SlideShare una empresa de Scribd logo

librarse de un troyano (El libro del hacker capitulo 8)

Descargar como DOC, PDF
H
HammerBlanco

Este documento habla sobre el programa MataProcesos y cómo puede usarse para eliminar troyanos de una computadora. Explica que MataProcesos muestra una lista de todos los procesos ejecutándose y permite matarlos seleccionando el proceso deseado. Luego, da un ejemplo detallado de cómo usar MataProcesos y el comando Netstat para identificar y eliminar cuatro troyanos de una computadora infectada.

Educación
1 de 7
En esta página vamos a hablar de Mataprocesos Este pequeño programa, (hecho cuando comenzó el furor del Back Orifice) se llama "MataProcesos" y es una pequeña utilidad que cumple la función que debería estar incluída en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y cumple una tarea muy sencilla) nos será de enorme ayuda con el tema de la seguridad. Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable. Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación. Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador. Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM... Usando el MataProcesos para sacarnos de un apuro En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo así como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engañados. Ejecutamos, sin saberlo, un troyano. Tenemos que apurarnos a quitarnoslo de encima, porque por el momento también tiene acceso a nuestros archivos, para robarlos o borrarlos. El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.
Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente: C:WINDOWSSYSTEMKERNEL32.DLL C:WINDOWSSYSTEMMSGSVR32.EXE C:WINDOWSSYSTEMmmtask.tsk C:WINDOWSEXPLORER.EXE C:WINDOWSTASKMON.EXE C:WINDOWSSYSTEMSYSTRAY.EXE C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE C:ARCHIVOS DE PROGRAMAICQICQ.EXE C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso? Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando. Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos: C:ARCHIVOS DE PROGRAMAICQICQ.EXE es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ. C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE se trata, como se podrán imaginar, del Outlook Express. C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo. También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error". Veamos: C:WINDOWSSYSTEMKERNEL32.DLL Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar. C:WINDOWSSYSTEMMSGSVR32.EXE
Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad. C:WINDOWSSYSTEMmmtask.tsk Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza. C:WINDOWSEXPLORER.EXE Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente) C:WINDOWSTASKMON.EXE Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar... C:WINDOWSSYSTEMSYSTRAY.EXE Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece. C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora. Pues bien, ¿qué nos queda? C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE ¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones... C:WINDOWSPATCH.EXE es el maldito patch del NETBUS C:WINDOWSSYSTEM .EXE es el servidor del Back Orifice C:WINDOWSSYSTEMNSSX.EXE es el servidor del NetSphere
C:WINDOWSWINDOW.EXE es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o una versión levemente modificada del NetBus) Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí! Para librarnos de ellos para siempre leamos los siguientes puntos... Aclaraciones: Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en: ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip 2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos. Para hacerlo correctamente hay que seguir los siguientes pasos: a) Nos desconectamos de Internet b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc... c) Ejecutamos el MataProcesos d) Ejecutamos una ventana de DOS e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: <nombre_de_nuestra_pc>:<puerto> Por ejemplo, podríamos tener el siguiente listado: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:30100 0.0.0.0:0 LISTENING TCP Donatien:30101 0.0.0.0:0 LISTENING TCP Donatien:30102 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:*
Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035. f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo Ejemplo: decido matar al proceso llamado: C:WINDOWSSYSTEMNSSX.EXE que es muy sospechoso... Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_". Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente. Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y . Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystemnssx.exe" Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar. Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma
revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" no es el unico lugar en el cual un troyano puede asegurarse el ser ejecutado en cada sesión. El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante nuevo, que se puede descargar de http://angelfire.com/ar/NetSphere/index2.html . Pueden usarlo para practicar, pero por favor, no sean "Lamers", no lo usen con otras personas, porque dejarían sus máquinas a merced de cualquiera, y si lo usan con ustedes mismos, tengan en cuenta de que no deben conectarse a Internet mientras tengan el troyano instalado. (justamente, para evitar eso es que explico todo esto). Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Pues bien, ahora procedamos a cerrar el proceso: C:WINDOWSWINDOW.EXE El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y... Proto Dirección local Dirección remota Estado TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos). Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:WINDOWSWINDOW.EXE C:WINDOWSWINDOW.EX_" Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo dejo librado al lector. Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos. Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza". Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar
(como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones. También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar). OK Si lo Deseas bajar Mataprocesos desde Aqui .

