bueno pues un troyano es un programa simple que facilita el control remoto de un ordenador , esta echo por 2 partes cliente y servidor lo que metemois nosotros a la victima es el servidor asi cojemos lo que nos apetezca :-) y realmente no son más que aplicaciones de gestión remota, que al ser totalmente gratuitos, al contrario que otros, están muy difundidos y suelen utilizarse para el acceso a otros ordenadores sin el permiso de sus dueños a través de la red.

estos programas como ya he dicho llevan un pequeño instalador de forma que una vez ejecutado sin ninguna advertencia se instalan, pero hay que ejecutarlos, la mayoría de las veces suelen llegar por el irc o en algún correo y como ejecutamos todo si fijarnos lo instalamos sin darnos ni cuenta, solo nos extrañamos al ver que al ejecutarlo no pasa nada. Otra opción es que venga junto con otro programa, esto se realiza con una serie de programas gratuitos que consiguen mezclar dos archivos ejecutables en uno de forma que solo se vea el resultado de uno de ellos, por lo que puede que solamente con instalar algún programa que no hallamos bajado de la red ya se ha podido instalar. De todas formas no os preocupéis ya que no hay demasiados programas por la red con troyanos.

Soluciones:

si se trata de un troyano conocido cualquier antivirus será capaz de localizarlo, pero por si acaso explicare la forma manual que es efectiva con casi todos los troyanos: hay que abrir el registro de Windows para ello vamos a Inicio/Ejecutar y tecleamos regedit. Una vez ejecutado abrimos las siguientes ramas de registro HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion y observamos las carpetas: Run y RunServices en ellas se encuentran todos los nombres y localizaciones de los programas que se ejecutan al arrancar Windows es probable que tengáis varias y no por eso tenéis troyanos solo debéis quitar el que sepáis seguro que es un troyano, para ello deberéis utilizar otros programas que podéis encontrar por la red como el The Cleaner o parecidos que buscan en tu ordenador cientos de troyanos y si encuentran alguno te avisan, para deshacerte de ellos fíjate en el nombre del fichero que diga el programa y quita esa llave del registro de Windows, de esta forma ya no se ejecutará al arrancar pero seguiréis teniendo el fichero servidor para eliminarlo debéis hacerlo desde MSDOS porque están preparados para que no se puedan borrar,ultima solucion:format c:\

Sintomas de Infecccion:

probablemente nadie necesita estar pasando el antitroyanos cada semana, pero lo que si que conviene es saber algunas cosas para poder descubrir su existencia. Estos programas solo pueden hacer que entre gente a tu ordenador mientras que estas conectado a Internet, Si tu modem va a 100 por hora y no tienes nada abierto...ventanas con textos que no vienen a cuento o la apertura y cierre del lector de CDs, tened en cuenta que la persona que entra controla mas cosas que tu te puede poner ventanas, abrirte programas, formatearte el disco duro, cortarte la conexión, incluso algunos troyanos permiten verte si tienes una webcam. Por eso si te das cuenta que de repente baja la velocidad de tu conexión y te aparecen extraños mensajes en la pantalla, busca a ver si se trata de un troyano y limpiarlo cuanto antes,Desde el Dos Tambien puedes hacer un Netstat -n,Netstat -a ( para ayuda de Netstat ? )y mirar que puertos tienes abiertos si tienes muchos o alguno raro abierto,enpieza a sospechar :-).

Que es un virus?

Un virus es un programa que permanece oculto, reproduciéndose hasta que se activa y causa daño.

Sus Fases:

Por lo que entiendo, existen cuatro aspectos: ocultamiento, reproducción, activación y daño. ¿Me podrían explicar más sobre ellos?

Ocultamiento:

Un virus se esconde en un programa.

Puede ser polimórfico, es decir, cambiar de forma y alterarse para que no lo reconozcan los programas antivirus.

Reproduccion:

Muchos localizan un programa que no esté ya infectado, entonces se copian al final, o en un hueco que tenga, y lo modifican para que la próxima vez que se corra ese programa ejecute también las instrucciones del virus.

También puede infectar algunas áreas del sistema. Puede radicar en el área de arranque (Boot) del disco, que es donde se encuentran las instrucciones que le dicen a la computadora que hacer al encender el equipo.

Un virus puede pasar de una computadora a otra através de diskettes, transferencia de archivos por teléfono vía modem, o conexión en red.

