Sobre troyanos...

¿Alguie me puede proporcionar información sobre los troyanos? ¿Donde se instalan? En una red local, detrás de un router pero sin ninguna restricción ni firewall, ¿puede instalarse uno en una máquina y tener acceso a la red interna directamente o debe primero "abrir" los puertos adecuados en el router?. Cuanta mas información o enlace spuedan darme mejor. Muchas gracias amigos.

A muy grandes rasgos. Casi cualquier tipo actividad dentro del sistema puede ser monitorizada. Esto ocurre tanto en sistemas Windows con las Auditorias como en ficheros logs de Linux.

Si un troyano a conseguido "infiltrarse" en nuestras líneas es seguro que forme parte de algún proceso del sistema durante algún tiempo. Hay que monitorizar los procesos poco habituales o extraños a nuestro sistema. En Linux podemos usar lsof para "ver" procesos y ficheros involucrados a `parte de otras muchas herramientas. En windows tenemos también herramientas como aports.exe e incluso TCPView. Rizando el rizo y para hacer una monitorización exauhusativa podenmos hacer uso de windump o TCPdump cuyo manual está en este foro o usar un IDS/NIDS tipo Snort.

El sistema de archivos de sistema tanto en número de archivos como cambios en su tamaño denota la existencia de anomalías o presencia de troyanos adulterando o cambiando programas o ficheros del sistema. En windows podemos comprobar la nueva aparición de DLLs o EXEs en c:\windows o c:\windows\system que nos resulten extraños. En linux un intruso puede haber modificado:

su
telnet
netstat
ifconfig
ls
find
du
df
libc
sync, etc



Mirar también servicios no autorizados y activados en nuestro sistema.

En un sistema Windows se llevan a cabo alguans modificaciones en el sistema:

SYSTEM.INI: En este fichero suelen modificar la entrada "shell":

[boot]
shell=Explorer.exe (ruta y nombre troyano)

-> debe estar en condiciones normales:

[boot]
shell=Explorer.exe

WIN.INI: Aquí las entradas "load" o "run", cualquiera de las dos vale:

[windows]
load= (ruta y nombre troyano)
run= (ruta y nombre troyano)

Hemos de dejarlas así-> debe estar en condiciones normales:
[windows]
load=
run=

Registro de windows. Algo más complicado de de detectar pero claves importantes para inpeccionar son:

"HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run"
(mirar también RunOnce)
"HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices"
(mirar también RunServicesOnce)
"HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Remote Administration Service"
etc,

Monitorización de las conexiones activas mediante netstat:

"NETSTAT -an" muestra todas las conexiones y puertos a la escucha.

"NETSTAT -a", muestra todas las conexiones y puertos a la escucha.
y mostrará el nombre de la máquina a la que nos conectamos.

una vez detectadas las conexiones extrañas y los puertos utuilizados podemos terminar el proceso, averiguar de que troyano se trata y eliminarlo.

Revisión de autoexec.bat y system.ini

Y por su puesto, existe programas Antitroyanos que hacen todo por nosotros.

Respecto al tema de firewall/router. Un firewall o un router con NAT bien configurado es un muro bastante importante para un troyano, a parte claro está que algunos antivirus también realizan la tarea de detectarlos. Hay que tener en cuenta también que algunos troyanos se aprovecha de vulnerabilidades que aparecen en los routers repcto a puertos, NAT, PAT, etc.

En fin, ya te digo que esto es a muy grandes rasgos. Si necesitas algo más por aquí estaremos.

Joder Alfon, vaya clase magistral. Eres la caña de'Spaña. Eso que me has dicho del win.ini y el system.ini me ha picado bastante la curiosidad (porque no tengo ninguna de las líneas que comentas, en el XP). ¿Donde puedo encontrar información al respecto?. Y otra pregunta, si no es mucho pedir. Al arrancar Linux Mandrake 8 (del instituto), al iniciar la tarjeta de red pone algo así como "Pomiscue mode enabled". ¿Cómo puedo saber si tengo un sniffer instalado ahí? Porque he corrido el comando ifconfig (tal y como decías en otro post) y todo parece correcto. ¿Qué entradas "raras" podría ver en los logs?. Muchisimas gracias por tu respuesta.

W2K y NT si lo tienen, XP seguro que también lo tienes, sólo que están ocultos.

el hecho de que se inform sobre elestado de tu NIC en modo promiscuo no significa que necesariamente tengas un sniffer instalado o corriendo en tu sistema.

En este enlace hablo más extensamente de como detectar un snnifer en tu sistema:

http://www.forosdelweb.com/showthrea...hreadid=114991

....y bueno, gracias por lo del alago, pero que tampoco es pa tanto eh, :cantar:

OYE PORQUE NO ME DECI COMO CONECTARSE POR TELNET A UN SERVIDOR PARA O UN PC POR MEDIO DEL IP

ESPERO QUE ME AYUDES