Foros del Web » Soporte técnico » Virus, troyanos y spyware »

Detección y desinfección de un Troyano

Estas en el tema de Detección y desinfección de un Troyano en el foro de Virus, troyanos y spyware en Foros del Web. En este post, explicaré como detectar un troyano y eliminarlo, además de conocer la identidad del atacante. Comencemos: 1.- Que es un troyano Un troyano ...
  #1 (permalink)  
Antiguo 03/05/2008, 02:56
Avatar de Darth_Carl  
Fecha de Ingreso: mayo-2008
Ubicación: En Foros DWP
Mensajes: 160
Antigüedad: 16 años, 6 meses
Puntos: 8
Detección y desinfección de un Troyano

En este post, explicaré como detectar un troyano y eliminarlo, además de conocer la identidad del atacante.

Comencemos:
1.- Que es un troyano
Un troyano es una aplicación Cliente - Servidor que hace que el Cliente (atacante) se conecte al Servidor (víctima que ha abierto la aplicación camuflada) y realize acciones en el PC de la víctima. Aquí explicaré como detectarlo y eliminarlo, pero casi siempre cuando lo detectamos es demasiado tarde. Para eso, estoy trabajando en una aplicación Anti-Troyanos que nos librará de muchos problemas...

2.- Detección
Para detectar un troyano, usaremos la más preciada arma de muchos hackers: la CMD, el último trozo de DOS. Sigamos estos sencillos pasos:
1.- Desactivamos los P2P (eMule, Ares, Kazaa, BitTorrent, Azureus...)
2.- Desactivamos el MSN Messenger y todas las variantes que pueda tener (Google Talk, Yahoo! Messenger, aMSN...)
3.- Vamos a Inicio --> Ejecutar
4.- Escribimos cmd.exe y le damos a Aceptar

Ya estamos en la CMD, asi que vamos a poder detectar el troyano... Escribamos esto:
netstat -n
y le damos a Enter. Asi nos aparecerán todas las conexiones de nuestro PC (por eso antes desactivamos los P2P y servicios de mensajería instantanéa). Nos fijaremos en la columna Dirección local. Alli pueden aparecer estas IP´s
Tu IP (la puedes averiguar en http://www.cualesmiip.com/)
127.0.0.1
129.0.0.1
192.168.0.1

(No te fijes en los dos puntos de detrás de las IP´s)
Si te aparece una IP que no sea la tuya o las especificadas arriba... ¡¡¡CORRE!!! ¡¡¡DESCONECTA INTERNET!!! ¡¡ES CUESTIÓN DE SEGUNDOS!!
Una vez hecho esto, podremos ejecutar tranquilamente la desinfección...

3.- Desinfección
Con Internet desconectado estamos a salvo de momento, pero debemos eliminar el Troyano de los daños que puede hacer más tarde. Escribiremos esto en la CMD:
start regedit.exe
Y pulsamos Enter. Asi habremos abierto el editor de registros, que usaremos para eliminar el troyano del registro (suelen auto-agregarse). Iremos hasta esta clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run/
Allí revisaremos todos los archivos agregados, y si hay alguno sospechoso, lo eliminamos. Ahora procederemos a reiniciar el equipo para terminar la desinfección... Desde la CMD escribe esto:
shutdown -r -t 20 -c "Desinfección finalizada. Un saludo de Darth_Carl que espera que te haya servido su tutorial"
y le damos a Enter. En 20 segundos tu PC se reiniciará
Bueno, paso el apuro. Ya está todo arreglado. Ahora daré algunos consejos para prevenir el próximo ataque

4.- Previniendo más posibles ataques
Para prevenir más posibles ataques, realiza esto:
- Descargate un Firewall o Cortafuegos
- Comprate un antivirus **Editado por Moderador**
- Utiliza la técnica de detección de vez en cuando
- Identifica la IP del hacker. Para esto apunta la IP que conseguimos con el netstat -n
- Si cuando inicias ciertas aplicaciones el Troyano se reactiva, desconecta Internet, apunta la aplicación y preguntame por Privado o por mi web
¿Es muy difícil? Realizalo por más seguridad

Fuente:
http://forosdwp.websmastershost.uni.cc/foros/viewtopic.php?p=434#p434

Última edición por Gpastor; 03/05/2008 a las 11:41
  #2 (permalink)  
Antiguo 03/05/2008, 10:34
 
Fecha de Ingreso: abril-2008
Mensajes: 129
Antigüedad: 16 años, 6 meses
Puntos: 0
Re: Detección y desinfección de un Troyano

Que bueana iformacion grasias por compartirla boy a probar ya que hace un tiempo un troyano me infesto la maquina y me di obligado a formatearla
  #3 (permalink)  
Antiguo 03/05/2008, 11:39
Avatar de Gpastor
Colaborador
 
Fecha de Ingreso: octubre-2003
Mensajes: 3.547
Antigüedad: 21 años
Puntos: 80
Re: Detección y desinfección de un Troyano

Hola, habría que tener mucho cuidado en la manipulación del registro, debes tener en cuenta que muchos programas pueden verse afectados por una mala manipulación del registro. Por cierto esta no sería la única clave de registro a revisar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run/

Faltarían estas:

Código HTML:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
Entre otras, pero repito: No debe manipularse el registro a menos que estés 100% seguro de lo que haces, por eso no es recomendable indicarle a un usuario con conocimientos mínimos de computación que manipule el registro.


Las técnicas actuales de infección van mas allá que unas cuantas entradas de registro y unos cuantos archivos, ahora se estila añadir rootkits los cuales se hacen difíciles de detectar por la mayoría de antivirus y antispywares, por eso se debe utilizar herramientas avanzadas como Hijackthis y/o ComboFix con la debida asesoría.

Saludos
__________________
<Forospyware> - <ASAP Member>
  #4 (permalink)  
Antiguo 14/06/2010, 23:27
 
Fecha de Ingreso: junio-2010
Mensajes: 1
Antigüedad: 14 años, 4 meses
Puntos: 0
Respuesta: Detección y desinfección de un Troyano

Hola estimado Darth...tengo una inquietud me encontre con la siguiente IP 192.168.1.100cuando seguia tus concejos...difiere un poco de las tuyas..es una error? o lo que acabo de encontrar es un troyano??

Adyudame por favor...
  #5 (permalink)  
Antiguo 14/07/2010, 08:08
Avatar de mayid
Colaborador
 
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 7 meses
Puntos: 101
Respuesta: Detección y desinfección de un Troyano

A mi parecer , el numero puede cambiar un poco. Lo importante que se dice acá es que no haya dos numeros diferentes. Que siempre sea la misma ip en el listado.
  #6 (permalink)  
Antiguo 14/07/2010, 12:28
Avatar de BrujoNic
Super Moderador
 
Fecha de Ingreso: noviembre-2001
Ubicación: Costa Rica/Nicaragua
Mensajes: 16.935
Antigüedad: 23 años
Puntos: 655
Respuesta: Detección y desinfección de un Troyano

Cerrado...

No se permite revivir temas viejos. Por favor, fijate en la parte inferior del mensaje donde aparece un mensaje en ROJO donde dice que NO se permite revivir temas viejos.
__________________
La tecnología está para ayudarnos. No comprendo el porqué con esa ayuda, la gente escribe TAN MAL.
NO PERDAMOS NUESTRO LINDO IDIOMA ESPAÑOL
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Tema Cerrado

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 22:11.