como acabar con los troyanos - Página 2 - HispaZone: Comunidad de Hardware y Overclocking

Lukoba

Por supuesto Drazhaz que no todos los spywares son troyanos ni todos los troyanos son spyware como bien dices.

Yo he estado en conferencias de seguridad realidas por prestigiosas personas que llevan la seguridad de multinacionales, las conozco personalmente, también tienen doctorados y según sus palabras consideraban al spyware como un troyano más. Yo tampoco me he inventado nada. Por decirte más, me levanto ahora y en medio minuto estoy en su despacho. No digo más.

Saluditos y relájate.

**Drazhaz**

Repito por tercera vez:

[quote:cde42a8488=\"Drazhaz\"]Los comentarios que se suelen hacer en artículos son simplemente generales, no hay que tomarlos al pie de la letra y mirarlos con lupa, sirven únicamente de orientación.[/quote:cde42a8488]
Está en perfecto español, creo que todo el mundo lo puede entender vamos...

Está bien claro, que, al fin y al cabo, cada cual puede pensar lo que quiera sobre el tema, yo no le veo mayor relevancia. Y la verdad, soltar definiciones por soltar, lo veo innecesario.
Está claro que ambas cosas perjudican a los sistemas y que hay que combatirlos, la investigación y la importancia está en eso, en luchar contra ellos, no en definirlos.

Espero no tener que insistir más en lo comentado inicialmente.
Preocupémonos por solucionar los problemas a los usuarios en vez de discutir.

Lukoba

Tú me dices:
No creo que este post sirva para nada, por lo tanto, insisto, en vez de discutir sobre las definiciones y sobre lo que es esto o lo otro, haz algo más útil como recomendar formas de protegerse y ayudar a los que tienen problemas.

Yo te digo:
En un foro abierto sobre la seguridad informática, para mí la mayor ventaja contra la seguridad informática es el conocimiento.

Te puedo asegurar que este tema puede resultar un gran debate y muy interesante, aunque a tí no lo parezca y no lo quieras hacer así.

No me digas que haga algo más útil, porque para empezar a defenderse de la seguridad hay que empezar a entender muchas cosas sobre ella.

Pensaba que me ibas a debatir (qué no discutir) más técnicamente este asunto, pero me ha sido una causa perdida.

Si ya lo dijo aquel: \"de donde no hay no se puede sacar\".

Lukoba

¿Queréis ver un poquito como se trata en un sitio muy prestigioso de seguridad a un spyware y sus características?
Adelanto un poquito lo que empieza diciendo:
\"DlDer es un troyano del tipo software-espía (spyware)\"
Empezamos bien, un sitio muy prestigioso trata las cosas en su sitio. Pues es interesante su lectura, para comprenderlos, está en: http://www.vsantivirus.com/06-01-02b.htm

Podéis comparar con lo que yo os he dicho de como son los troyanos de tipo spyware.

Entendemos que se tiene que establecer una comunicación por un canal o puerto IP. con la experiencia podremos diferenciar cuando se activa un puerto, primero pasa a la escucha y luego pasa a abierto, nunca pasa a abierto si primero no pasa a la escucha. Nos preguntamos ¿qué puerto es? ¿que comunicación se está realizando? ¿Esa comunicación es del sistema o es una comunicación no aceptada? ¿Como miro los puertos abiertos, los de escucha, etc? Un firewall bien especificado nos avisará de las conexiones que se establezcan , que programas lo realizan y hacía donde lo realizan. Con el programa \"netstat\" podremos detectar nuestro sistema de puertos, se hace desde la ventana de consola ms-dos, sí ese programa que algunos pensaban que era un sistema operativo antiguo.

De momento no me extiendo más....

Lukoba

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe), (no voy a decir como se abre una consola de comandos, ya es cuestíón de saber iniciación a la informática, no de seguridad) y es un viejo compañeto del TCP/IP desde sus inicios y se encuentra en todos los sistemas operativos.