Activacion:

Ejecutando un .exe,abriendo Webs...

El virus espera... Espera a que llegue una fecha, como puede ser el aniversario de nacimiento de Sam...jajaja.

Podría también esperar pacientemente a que el disco duro esté suficientemente lleno... para que valga la pena la destrucción de los archivos...

O puede ir contando el número de infecciones que va haciendo, y entonces, al llegar a un número determinado, empezar a actuar dañinamente.

Daño:

Puede alterar o borrar la imagen de la pantalla, mostrar una pelotita o una figura animada, tocar una pequeña melodía, hacer que la computadora haga las cosas más lentamente, o escribir un mensaje en la pantalla (un mensaje de burla, de intimidación, de propaganda).

El virus puede alterar o revolver los datos, borrar algunos archivos o dar formato al disco duro, Con lo cual se borran todos los datos y programas que éste tenía grabados.

Que Es Un Firewall?

Un firewall es una de las muchas formas de proteger una red de otra red intrusa. Los mecanismos actuales son muy variados, pero en principio, los firewalls usan un par de mecanismos: unos que existe para bloquear el tráfico, mientras que otros existen para permitir el tráfico. Algunos firewalls ponen un mayor enfasis en bloquear el tráfico mientras que otros ponen mayor enfasis en permitirlo.

¿Qué son los servidores Proxy y Como Trabajan?

Un servidor proxy (algunas veces se hace referencia a el con el nombre de "gateway" - puerta de comunicación - o "forwarder" - agente de transporte -), es una aplicacion que media en el tráfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo, como sustitutorios de routers controladores de tráfico, para prevenir el tráfico que pasa directamente entre las redes. Muchos proxies contienen logines auxiliares y soportan la autentificación de usuarios. Un proxy debe entender el protocolo de la aplicación que está siendo usada, aunque también pueden implementar protocolos específicos de seguridad (por ejemplo: un proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP saliente). Los servidores proxy, son aplicaciones específicas. Un conjunto muy conocido de servidores proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un sistema proxy genéricos que puede ser compilado en una aplicación cliente para hacerla trabajar a través de una firewall.

Hackear Webs

Cogiendo El fichero Passwd a Traves de FTP

Ok, bien... Una de las formas más facil de conseguir ser "superusuario" en el sistema es accediendo a traves de ftp anónimoal fichero "passwd". Primero necesitas conocer algo sobre los ficheros password: root:User:g36Dfr:1j2YF6:1256:20:Superuser Camilo:p5P:h0iuE:2552:20:Camilo,:/usr/personal/camilo:/bin/csh BlackJack:EUhg3zACG2ab:1128:20:BlacJack LCD:/usr/personal/lcd:/bin/csh Este es el ejemplo de un fichero encriptado normal. El superusuario es la parte que te da el root. Es la parte que nos interesa. root:*:0:1:Misericordios:/:/bin/sh ftp:*:202:102:Anonymous FTP:/U1/ftp ftpadmin:*:203:102:ftp Administrator:/u1/ftp Este es otro ejemplo de un fichero password, solo que este tiene una pequeña diferencia este está controlado. Los password controlados no te dejan ver o copiar el actual password encriptado . Esto causa problemas para el Cracker y el diccionario que uses (después se explica). Losiguiente es otro ejemplo de otro password controlado: root:*:0:1:0000-Admin(0000):7:/usr/bin/csh daemon:*:1:1:0000-Admin(0000):/: bin:*:2:2:0000-Admin(0000):/usr/bin: etc... los password controlados tienen un "*" o "x" en el lugar donde va el password. Ahora que tu conoces un poco más acerca de como identificar un password encriptado de un password controlado, podemos hablar de como crackearlo. Cracker un password no es tan complicado como parece. Los archivos varían de sistema a sistema. Debemos antes que nada, de hacernos con el fichero passwd. Bajatelo a tu disco duro. Una vez lo tengas en tu disco duro necesitas un cracker y un diccionario. Puedes usar el Cracker Jack, John the ripper (aconsejado), jack the ripper, brute force cracker.... Los puedes encontrar en cualquier página de hacking, incluido la mía. http://www.redestb.es/personal/lcd Cuando ejecutes el cracker, deberas indicar cual es el fichero passwd. Hay muchos sistemas para buscar el passwd. Aqui es donde actua el diccionario. Un diccionario encuentra todas las posibles combinaciones posibles con el alfabeto que uses, incluyendo toda clase de caracteres "raros". Lo normal es que tenga predefinido miles de palabras posibles. Si este método no funciona se hace un rastreo completo, probando todas las combinaciones posibles desde 1 caracter hasta el total permitido. Asi SIEMPRE lo encuentra, aunque el problema está en que tarda mucho. Una vez tengas el password, YA ESTA!!! tendrás acceso a todo el sistema.

