Troyanos y gusanos

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

SEGURIDAD DE LA INFORMACIÓN

T.S.U. Ricardo Mariano Álvarez Rodríguez

T.S.U. Pedro Castro Santos

T.S.U. Santa Edith De la Cruz González

T.S.U. Rodolfo Vargas Aguilar

T.S.U. Francisco Salvador García

MALWARETroyanos y Gusanos

Troyanos

Es un programa de informática queproduce operaciones malintencionadas sinel conocimiento del usuario.

Síntomas de infección

Generalmente aparece después de abrir un archivo contaminado quecontiene el Troyano y la infección es evidente por los siguientessíntomas:

• Actividad anormal del módem, adaptador de red o disco duro: los datos se cargan aunque el usuario no registre actividad.

• Reacciones extrañas del ratón.

• Programas que se abren en forma inesperada.

• Bloqueos repetidos.

Principios de un Troyano

Debido a que generalmente un Troyano intenta abrir un puerto en lamáquina para que un hacker pueda controlarla, el primer objetivo delhacker es infectar la máquina obligando a abrir un archivo infectadoque contiene el Troyano y, luego, acceder a la máquina a través delpuerto abierto.

Sin embargo, para poder infiltrar la máquina, el hacker usualmenteconoce su dirección de IP. Entonces:

• Tener una dirección de IP asignada, en ese caso esa dirección de IPse puede averiguar fácilmente para la infección.

• Tener una dirección de IP dinámica , como en el caso de lasconexiones por módem. En este caso, el hacker debe analizar ladirección IP aleatoriamente para detectar aquellas quecorresponden a máquinas infectadas haciéndolo mas difícil.

Protección contra Troyanos

• La instalación de un firewall (programa que filtra los datos que entran y salen de sumáquina) es suficiente para protegerlo de este tipo de intrusión.

• Controla tanto los datos que salen de la máquina (generalmente iniciados por losprogramas que está utilizando) como los que se introducen en ella.

• El firewall puede detectar conexiones externas de las víctimas previstas de unhacker. Éstas pueden ser pruebas realizadas por su proveedor de servicios deInternet o un hacker que está analizando de forma aleatoria una cantidad dedirecciones de IP.

En caso de infección

• El firewall pide la confirmación de la acción antes de iniciar unaconexión si un programa, cuyos orígenes desconoce, intenta abriruna conexión.

• Es muy importante que no autorizar conexiones de un programaque se desconoce porque podría tratarse de un Troyano.

• Si esto vuelve a ocurrir, es conveniente verificar que el ordenadorno esté infectado con un Troyano usando un programa que losdetecta y elimina. (denominadobouffe-troyen) ó The Cleaner.

Puertos generalmente utilizados

• Por lo general, los Troyanos abren un puertoen la máquina infectada y esperan que se abrauna conexión en ese puerto para que loshackers puedan controlar el ordenadortotalmente.

• Los puertos más usados por los Troyanos sonlos siguientes.

Puerto Troyano

21 Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash

23 TTS (Tiny Telnet Server)

25Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator,

WinPC, WinSpy

31 Agent 31, Hackers Paradise, Masters Paradise

41 Deep Throat

59 DMSetup

79 FireHotcker

80 Executor, RingZero

99 Hidden port

110 ProMail trojan

113 Kazimas

119Happy 99

JammerKillah

121

421 TCP Wrappers

456 Hackers Paradise

531 Rasmin

GUSANOS:

• Un gusano es un programa que se reproducepor sí mismo, que puede viajar a través deredes utilizando los mecanismos de éstas yque no requiere respaldo de software ohardware para difundirse.

Gusanos y Troyanos

Funcionamiento de un gusano en la década de 1980

• La historia más famosa relacionada con ungusano data de 1988. Un estudiante (Robert T.Morris, alumno de la Cornell University) creóun programa capaz de expandirse a través deuna red.

Gusanos actuales

Los gusanos actuales se diseminan principalmente

con usuarios de correo electrónico mediante el uso de

adjuntos que contienen instrucciones para recolectar

todas las direcciones de correo electrónico de la libreta

de direcciones y enviar copias de ellos mismos a todos

los destinatarios.

El mejor método de protegerse de un gusano

es no abrir ciegamente archivos que le llegan

como adjuntos.

Los archivos con las siguientes extensiones,

en particular, tiene más posibilidades de estar

infectados:

.exe, .com, .bat, .pif, .vbs, .scr, .doc, .xls, .msi,

.eml

•Se recomienda deshabilitar la opción "ocultar

extensiones".

•Un archivo con extensión .jpg.vbs se verá

como un archivo .jpg.

;1L37qq1Ded4AdiwsqljDa2Sla4dq7KA5acfX2sK

l81Hrar4DiKkad7a0q3dpcSo9ew

[AutoRun]

;cLwl46ossA3IKoqJa1U24OqdqkLKaJwiDqS7Frq

Zww2aaSka53w33s5DA7wdsisiDKlKa90q4ej3ZAd Slr

;dok3sjLwwK06L2ldsc7ekkliJwa2jkq7Ak

;3D7jwsdikdd23Klk2e3aFkfwJdedKjDs13K1iK5

Xw3rwAk4dj4sal0K3odO4w3r3Z31LjLqf5aDafii

jaiaDAqoqa0aorq2021er2soHis2JDiek1adwmf5 CkSllL

shell\open\Default=1

;kkHKokcsesarlU14sk30wo4sD5k0l3jjLSslf3o

9IJqdi711Sq58SiFos8w3qieqiSAn3d2j03lr3q2

Ddoklf2wJwZww2wop4aA6

shell\explore\Command=vmhr.bat

qK9LkLDoIwka20234AaKJa0aDHArXJw48Dq9aAi4 isif

Gusano Informático

Protección:

• Instalación de actualizaciones.

• Configuración adecuada.

• Rehabilitación de servicios no utilizados.

Resumen de herramientas y metodologías

• Des habilitación de servicios y cuentas noutilizados.

• Actualización de S.O. y aplicaciones (parches).

• Uso de “buenas” contraseñas.

• Utilización de Firewalls.

caso de infección que hacer:

• Chequeo de integridad de aplicaciones y S.O.

• Back-ups periódicos.

• Análisis periódico de logs.

•Verificación periódica de servicios activos y

vulnerabilidades presentes.

• Desarrollo seguro de aplicaciones web.

• Concientización de los usuarios.

• Encriptación del tráfico.

• Definición y uso de Políticas y Procedimientos.

caso de infección que hacer:

CONCLUSIONES

• El troyano es un código malicioso que utilizaprincipalmente los puertos de comunicación para lamanipulación del equipo y lo cual puede dar paso aotro tipo de malware y poner el medio para acceder.

• Un gusano es un código malicioso que viaja a travésde la red y que principalmente aprovecha unavulnerabilidad del sistema operativo.

TROYANO VS GUSANO

• El gusano es más peligroso que el troyanoporque este altera el funcionamiento delsistema operativo

Recomendaciones

• Tener sistema operativo actualizado

• Tener un antivirus y firewall instalados

• Monitoreo de puertos

• Precaución al abrir archivos de internet

• Analizar las descargas

• Descargar en paginas oficiales o sitios de confianza

• Concientización de los usuarios que hacen uso de los sistemas informáticos

Bibliografía

http://es.kioskea.net/contents/virus/worms.php3

http://es.kioskea.net/contents/virus/trojan.php3

http://blogs.eset-la.com/laboratorio/2011/05/09/gusanos-y-

troyanos-el-reinado-del-malware/

GRACIAS

POR SU

ATENCION