe para el Back Orifice o de un archivo con nombre extraqo para el Netbus
(Server.exe, Sysedit.exe, Explore.exe, Icqprotector.exe, Antinuke.exe, Patch.exe, My Foto.exe, etc Ninguno de estos archivos se carga normalmente en Run o Run Service en el registro de win. Es necesario discriminar que es lo que esta bien de lo que no lo es)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

Si una maquina tiene al BO o al NetBus o al Master Paradise debe estar en alguna de estas dos claves del registro no hay otra posibilidad.
En Windows 98 uno puede apelar a la herramienta System Configuración Utility desde el menú Tools del Microsoft System Info y buscar la hoja Start allí radican todos los programas que se cargan durante el arranque del sistema operativo Windows. Allí hay que buscar el inicio de alguna aplicación anormal como ya dije para el caso del BO lleva la extensión ".exe" sin nombre de archivo y para el caso del Net Bus puede llevar cualquier nombre frecuentemente se usa  Patch.exe o Server.exe o Sysedit.exe. Si uno encuentra estas entradas tiene que borrarlas "a pulso" primero antes de eliminar el ejecutable que actúa como Troyano de lo contrario, Windows le dará error de archivo en uso. Una vez eliminada la entrada que carga al troyano en el registro para que permanezca como un TSR hay que resetear la maquina. Luego se podrá borrar al troyano sin dificultades.
Utilizando un antivirus de ultima generación solo detecta alguno de los Troyanos.
Son insuficientes en su mayoría. No detectan a los mas recientes y si los detectan solo los bloquean en su acción no impiden una nueva contaminación.
Utilizando el Clean 2.0 su mas reciente release detecta y limpia a la mayoría de los troyanos mas comunes los de mas reciente aparición pasan desapercibidos. No impide que un ordenador se vuelva a contaminar.
Utilizando el Netbuster 1.31 esta aplicación detecta limpia y bloquea con eficacia a los troyanos mas comunes. Sin embargo al crear puertos falsos  y para detectar el scaneo y ver la IP de la maquina agresora crean una puerta para el núcleo u otras acciones.
A mi modo de ver se tienen que utilizar las tres aplicaciones en conjunto.
No aceptar ni aun menos ejecutar ningún archivo que provenga del IRC o de procedencia desconocida en el ICQ o PowWow.
Revisar el registro en aquellas entradas que mención buscando un TSR un Netbus en cualquier sector del disco o un *.exe sin nombre para el caso del Back Orifice.
Eliminar manualmente las librerías windll.dll con al que trabaja el BO y KeyHook.dll para el Net Bus.
Utilízanos un ISP que brinde protección ante estos ataques. Hay ISP que detectan la actividad de scaneo y del uso del NetBus en cualquiera de sus variedades y si el usuario es sorprendido es automáticamente desconectados de la cuenta
Utilizando un archivo de procesamiento por lotes como el que adjunto que brinda información sobre la conexión actual. Lamentablemente no es dinámico, vale decir el comando netstat incluido en Windows solo ve las conexiones en un momento determinado. Como una foto. Pero no ve el contexto subsiguiente.
Se necesita, en consecuencia de un programa listening como el Genius II disponible en  http://www.sinnerz.com/is/ este programa robusto e interesante permite configurar la protección de los puertos susceptibles de ataque.