Podemos verlo en UNIX y en Windows, ejecutando sin parámetros:

[K:\\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Al ser tecleado sin ningún parámetro nos informa de los puertos que en nuestra máquina tiene en un momento determinado una conexión \"ESTABLECIDA\" con una máquina remota, y por qué puerto.

Ejecutando por ejemplo: netstat -an
sabremos no solo los que están establecidos sino los que están a la escucha (LISTENING). Estos puertos son potencialemnte peligrosos porque pueden venir de un proceso malicioso: Un troyano.

Si usamos la tubería | filtramos solo para mostrar los de escucha:
netstat -an | find \"LISTENING\"

si queremos el PID (número de identificación del proceso del programa que lo ha lanzado, se ejecuta:
netstat -nao | find \"LISTENING\"

Esta información es imcompleta y tenemos que saber que el número de proceso identificarlo con el nombre del programa que lo ejecuta. En XP Profesional se hace con el comando:
tasklist.

o bien bajándose el programa gratuito \"pslist\" de sysinternals, que indicará el número de proceso (PID) y el programa asociado.

Con esta lección podremos determinar el troyano y el programa que lo ejecuta.

Más me preguntó yo: ¿Cómo se puede ayudar a la gente si no se sabe técnicamente ni responder?

**Drazhaz**

Pues como \"de donde no hay no se puede sacar\", no tengo nada más que decir.

Saludos.

Lukoba

pslist os lo tenéis que bajar de:

http://www.sysinternals.com/ntw2k/freeware/pslist.shtml

Es válido para XP y W2K.

y colocarlo en la misma carpeta en donde establezcáis el path, ya que si no deberéis situaros en esa carpeta antes de ejecutarlo desde la consola de comandos (cmd.exe). Otra manera más fácil es ponerlo en el directorio de sistema, siempre se ejecutará aunque tengáis el path en cualquier directorio.

TROYANOS: Vaya que si existen tipos. Tan solo algunos ven los que conceden al atacante el acceso y control del equipo infectado. ¡Ah! ¿pero que control? Pues depende del programador que haya creado el troyano.
-. Los que descargan archivos de forma arbitraria de internet. Estan los dialers o marcadores telefónicos.
Modifican los nombres de archivos, modifican nuestras entradas correspondientes a nuestro registro, ocupa nuestro canal de internet bloqueando nuesto sistema, muchos están mal diseñados y provocan hasta caidas y pérdidas de datos y que diga gente que no nos hacen nada, se puede leer muchas barbaridades por internet, en nosotros está saber distinguirlas.

- Otros actuan como proxyes, redirigiendo el tráfico del sistema afectado.
.- Otros son de tipo Adaware, monitorizan la ventana del navegador de Internet, abriendo ventanas y propaganda.
.- Otros son de la característica anterior pero dominan nuestra navegación. Los hijackers.
La cantidad de tipos se extiende a como la imaginación del programador quiera que realice su fechoría, pero siempre con unas características comunes en todos ellos que os he explicado anteriormente en otro mensaje. Son más conocidos por su tipo que por troyano en sí y a troyano se le denomina a un solo tipo ¿porqué? porque fué el inicio de como empezaron a ser durante mucho tiempo, programas ejecutables remotos, los otros tipos fueron más modernos.

Lukoba

Para entender su funcionamiento, tenemos que saber \"cazarlos\", para saber cazarlos\" debemos entender como funciona algo del protocolo TCP/IP y con algunas herramientas que os he puesto.

TCP/IP se basa es una filosofía de cliente/servidor. Un host (ordenador cualquiera) solicita servicios a la red como cliente y el servidor se lo ofrece.
Se establece un socket o lo que es lo mismo un canal de comunicación, éste canal de comunicación se hace a través de los puertos. Los puertos son virtuales no reales, se definen 65535 puertos que van desde el 0 hasta el 1023 reservados para el TCP y por él se ofrecen servicios de FTP, HTML, etc....en adelante son para programas de usuario.

