Un troyano no es de por sí, un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano evita provocar daños porque no es su objetivo.
Suele ser un programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.
Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas u otra información sensible.
La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado y dotado de buena heurística. Es recomendable también instalar algún software anti troyano, de los cuales existen versiones gratis aunque muchas de ellas constituyen a su vez un troyano. Otra solución bastante eficaz contra los troyanos es tener instalado un firewall.
Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc.
Los troyanos están actualmente ilegalizados, pero hay muchos crackers que lo utilizan.
Las cuatro partes de los troyanos
Los troyanos están compuestos principalmente por dos programas: un cliente (es quién envía las funciones que se deben realizar en la computadora infectada) y un servidor (recibe las funciones del cliente y las realiza, estando situado en la computadora infectada). También hay un archivo secundario llamado Librería (con la extensión *.dll)(pero que no todos los troyanos tienen de hecho los más peligrosos no lo tienen) que es necesaria para el funcionamiento del troyano pero no se debe abrir, modificar ni eliminar. Algunos troyanos también incluyen el llamado EditServer, que permite modificar el Servidor para que haga en el ordenador de la víctima lo que el cracker quiera.
Troyanos de conexión directa e inversa
Los troyanos de conexión directa son aquellos que el cliente se conecta al servidor. A su diferencia los troyanos de conexión inversa son los que es el servidor quién se conecta al cliente; las ventajas de éste son que traspasan la mayoría de los firewall y pueden ser usados en redes situadas detrás de un router sin problemas. El motivo de porque éste obtiene esas ventajas es que la mayoría de los firewall no analizan los paquetes que salen de la computadora infectada, ya que si analizan los que entran (por eso los de conexión directa no poseen tal ventaja); y se dice que traspasa redes porque no es necesario que se redirijan los puertos hacia una computadora que se encuentre en la red.
¿Qué puedo hacer para saber si el programa que acabo de ejecutar es un troyano o no?
Daremos unas pequeñas pautas generales para intentar descubrir si oculta o no un troyano.
1. Comprobar la nueva aparición de DLLs o EXEs en c:\windows o c:\windows\system. Hay diversos métodos. Uno de ellos es usar find con la opción de búsqueda por fecha de modificación o creación. Otra es usar utilidades específicas contra antitroyanos para ayudarnos a monitorizar cualquier cambio en el sistema de ficheros.
2. La única manera de mantener el control de nuestra maquina por un troyano es abriendo alguna conexión con nuestro ordenador, para ello comprobaremos las conexiones abiertas con un netstat -an. Cualquier conexión sospechosa debe ser analizada en profundidad.
3. Comprobaremos el Registry de Windows, desconfiando de nuevas entradas que aparecen espontáneamente al ejecutar cualquier programa. Hay que tener especial cuidado con las claves que cuelguen de HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, ya que suele ser el lugar escogido por la mayoría de troyanos para instalar una clave que apunte al fichero que quieren que se ejecute cada vez que se reinicia Windows. En cualquier caso, también nos será de gran ayuda la utilidad gratuita RegMon (ahora Process Monitor), que ayuda a monitorizar cualquier cambio en el Registry de Windows.
Por último, no está de más recordar que existen herramientas creadas especialmente para la detección/eliminación de troyanos. Aunque muchos antivirus hoy en día detectan y eliminan muchos troyanos, la protección que ofrecen no puede considerarse, en ningún caso, suficiente. Las herramientas anti-troyanos específicas, aunque aún tienen mucho que mejorar, son en general muy superiores con respecto a los antivirus. Mencionaremos dos de ellas: Jammer, que tiene una versión freeware y LockDown2000.
- ¿Qué es un troyano informático? y como atacan -
Fuente: trucoswindows.net/conteni5id-54-SEGURIDAD-Que-es-un-Troyano.html
Muy buen explicación.
Responder