Caballo de Troya (Informática)

De EcuRed
Caballos de Troya (Virus informático)
Caballos de Troya (Virus informático)



Caballo de Troya (Virus Informático) Programa creado y que opera bajo un aspecto inofensivo y útil para el usuario, afecta negativamente al sistema al incluir un módulo capaz de destruir datos. Junto con los demás virus es uno de los tipos de programas dañinos más conocidos y utilizados.

Contenido

Concepto

Programa que habitualmente ejecuta una o varias funciones deseadas por un usuario y de manera oculta realiza acciones desconocidas, no deseadas por éste, lo que recuerda la historia sobre la entrada de los griegos a la protegida ciudad de Troya.
Se diferencian de otros virus en que estos últimos infectan cualquier programa del ordenador sin que el programa anfitrión tenga nada que ver con el virus. Además, al contrario  de los  demas virus, los Caballos de Troya generalmente no se reproducen

Características

Generalmente los Caballos de Troya son utilizados para robar información, en casos extremos, obtener el control remoto de la computadora, de forma que el atacante consiga acceso de lectura y escritura a los archivos y datos privados almacenados, visualizaciones de las pantallas abiertas, activación y desactivación de procesos, control de los dispositivos y la conexión a determinados sitios de Internet desde la computadora afectada como los pornográficos.

Las computadoras infectadas se convierten en estaciones de trabajo remotas con todas o la mayoría de sus prestaciones favorables para el atacante. En algunas ocasiones limitan su uso a robar las claves de acceso a servicios como el Chat (IRC), FTP, Web (HTTP), correo o registrar los caracteres tecleados con el fin de encontrar posibles palabras claves, las cuales podrán ser posteriormente utilizadas en acciones fraudulentas.

Entre otras de las acciones está, utilizar las computadoras afectadas para lanzar ataques de negación de servicios a sus víctimas, las cuales son habitualmente servidores de Internet o de correo. Las trazas que dejan estos ataques llevan a las computadoras desde donde fueron lanzados, por lo que sus utilizadores pueden ser inculpados de delitos no cometidos. También, existen algunos códigos diseñados para desactivar antivirus y cortafuegos (firewalls), de manera que las computadoras afectadas resultan más sensibles a nuevos ataques.

Su procedimiento tiene como origen la inserción de un código no autorizado que realiza acciones no deseadas y desconocidas.

Acciones de los caballos de Troya

Al inicio de su comienzo estaban formados por un componente colocado dentro de un programa de amplio uso, que contenía toda su funcionalidad asociada a la pérdida de la información almacenada en los discos duros.

Actualmente estos programas están formados por dos componentes: el Servidor y el Cliente. El primero es el que se instala de manera oculta en la PC afectada. Generalmente se copia en el disco y crea las condiciones para ser ejecutado cada vez que el sistema sea iniciado.
Ejemplo

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \RunOnce \RunServiceso \RunServicesOnce

Cuando acciona, el Servidor de forma encubierta puede abrir puertos de comunicación y quedarse en estado de escucha para acoger las órdenes que le envía el Cliente, de forma remota desde cualquier sitio en Internet.

El Cliente es el componente que se ejecuta en la PC del atacante, que lo utiliza como una herramienta para enviar las órdenes al Servidor y consiste generalmente en una ventana similar a la de muchas de las aplicaciones que conocemos.

Clasificaciones

Puertas traseras (Backdoors)
Aquellos que atacan las puertas traseras son el tipo de troyanos más peligroso y difundidos, estos son utilitarios con administración remota y someten los equipos infectados a un control externo por medio de la red local o Internet. Su forma de funcionamiento es parecido a la de los programas de administración remota (a distancia) usados por los administradores de sistemas, lo que hace que sea dificultoso su detección, éstas puertas traseras se instalan sin que el usuario lo sepa y sin su consentimiento, cuando se ejecuta, monitorea el sistema sin que el usuario lo perciba y el equipo de la víctima queda a disposición del agresor.

Troyanos que roban contraseñas

Son aquellos que se proponen a robar contraseñas, generalmente para entrar al sistema de los equipos de las víctimas, buscan los archivos del sistema que contienen información privada como contraseñas y números de acceso a Internet para luego enviar esta información a una dirección de correo electrónico contenida en el cuerpo del troyano. La información secuestrada es usada por el atacante o usuario del programa ilegal.
Algunos troyanos pueden robar otro tipo de información:

Clickers troyanos

Estos envían los equipos de otros usuarios a determinados sitios web o recursos de Internet, también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet
Suelen emplearse para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos (virus o troyanos) o para organizar ataques contra el servidor o un sitio web especificado

Descargadores troyanos (Downloaders)

Son aquellos que descargan e instalan nuevos programas dañinos en el equipo de otro usuario. Seguidamente el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados de forma automática, de conformidad con las exigencias del sistema operativo local. Esto se realiza sin consentimiento del usuario y sin que este dé cuenta

Proxies troyanos

Funcionan como servidores Proxy y proporcionan acceso anónimo a Internet desde los equipos de las víctimas.

Métodos de propagación

Las vías más frecuentes son los anexos recibidos por correo electrónico, la transferencia de archivos durante los servicios de conversación en tiempo real (chat) y de mensajería electrónica instantánea, la descarga de software libre o desconocido, principalmente desde sitios de Internet:, así como por los recursos compartidos en una red local.

Además, las aplicaciones clientes de correo electrónico y navegadores de Internet, permiten la ejecución de códigos contenidos en mensajes que tienen formato HTML con sólo abrirlos.

El correo electrónico es muy usado, por lo que es muy fácil para un atacante lograr que el receptor del mensaje abra y ejecute un archivo anexo, pues sólo necesita que éste posea como remitente el nombre o dirección de una persona conocida y un texto atractivo. Los anexos comúnmente pueden referirse a juegos, refrescadores de pantalla, tarjetas de felicitaciones y tienen extensiones correspondientes a archivos ejecutables o de doble extensión.

Detección de un caballo de Troya

Esta depende de las acciones que realice este código y se manifiesta a través de diferentes síntomascomo:

Métodos de protección

Existen medidas de protección que sin tener amplios conocimientos técnicos pueden ser aplicadas para protegernos de estos tipos de virus y de los programas malignos en general, tales como:

Tendencias

Habitualmente, se piensa que los troyanos son menos peligrosos que los gusanos, pues generalmente no pueden reproducirse o transferirse por si mismos. Esto es algo erróneo, la mayoría de los programas malignos actuales combinan diversos mecanismos y muchos de los gusanos llevan troyanos.
Los troyanos se tornan cada vez más sofisticados. Estos se expanden con mayor rapidez y surgen nuevas versiones que son diferentes a las otras, aunque están hechas con un mismo objetivo: saquear información financiera y confidencial.
Varios de estos programas son keyloggers, que remiten datos referentes las teclas pulsadas al autor o usuario del programa. Las versiones más complejas brindan un control casi total sobre los equipos víctimas, remitiendo sus datos a servidores remotos y recibiendo y ejecutando instrucciones.
En ocasiones los equipos infectados son agrupados en una red zombi y con determinada continuidad utilizan canales de mensageria instantanea o sitios Web donde se pone nuevas instrucciones.

Fuentes

Vea También