¿como se establece la comunicación bajo TCP? se establece primero un socket , que no es nada más que una conexión entre una máquina y un puerto con otra máquina y otro puerto. Intervienen 2 máquinas y 2 puertos.

Cuando se abre un socket (canal de comunicación) una máquina solicita una dirección y puerto. Si en ese puerto hay otra máquina escuchando (LISTENING), atenderá las peticiones del servidor.

Los troyanos intentan conectarse con otra máquina y con un puerto. Si responde, se puede pedir identificación del programa respondido y se le hace ejecutar programas dentro de esa máquina. Tan solo las que se haya programado anteriormente, si son de tipo solicitud de datos espías,
(spyware) pues nos entregarán los datos, si son de ver su pantalla, veremos su pantalla, TODOS EJECUTAN ALGÚN TIPO DE ACCIÓN EN LA OTRA MÁQUINA. Y si le digo que me pase ficheros, pues me los pasa, es que están programados. Es genial ¿no? . Muchos pueden ejecutar múltiples instrucciones de programa y dominamos dichas instrucciones, como puede ser el excelente programa Back Oriffice.
Espero que hayas aprendido ALGO DRAS...de lo que es un troyano. POR LO MENOS A SABER DECIR QUE LO QUE ESCRIBO NO VALE LA PENA.
CONOCIMIENTO MUCHACHO, MUCHO CONOCIMIENTO.

Te lo dice un aprendiz.

**TeeJokey**

Bueno, primero que todo, este no es lugar para debatir esto, y lo digo tanto por Lukoba como por Drazhaz, Lukoba por ser la primera en tratarlo en un hilo que lo habrió un usuario pidiendo ayuda y Drazhaz por seguirlo y no indicar lo contrario siendo moderador.

[quote:cff41a5472=\"Lukoba\"]Drazhaz replanteate estas objecciones, que eso es de sabios.[/quote:cff41a5472]

Por otro lado, no me parece bien que Lukoba critique de forma tan destructiva un artículo que se ha hecho para ayudar y para orientar a los menos familiarizados con todo esto, si no me equivoco es esa la razón por la que se muestra Drazhaz un tanto molesto. No obstante las críticas siempre y cuando no sean malintencionadas, son bienvenidas, más aun si son constructivas.

Si bien no se cual de los dos sabrá más sobre el tema, lo que si se es que para cada artículo que se redacta en HispaZone se dispone de fuentes más que contrastadas, y no estamos hablando de otras webs o de revistas, estamos hablando de entidades como el Centro de Alerta Antivirus, McAfee Inc, Symantec, Karspersky Labs, PandaLabs (algunas entrevistas realizadas lo demuestran). Recibimos información directa de ellos, y no hablo de los típicos \"Newsletter\". Además de todo esto, en HispaZone experimentamos directamente con todo aquello sobre lo que vamos a redactar en nuestro laboratorio. Vamos, que cuando se escribe sobre algo en HispaZone sabemos de lo que hablamos y no escatimamos en recursos, doy fe de elllo. Otra cosa ya es como se oriente el artículo.

El debate como tal me parece muy interesante y creo que unos cuantos debates más en esta y otras materías aportan mucho al foro siempre y cuando se haga de forma respetuosa, en el lugar adecuado y siguiendo las normas del foro.

Un saludo.

Drazhaz HZ Team Registrado: enero-2004 Ubicación: Valencia Posts: 1,853	Pues como \"de donde no hay no se puede sacar\", no tengo nada más que decir. Saludos. __________________ Linux User #344788 - ASAP Proud member since early 2005 NORMAS del foro - Reglas de Netiqueta - Utilizar correctamente un antivirus >> Recomendaciones generales para un óptimo funcionamiento del ordenador <<

Personas en esta discusión: 1 (0 usuario(s) y 1 invitado(s))