C??mo deshacerse de un troyano

Un troyano es simplemente un programa que se hace pasar por otro. Si hace tiempo que navegan por Internet seguro han o??do hablar de NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere, entre otros.

En la mayor??a de los casos estos programas est??n usados por gente que se cree hacker solo porque saben usar estos programas y atacan para asustar o abusarse de los que no saben.

??C??mo un troyano puede entrar en nuestra PC? Si nos env??an un archivo EXE o SCR haciendonos creer que se trata de algo muy interesante, y cuando (incautos) lo ejecutamos… probablemente no pas?? nada, o algo no muy interesante. Pero en realidad lo que ocurri?? fu?? que acabamos de instalar un «control remoto» para que este «Lamer» pueda controlar nuestro sistema a su antojo. Fuimos enga??ados. Ejecutamos, sin saberlo, un troyano.

Recomendaciones

Antes que nada, les recomiendo siempre tener un buen antivirus actualizado y un firewall. Para algunos de los troyanos mencionados en este tutorial, existen programas que los eliminan, como por ejemplo el NetBuster, en el caso del NetBus.

??Que uso tiene el MataProcesos en temas de seguridad?

Por las razones antes mencionadas les voy a hablar, antes que nada del MataProcesos:

Este peque??o programa, (hecho cuando comenz?? el furor del Back Orifice) se llama «MataProcesos» y es una peque??a utilidad que cumple la funci??n que deber??a estar inclu??da en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan «peque??a» (ocupa 40 Kb y cumple una tarea muy sencilla) nos ser?? de enorme ayuda con el tema de la seguridad.

Cuando uno ejecuta el MataProcesos un icono (una se??al de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colg??, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun «vivo» nos lo meti??) haremos doble click en el STOP y se abrir?? una ventana con un listado de todos los procesos reales que se est??n ejecutando en el momento, listados por nombre de archivo ejecutable.

Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmaci??n.

Notemos que dije que con MataProcesos podemos matar a «todos los procesos», lo cual incluye tambi??n a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos «matar» al Windows mismo, oblig??ndonos a reiniciar el ordenador.

Este programa es ??til, por ejemplo, si estamos siendo v??ctima de un troyano, es decir, alguien nos est?? «molestando», mostrando mensajes extra??os en nuestra pantalla sin nuestra autorizaci??n, mostrandonos im??genes y abriendo y cerrando la bandeja de nuestro CD-ROM.

«Matar» un troyano, paso a paso

Si tenemos un troyano tenemos que apurarnos a quitarnoslo de encima, porque por el momento tambi??n el «Lamer» tiene acceso a nuestros archivos, para robarlos o borrarlos.

El modo de usar el MataProcesos en este caso ser??a simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.

??C??mo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente:

C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSVR32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSPATCH.EXE
C:WINDOWSWINDOW.EXE
C:WINDOWSSYSTEM .EXE
C:WINDOWSSYSTEMNSSX.EXE
C:WINDOWSRNAAPP.EXE
C:WINDOWSTAPISVR.EXE
C:ARCHIVOS DE PROGRAMAICQICQ.EXE
C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE
C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE

En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ??C??mo nos damos cuenta de eso?

Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo est?? ejecutando.

Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres ??ltimas, pero es m??s seguro descartarlas cuando conocemos la funci??n de cada una de ellas), veamos:

C:ARCHIVOS DE PROGRAMAICQICQ.EXE

Es ni m??s ni menos que el ICQ, si lo matamos, se nos cierra el ICQ.

C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE

Se trata, como se podr??n imaginar, del Outlook Express.

C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE

Este es tanto o m??s obvio que los anteriores, nosotros mismos acabamos de ejecutarlo. Es el MataProcesos.

Tambi??n hay que conocer otros procesos comunes de Windows, ??y c??mo lo hacemos? si se trata de algunos de los que ya nombr??, yo mismo voy a presentarselos, pero si son otros que no se mustran aqu??, probablemente con el m??todo de «prueba y error».

Veamos:

C:WINDOWSSYSTEMKERNEL32.DLL

Este es el «coraz??n» del Windows, si lo cerramos, tendremos que reiniciar.

C:WINDOWSSYSTEMMSGSVR32.EXE

Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad.

C:WINDOWSSYSTEMmmtask.tsk

Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza.

C:WINDOWSEXPLORER.EXE

Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. Tambi??n gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar autom??ticamente)

C:WINDOWSTASKMON.EXE

Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qu?? funci??n cumplen, a menos que no nos moleste vernos obligados a reiniciar.

C:WINDOWSSYSTEMSYSTRAY.EXE

Es el «parlantito» (el aud??fono) que aparece en la barra de tareas, el programa que nos d?? el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece.