Tecnica PHF

la tecnica del phf es una de la más vieja (y que menos suele funcionar,tambien hay que decirlo) de conseguir un password. Es Imprescindible probarla siempre. (por probar que no quede...) ya que no cuesta nada y aveces se encuentra a alguna víctima que cae. Todo lo que debes hacer es abrir tu "notescapes navegando" y escribir lo siguiente: http://www.web_a_hackear.es/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd reemplaza www.web_a_hackear.es por el dominio. y ya está!. acontinuación se empezará a transmitir una linda copia del fichero con los password.

¿Cómo Entrar en la Máquina de Alguien?

Introducción Bueno, esta es una pregunta que me hicieron varias veces y por ser tan larga la respuesta decidí escribir este texto para orientar a la gente que tiene bastantes conceptos errados sobre este tema. Entrar en la computadora de la computadora de una persona puede ser algo sencillo o algo un poco más dificultoso depende del caso. Para nosotros poder meternos en un sistema tenemos que tener en cuenta varias cosas, primero tenemos que saber si la máquina en cuestión es servidor o es una maquina utilizada solo por un usuario común, generalmente la gente que chatea utiliza este último caso, luego necesitamos saber cual es el sistema operativo que esta manejando la persona a la cual queremos meternos en la máquina. Teniendo en cuenta estos puntos pasados vamos a explicar el caso de una maquina utilizada por un usuario común con un sistema tipo como windows 9x, el caso del servidor no será explicado en este texto. Como entrar en un sistema windows 9x. Para poder meterse en un sistema de este tipo no es tarea fácil ya que este sistema operativo en particular fue creado con el fin de ser usado en casas de familia, con acceso a internet de una forma normal, o sea no fue echo con el propósito de windows nt o unix que fueron creados para manejar cuentas usuario, puertos 23 (telnet), 21 (ftp), etc, con el fin de permitir a los usuarios el acceso remoto a los recursos de la máquina servidor, por esta razón a la hora de pensar meterse en una máquina con windows 9x como sistema operativo tenemos que pensar dos cosas: 1) ; Podemos meternos a la máquina por medio de un bug en el sistema operativo y que de este modo nos de acceso a los archivos. 2) Podemos meternos a la máquina por medio de un descuido provocado por el usuario de la máquina. (es el caso más común). Meternos a la máquina por medio de un descuido provocado por el usuario de la máquina. (es el caso más común). A la hora de e la hora de entrar en un sistema windows, este caso es el más común de todos ya que internet se ha hecho muy popular y uno se puede encontrar con gente de todo tipo, y de cualquier edad, y por lo cual mucha de la gente no tiene idea sobre que alguien puede metersele en la máquina por falta de información. La forma mas común de ingresar a una máquina es por medio de la utilización de un troyano o backdoor (puerta trasera), estos programas que se hacen llamar de administración remota y para eso también se utilizan, también son usados para meterse en la máquina de otras personas de forma no autorizada y sin el consentimiento del mismo. El funcionamiento de estos programas es el siguiente; constan de 2 partes una parte cliente y otra parte servidor, la parte servidor es la que tiene instalada la victima o sea la parte que escucha o espera por conexiones y la parte cliente es la que se conecta a la parte servidor para intercambiar datos. Estos programas funcionan de igual forma por ejemplo cuando nos conectamos a un servidor ftp o cuando bajamos los emails, ya que el servidor tiene el demonio o programa que escucha en el puerto 21 (ftp) o 110 (pop3) email, y los programas clientes de ftp o por ejemplo el outlook para bajar los emails que se conectan a dicho servidor. En conclusión podemos meternos en cualquier máquina que este infectada por medio de un troyano poniendo en el programa cliente la dirección ip de la máquina infectada por determinado troyano. Otra de las formas más comunes de intrusión en un sistema windows 9x es por medio de lo que se llama recursos compartidos. Muchas de las personas que uno puede encontrar en el chat disponen de una pequeña red