Recomendados

Como desinfectar y proteger tu memoria usb de virus
Como desinfectar y proteger tu memoria usb de virusComo desinfectar y proteger tu memoria usb de virus
Como desinfectar y proteger tu memoria usb de virus
villxs
 
Batch
BatchBatch
Batch
alan moreno
 
Doc trashes24214
Doc trashes24214Doc trashes24214
Doc trashes24214
RICK RAMOS
 
Virus
VirusVirus
Virus
CANDE GOMEZ
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04
Nestux Alfonso Rincón Garcia
 
Manual de Lenguaje Batch
Manual de Lenguaje BatchManual de Lenguaje Batch
Manual de Lenguaje Batch
Mauricio Melo
 
Acelerando.Windows.-.Norbert.R.pdf
Acelerando.Windows.-.Norbert.R.pdfAcelerando.Windows.-.Norbert.R.pdf
Acelerando.Windows.-.Norbert.R.pdf
home
 
Acelerando.windows. .norbert.r
Acelerando.windows. .norbert.rAcelerando.windows. .norbert.r
Acelerando.windows. .norbert.r
Checha Gutierrez
 

Recomendados

Como desinfectar y proteger tu memoria usb de virus
Como desinfectar y proteger tu memoria usb de virusComo desinfectar y proteger tu memoria usb de virus
Como desinfectar y proteger tu memoria usb de virus
villxs
 
Batch
BatchBatch
Batch
alan moreno
 
Doc trashes24214
Doc trashes24214Doc trashes24214
Doc trashes24214
RICK RAMOS
 
Virus
VirusVirus
Virus
CANDE GOMEZ
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04
Nestux Alfonso Rincón Garcia
 
Manual de Lenguaje Batch
Manual de Lenguaje BatchManual de Lenguaje Batch
Manual de Lenguaje Batch
Mauricio Melo
 
Acelerando.Windows.-.Norbert.R.pdf
Acelerando.Windows.-.Norbert.R.pdfAcelerando.Windows.-.Norbert.R.pdf
Acelerando.Windows.-.Norbert.R.pdf
home
 
Acelerando.windows. .norbert.r
Acelerando.windows. .norbert.rAcelerando.windows. .norbert.r
Acelerando.windows. .norbert.r
Checha Gutierrez
 
Acelerando windows-xp
Acelerando windows-xpAcelerando windows-xp
Acelerando windows-xp
Norbert R Ibañez
 
Socorrooo
SocorroooSocorrooo
Socorrooo
Fernando Tellado
 
Hack x crack_batch2
Hack x crack_batch2Hack x crack_batch2
Hack x crack_batch2
Juan Jose Garcia Sanchez
 
A Quien Pueda Ayudarme
A Quien Pueda AyudarmeA Quien Pueda Ayudarme
A Quien Pueda Ayudarme
olivia14
 
Guia Tinker Tool System Ok
Guia Tinker Tool System OkGuia Tinker Tool System Ok
Guia Tinker Tool System Ok
Fernando Tellado
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebas
Tensor
 
Primero quiero que entiendas algo
Primero quiero que entiendas algoPrimero quiero que entiendas algo
Primero quiero que entiendas algo
Andrea Paz
 
Aplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresAplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadores
Libardo Galvis
 
Aquienpueda Ayudarme
Aquienpueda AyudarmeAquienpueda Ayudarme
Aquienpueda Ayudarme
Iago Fernández
 
Whatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoriaWhatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoria
Yuri Serbolov
 
Clase 5
Clase 5Clase 5
Clase 5
Matias Provenzano
 
Trasher
TrasherTrasher
Trasher
Maria Borja Quispe
 
Como eliminar
Como eliminarComo eliminar
Como eliminar
Royny14
 
Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-
Kun Andy
 
Pc y problemas
Pc y problemasPc y problemas
Pc y problemas
DIANA QUEVEDO
 
Virus y vacunas en interneth
Virus y vacunas en internethVirus y vacunas en interneth
Virus y vacunas en interneth
luzmendy
 
Troyanos Alex y Victor
Troyanos Alex y VictorTroyanos Alex y Victor
Troyanos Alex y Victor
alexandra victor
 
Como funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyanoComo funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyano
Wilmer Gutierrez
 
Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)
luzmendy
 
Learn BEM: CSS Naming Convention
Learn BEM: CSS Naming ConventionLearn BEM: CSS Naming Convention
Learn BEM: CSS Naming Convention
In a Rocket
 
How to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media PlanHow to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media Plan
Post Planner
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
ux singapore
 

Más contenido relacionado

La actualidad más candente

Guia Tinker Tool System Ok
Guia Tinker Tool System OkGuia Tinker Tool System Ok
Guia Tinker Tool System Ok
Fernando Tellado
 
Aplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresAplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadores
Libardo Galvis
 
Como eliminar
Como eliminarComo eliminar
Como eliminar
Royny14
 

La actualidad más candente (15)

Acelerando windows-xp
Acelerando windows-xpAcelerando windows-xp
Acelerando windows-xp
 