C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE
Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexi??n se corta y no podremos volver a conectarnos hasta reiniciar la computadora.

Pues bien, ??qu?? nos queda?

C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE
Se trata ni m??s ni menos que de ??cuatro troyanos! Toda una exageraci??n… Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos… ??C??mo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son t??n famosos que no hace falta hacer las comprobaciones.

C:WINDOWSPATCH.EXE

Es el patch del NetBus.

C:WINDOWSSYSTEM .EXE

Es el servidor del Back Orifice

C:WINDOWSSYSTEMNSSX.EXE

Es el servidor del NetSphere

C:WINDOWSWINDOW.EXE

Es otro troyano.

Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdi?? totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fu?? modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la pr??xima vez que reiniciemos ??los troyanos est??n nuevamente all??!

Para librarnos de ellos para siempre leamos los siguientes puntos:

Aclaraciones:

Para que el MataProcesos funcione hace falta tener instalados los ‘runtimes’ de Visual Basic 5. Si no los ten??s los pod??s conseguir en:
ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip
o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip

Mataprocesos y Netstat, suficiente para erradicar cualquier troyano

Existe una aplicaci??n llamada Netstat, y est?? ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.

Para hacerlo correctamente hay que seguir los siguientes pasos:

a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ – Internet Explorer o Netscape – GetRight – Go!Zilla – Telnet – mIRC – MSChat – Outlook – Outlook Express – etc…
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la l??nea de comandos del DOS tecleamos «netstat -a» y tomamos nota de todos los «puertos» que aparecen como «abiertos», estos aparecen en la columna «Direcci??n local» con el formato: :

Por ejemplo, podr??amos tener el siguiente listado:

Proto Direcci??n local Direcci??n remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:30100 0.0.0.0:0 LISTENING
TCP Donatien:30101 0.0.0.0:0 LISTENING
TCP Donatien:30102 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*

Lo cual significa que tenemos procesos en nuestro ordenador que est??n esperando conecci??n en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.

f) Comenzamos a matar, uno por uno, los procesos que no sabemos que funci??n cumplen. Si matamos alguno que no deb??amos, y el ordenador se bloquea, ya sabemos para la pr??xima vez que ese proceso no es un troyano, y que no hay que matarlo

Ejemplo: decido matar al proceso llamado:

C:WINDOWSSYSTEMNSSX.EXE

que es muy sospechoso…

Luego, volvemos a la ventana de DOS y pedimos otro listado de «Netstat -a», que nos devuelve lo siguiente:

Proto Direcci??n local Direcci??n remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*

Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ning??n programa que nosotros hayamos instalado, y de que el sistema contin??a ejecut??ndose sin ning??n problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la pr??xima vez que reiniciemos. Para eso usamos el comando «RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_».

N??tese que t??n solo le cambiamos la extensi??n, para, en caso de habernos equivocado, recuperar el archivo f??cilmente.

Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecut??ndose no podr??amos modificar ni borrar el NSSX.EXE

Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podr??amos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encend??amos la m??quina. La entrada est?? dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: «NSSX» y su valor es «C:WINDOWSsystem ssx.exe»

Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar.

Sigamos con otro ejemplo, sabemos que la lista del «Netstat -a» es ahora m??s corta:

Proto Direcci??n local Direcci??n remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*

Pues bien, ahora procedamos a cerrar el proceso: C:WINDOWSWINDOW.EXE

El sistema sigue perfectamente estable, y volvemos a pedir el «Netstat -a» y…

Proto Direcci??n local Direcci??n remota Estado
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*

Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar m??s, o menos).

Pr??ximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca m??s, vamos a la ventana de DOS, y escribimos: «RENAME C:WINDOWSWINDOW.EXE C:WINDOWSWINDOW.EX_»

Como ya dije, tambi??n podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario.

Como en mi caso, por experiencia, s?? que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera m??s puertos abiertos, (en el ejemplo que d?? al principio hab??a cuatro troyanos y no dos) continuar??a haciendolo hasta encontrarlos todos.

Quiero aclarar que no es muy comun que un ordenador est?? lleno de troyanos como en estos ejemplos, pero si notan que alguien est?? molest??ndolos de un modo extra??o cuando entran a Internet, intenten con esta «limpieza».

Otra aclaraci??n: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la m??quina. S??lo asegurense de no tener archivos sin grabar (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones.

Tambi??n cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos m??s «inteligentes», que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un m??todo diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicar??a debido a los dem??s programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace m??s dif??cil de interpretar).

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Una idea sobre “C??mo deshacerse de un troyano”