local en sus casas, para poder así compartir información entre las 2 computadoras, pero para poder realizar eso deben compartir recursos, o sea me refiero como recursos a unidades de discos e impresoras, o sea la compartimos con un nombre y estas pueden tener contraseña o no. Un error muy común es conectarse a internet disponiendo de un red local y teniendo los recursos compartidos sin contraseña. Para saber si una persona dispone de recursos compartidos sin contraseña podemos hacer lo siguiente, abrir una ventana de msdos y escribir. nbtstat -A dirección_ip_de_la_pc El resultado de este comando tendría que ser algo parecido a esto. NetBIOS Remote Machine Name Table Name Type Status -------------------------------------------------------------------------------------------------------------------- VICTIMA <00> UNIQUEal Narrow">UNIQUE Registered GRUPO <00> GROUP Registered VICTIMA <03> UNIQUE Registered VICTIMA <20> UNIQUE Registered GRUPO <1E> GROUP Registered USUARIO <03> UNIQUE Registered MAC Address = 00-41-34-3D-15-1F Los más importante en esto es que salga <20>, eso significa que hay recursos compartidos, o sea que tenemos posibilidades de entrar. Una vez visto que tiene recursos compartidos podemos ver cuales son escribiendo el siguiente comando. net view \\direccion_ip_de_la_pc y la salida tendría que ser algo parecido a esto. Recursos compartidos en dirección_ip_de_la_pc Recurso Tipo Uso Compartido C Disco Disco rigido 20Gb CD &nbp; Disco Lectora de cd D Disco Disco rigido 15Gb SCSI Se ha completado el comando con éxito Bueno, hasta acá llegamos muy lejos y no piensen que ya estamos dentro por ver lo recursos compartidos que tiene porque si están con contraseña no vamos a poder entrar, para ver eso hacemos lo siguiente. net use x: \\direccion_ip_de_la_pc\recurso_elejido por ejemplo net use x: \\255.255.255.255\c Y se nos agregará una unidad en nuestra máquina, en este caso X: y por medio de ella podemos acceder al disco de la víctima, esto es si todo sale bien, pero puede ser el caso de que después de poner net use..... nos salga lo siguiente Ingrese contraseña de red Microsoft: Y si no sabemos la contraseña del recurso no vamos a poder entrar. Una vez que terminamos de usar el disco de la víctima lo podemos desconectar poniendo lo siguiente. net use f: /delete Meternos a la máquina por medio de un bug en el sistema operativo y que de este modo nos de acceso a los archivos. Windows es un sistema operativo que esta recontra mil plagado de errores, más que nada son para bloquear la máquina y esas cosas que no vamos a tratar aquí, pero también tiene algunos bug (errores) para permitir acceso a usuarios no permitidos, y como dije antes ya que este no fue un sistema preparado para ser servidor no tiene muchos errores de esta naturaleza como windows nt. En este capítulo no hay mucho que decir solo voy a hablar de un error que tiene windows que es para entrar a los recursos compartidos con contraseña sin conocer la misma. Todavía no han publicado sobre como explotar dicho bug ya que si lo harían nadie con una red local en windows 9x podría estar conectado a internet con seguridad, aunque pongan contraseña podrían entrar de todas formas. Error en la verificación de passwords de NETBIOS en windows 9x Ahora voy a explicar cual es el concepto teorico de dicho bug, y el que quiera hacer un programa que lo explote “bienvenido sea”, vale aclarar que hay que saber mucho sobre tcp/ip, protocolos, netbios, etc. Existe un error en el esquema de verificación de contraseña de NETBIOS en windows 9x. Todos nosotros para proteger los recursos compartidos como dije antes le ponemos contraseña a dichos recursos, pero un bug en windows 9x nos permite saltarnos esto. Para windows verificar la contraseña, el tamaño de la contraseña depende del tamaño de los datos mandados desde el cliente al servidor, esto es, si el cliente cambia el tamaño de la contraseña a 1 byte y manda el paquete al servidor, el servidor solamente va a comparar el primer byte de la contraseña de dicho recurso, y si hay coincidencia la autentificación será completada. Entonces todo lo que un atacante tiene que hacer es adivinar el primer carácter de la contraseña para poder tener dicho acceso.