Socorrooo
SocorroooSocorrooo
Socorrooo
 
Hack x crack_batch2
Hack x crack_batch2Hack x crack_batch2
Hack x crack_batch2
 
A Quien Pueda Ayudarme
A Quien Pueda AyudarmeA Quien Pueda Ayudarme
A Quien Pueda Ayudarme
 
Guia Tinker Tool System Ok
Guia Tinker Tool System OkGuia Tinker Tool System Ok
Guia Tinker Tool System Ok
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebas
 
Primero quiero que entiendas algo
Primero quiero que entiendas algoPrimero quiero que entiendas algo
Primero quiero que entiendas algo
 
Aplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresAplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadores
 
Aquienpueda Ayudarme
Aquienpueda AyudarmeAquienpueda Ayudarme
Aquienpueda Ayudarme
 
Whatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoriaWhatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoria
 
Clase 5
Clase 5Clase 5
Clase 5
 
Trasher
TrasherTrasher
Trasher
 
Como eliminar
Como eliminarComo eliminar
Como eliminar
 
Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-
 
Pc y problemas
Pc y problemasPc y problemas
Pc y problemas
 

Destacado

Virus y vacunas en interneth
Virus y vacunas en internethVirus y vacunas en interneth
Virus y vacunas en interneth
luzmendy
 
Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)
luzmendy
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Stanford GSB Corporate Governance Research Initiative
 

Destacado (9)

Virus y vacunas en interneth
Virus y vacunas en internethVirus y vacunas en interneth
Virus y vacunas en interneth
 
Troyanos Alex y Victor
Troyanos Alex y VictorTroyanos Alex y Victor
Troyanos Alex y Victor
 
Como funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyanoComo funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyano
 
Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)
 
Learn BEM: CSS Naming Convention
Learn BEM: CSS Naming ConventionLearn BEM: CSS Naming Convention
Learn BEM: CSS Naming Convention
 
How to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media PlanHow to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media Plan
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting Personal
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
 

Similar a librarse de un troyano (El libro del hacker capitulo 8)

Hack Crack Bindear
Hack Crack BindearHack Crack Bindear
Hack Crack Bindear
HxC Store
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
nimaferbo
 
Proyecto de soporte3
Proyecto de soporte3Proyecto de soporte3
Proyecto de soporte3
pejazo
 
Herramientas para ser un Hacker
Herramientas para ser un HackerHerramientas para ser un Hacker
Herramientas para ser un Hacker
xhash
 
Hack x crack_batch1sankrex
Hack x crack_batch1sankrexHack x crack_batch1sankrex
Hack x crack_batch1sankrex
DANYCO05
 
Introduccion a la seguridad informatica
Introduccion a la seguridad informaticaIntroduccion a la seguridad informatica
Introduccion a la seguridad informatica
Gustavo Diaz
 

Similar a librarse de un troyano (El libro del hacker capitulo 8) (20)

Cambia tu ip en 3 pasos y sin salir de la pc
Cambia tu ip en 3 pasos y sin salir de la pcCambia tu ip en 3 pasos y sin salir de la pc
Cambia tu ip en 3 pasos y sin salir de la pc
 
Programas antivirus
Programas antivirusProgramas antivirus
Programas antivirus
 
Hack x crack_bindear
Hack x crack_bindearHack x crack_bindear
Hack x crack_bindear
 
Hack Crack Bindear
Hack Crack BindearHack Crack Bindear
Hack Crack Bindear
 
Programas antivirus
Programas antivirusProgramas antivirus
Programas antivirus
 
Presentacion eduin gonzalez
Presentacion eduin gonzalezPresentacion eduin gonzalez
Presentacion eduin gonzalez
 
virus informaticos marina
virus informaticos marinavirus informaticos marina
virus informaticos marina
 
Sistemas sergio elver alvaro
Sistemas sergio elver alvaroSistemas sergio elver alvaro
Sistemas sergio elver alvaro
 
Hack x crack_batch1
Hack x crack_batch1Hack x crack_batch1
Hack x crack_batch1
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Proyecto de soporte3
Proyecto de soporte3Proyecto de soporte3
Proyecto de soporte3
 
Herramientas para ser un Hacker
Herramientas para ser un HackerHerramientas para ser un Hacker
Herramientas para ser un Hacker
 
Eliminar virus
Eliminar virusEliminar virus
Eliminar virus
 
trucoparaeliminarvirussinantivirus.doc.docx
trucoparaeliminarvirussinantivirus.doc.docxtrucoparaeliminarvirussinantivirus.doc.docx
trucoparaeliminarvirussinantivirus.doc.docx
 
