Informatica

Virus Del Caballo de Troya

Un Caballo de Troya es un programa ideado para que, bajo una apariencia inofensiva y útil para el usuario, afecte muy negativamente al sistema al incluir un módulo capaz de destruir datos. Junto con los virus es uno de los tipos de programas malignos más conocidos y empleados. Por su similitud en la forma de operar le debe su nombre al famoso caballo de la mitología griega.

El caballo de Troya era un enorme caballo de madera que los griegos dejaron a las puertas de Troya como oferta de paz después de una larga batalla. Los troyanos abrieron sus puertas e introdujeron tal obsequio en la ciudad. Sin embargo, al caer la noche, un grupo de griegos salió de su interior y abrieron las puertas de Troya para que su ejército la invadiese. Bien, pues un caballo de Troya en informática es lo mismo. Mucha gente los confunde con los virus o con otros programas malignos, pero un Caballo de Troya es un programa que, bajo la apariencia de una aplicación útil para el usuario (el caballo de madera), es diseñado deliberadamente para llevar dentro de sí cierto código dañino (los soldados de su interior). Se diferencian de los populares virus en que estos últimos infectan cualquier programa del ordenador sin que el programa anfitrión tenga nada que ver con el virus. Además, al contrario que los virus, los caballos de Troya no se reproducen Debido a que los troyanos técnicamente no son virus, no pueden auto-replicarse y requieren un cierto nivel de interacción directa del usuario para funcionar.

Cuando un usuario poco precavido recibe un caballo de Troya no se da cuenta del peligro hasta que se ha producido el daño. Generalmente se recibe un programa con un nombre sugerente: Información SIDA, Comecocos, Quinielas... y al ser ejecutado o tras cierto número de ejecuciones se empiezan a realizar las acciones para las que en realidad dichos programas fueron diseñados, como por ejemplo destruir los datos del ordenador; Incluso llegaron a circular algunos programas antivirus que en realidad son Caballos de Troya, como las versiones 78 y 79 del popular Scan. Un caballo de Troya muy conocido fue el denominado SIDA. Distribuido como información divulgativa sobre la enfermedad, atacaba ferozmente las máquinas en las que era ejecutado.

En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA. Su creador no se conoce aún porque prefiere el anonimato por cuestiones legales.

Propósitos de los troyanos

Los troyanos están diseñados para permitir a un individuo el acceso remoto a un sistema. Una vez ejecutado el troyano, el individuo puede acceder al sistema de forma remota y realizar diferentes acciones sin necesitar permiso. Las acciones que el individuo puede realizar en el equipo remoto, dependen de los privilegios que tenga el usuario en el ordenador remoto y de las características del troyano.

Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto son:

• Utilizar la máquina como parte de una botnet (por ejemplo para realizar ataques de denegación de servicio o envío de spam).

• Instalación de otros programas (incluyendo otros programas maliciosos).

• Robo de información personal: información bancaria, contraseñas, códigos de seguridad.

• Borrado, modificación o transferencia de archivos (descarga o subida).

• Ejecutar o terminar procesos.

• Apagar o reiniciar el equipo.

• Monitorizar las pulsaciones del teclado.

• Realizar capturas de pantalla.

• Ocupar el espacio libre del disco duro con archivos inútiles.

• Monitorización del sistema y seguimiento de las acciones del usuario.

• Miscelánea (acciones "graciosas" tales como expulsar la unidad de cd, cambiar apariencia del sistema, etc.)

Características de los troyanos

Los troyanos están compuestos principalmente por dos programas: un programa de administración, que envía las órdenes que se deben ejecutar en la computadora infectada y el programa residente situado en la computadora infectada, que recibe las órdenes del administrador, las ejecuta y le devuelve un resultado. Generalmente también se cuenta con un editor del programa residente, el cual sirve para modificarlo, protegerlo mediante contraseñas, unirlo a otros programas para disfrazarlo, configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma en la que se realiza la conexión entre el programa de administración y el residente se pueden clasificar en:

• Conexión directa: El atacante se conecta directamente al PC infectado mediante su dirección IP. En este caso, el equipo atacante es el cliente y la víctima es el servidor.

• Conexión inversa: El equipo host o víctima se conecta al atacante mediante un proceso automático en el software malicioso instalado en su equipo, por lo que no es necesario para el atacante tener la dirección IP de la víctima. Para que la conexión esté asegurada, el atacante puede utilizar una IP fija o un nombre de dominio. La mayoría de los troyanos modernos utiliza este sistema de conexión, donde el atacante es el servidor a la espera de la conexión y el equipo host es el cliente que envía peticiones de conexión constantemente hasta lograrla.

A pesar de que los troyanos de conexión directa han caído en desuso casi totalmente frente a los de conexión inversa, dentro de los círculos de hackers se sigue utilizando la denominación de cliente para el equipo atacante y servidor para el equipo víctima, lo cual es incorrecto desde un punto de vista estricto.

La conexión inversa tiene claras ventajas sobre la conexión directa, esta traspasa algunos firewalls (la mayoría de los firewall no analizan los paquetes que salen de la computadora, pero que sí analizan los que entran), pueden ser usados en redes situadas detrás de un router sin problemas (no es necesario redirigir los puertos) y no es necesario conocer la dirección IP del servidor.

Cabe destacar que existen otro tipo de conexiones, que no son de equipo víctima a equipo atacante, sino que utilizan un servidor

...