Trucos de sistemas
Trucos de sistemasTrucos de sistemas
Trucos de sistemas
 
Presentacion del sistema operativo
Presentacion del sistema operativoPresentacion del sistema operativo
Presentacion del sistema operativo
 
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
 
Hack x crack_batch1
Hack x crack_batch1Hack x crack_batch1
Hack x crack_batch1
 
Hack x crack_batch1sankrex
Hack x crack_batch1sankrexHack x crack_batch1sankrex
Hack x crack_batch1sankrex
 
Introduccion a la seguridad informatica
Introduccion a la seguridad informaticaIntroduccion a la seguridad informatica
Introduccion a la seguridad informatica
 

Último

Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
jlorentemartos
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 

Último (20)

Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
 
Infografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfInfografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdf
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
semana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnnsemana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnn
 
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VSSEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.pptFUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 

librarse de un troyano (El libro del hacker capitulo 8)

  • 1. En esta página vamos a hablar de Mataprocesos Este pequeño programa, (hecho cuando comenzó el furor del Back Orifice) se llama "MataProcesos" y es una pequeña utilidad que cumple la función que debería estar incluída en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y cumple una tarea muy sencilla) nos será de enorme ayuda con el tema de la seguridad. Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable. Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación. Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador. Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM... Usando el MataProcesos para sacarnos de un apuro En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo así como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engañados. Ejecutamos, sin saberlo, un troyano. Tenemos que apurarnos a quitarnoslo de encima, porque por el momento también tiene acceso a nuestros archivos, para robarlos o borrarlos. El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.
  • 2. Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente: C:WINDOWSSYSTEMKERNEL32.DLL C:WINDOWSSYSTEMMSGSVR32.EXE C:WINDOWSSYSTEMmmtask.tsk C:WINDOWSEXPLORER.EXE C:WINDOWSTASKMON.EXE C:WINDOWSSYSTEMSYSTRAY.EXE C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE C:ARCHIVOS DE PROGRAMAICQICQ.EXE C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso? Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando. Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos: C:ARCHIVOS DE PROGRAMAICQICQ.EXE es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ. C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE se trata, como se podrán imaginar, del Outlook Express. C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo. También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error". Veamos: C:WINDOWSSYSTEMKERNEL32.DLL Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar. C:WINDOWSSYSTEMMSGSVR32.EXE
  • 3. Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad. C:WINDOWSSYSTEMmmtask.tsk Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza. C:WINDOWSEXPLORER.EXE Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente) C:WINDOWSTASKMON.EXE Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar... C:WINDOWSSYSTEMSYSTRAY.EXE Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece. C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora. Pues bien, ¿qué nos queda? C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE ¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones... C:WINDOWSPATCH.EXE es el maldito patch del NETBUS C:WINDOWSSYSTEM .EXE es el servidor del Back Orifice C:WINDOWSSYSTEMNSSX.EXE es el servidor del NetSphere
  • 4. C:WINDOWSWINDOW.EXE es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o una versión levemente modificada del NetBus) Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí! Para librarnos de ellos para siempre leamos los siguientes puntos... Aclaraciones: Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en: ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip 2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos. Para hacerlo correctamente hay que seguir los siguientes pasos: a) Nos desconectamos de Internet b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc... c) Ejecutamos el MataProcesos d) Ejecutamos una ventana de DOS e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: <nombre_de_nuestra_pc>:<puerto> Por ejemplo, podríamos tener el siguiente listado: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:30100 0.0.0.0:0 LISTENING TCP Donatien:30101 0.0.0.0:0 LISTENING TCP Donatien:30102 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:*
  • 5. Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035. f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo Ejemplo: decido matar al proceso llamado: C:WINDOWSSYSTEMNSSX.EXE que es muy sospechoso... Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_". Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente. Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y . Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystemnssx.exe" Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar. Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma
  • 6. revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" no es el unico lugar en el cual un troyano puede asegurarse el ser ejecutado en cada sesión. El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante nuevo, que se puede descargar de http://angelfire.com/ar/NetSphere/index2.html . Pueden usarlo para practicar, pero por favor, no sean "Lamers", no lo usen con otras personas, porque dejarían sus máquinas a merced de cualquiera, y si lo usan con ustedes mismos, tengan en cuenta de que no deben conectarse a Internet mientras tengan el troyano instalado. (justamente, para evitar eso es que explico todo esto). Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Pues bien, ahora procedamos a cerrar el proceso: C:WINDOWSWINDOW.EXE El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y... Proto Dirección local Dirección remota Estado TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos). Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:WINDOWSWINDOW.EXE C:WINDOWSWINDOW.EX_" Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo dejo librado al lector. Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos. Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza". Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar
  • 7. (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones. También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar). OK Si lo Deseas bajar Mataprocesos desde Aqui .