SlideShare una empresa de Scribd logo

librarse de un troyano (El libro del hacker capitulo 8)

Descargar como DOC, PDF
H
HammerBlanco

Este documento habla sobre el programa MataProcesos y cómo puede usarse para eliminar troyanos de una computadora. Explica que MataProcesos muestra una lista de todos los procesos ejecutándose y permite matarlos seleccionando el proceso deseado. Luego, da un ejemplo detallado de cómo usar MataProcesos y el comando Netstat para identificar y eliminar cuatro troyanos de una computadora infectada.

Educación
1 de 7
En esta página vamos a hablar de Mataprocesos Este pequeño programa, (hecho cuando comenzó el furor del Back Orifice) se llama "MataProcesos" y es una pequeña utilidad que cumple la función que debería estar incluída en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y cumple una tarea muy sencilla) nos será de enorme ayuda con el tema de la seguridad. Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable. Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación. Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador. Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM... Usando el MataProcesos para sacarnos de un apuro En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo así como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engañados. Ejecutamos, sin saberlo, un troyano. Tenemos que apurarnos a quitarnoslo de encima, porque por el momento también tiene acceso a nuestros archivos, para robarlos o borrarlos. El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.
Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente: C:WINDOWSSYSTEMKERNEL32.DLL C:WINDOWSSYSTEMMSGSVR32.EXE C:WINDOWSSYSTEMmmtask.tsk C:WINDOWSEXPLORER.EXE C:WINDOWSTASKMON.EXE C:WINDOWSSYSTEMSYSTRAY.EXE C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE C:ARCHIVOS DE PROGRAMAICQICQ.EXE C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso? Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando. Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos: C:ARCHIVOS DE PROGRAMAICQICQ.EXE es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ. C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE se trata, como se podrán imaginar, del Outlook Express. C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo. También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error". Veamos: C:WINDOWSSYSTEMKERNEL32.DLL Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar. C:WINDOWSSYSTEMMSGSVR32.EXE
Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad. C:WINDOWSSYSTEMmmtask.tsk Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza. C:WINDOWSEXPLORER.EXE Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente) C:WINDOWSTASKMON.EXE Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar... C:WINDOWSSYSTEMSYSTRAY.EXE Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece. C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora. Pues bien, ¿qué nos queda? C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE ¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones... C:WINDOWSPATCH.EXE es el maldito patch del NETBUS C:WINDOWSSYSTEM .EXE es el servidor del Back Orifice C:WINDOWSSYSTEMNSSX.EXE es el servidor del NetSphere
C:WINDOWSWINDOW.EXE es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o una versión levemente modificada del NetBus) Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí! Para librarnos de ellos para siempre leamos los siguientes puntos... Aclaraciones: Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en: ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip 2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos. Para hacerlo correctamente hay que seguir los siguientes pasos: a) Nos desconectamos de Internet b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc... c) Ejecutamos el MataProcesos d) Ejecutamos una ventana de DOS e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: <nombre_de_nuestra_pc>:<puerto> Por ejemplo, podríamos tener el siguiente listado: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:30100 0.0.0.0:0 LISTENING TCP Donatien:30101 0.0.0.0:0 LISTENING TCP Donatien:30102 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:*
Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035. f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo Ejemplo: decido matar al proceso llamado: C:WINDOWSSYSTEMNSSX.EXE que es muy sospechoso... Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_". Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente. Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y . Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystemnssx.exe" Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar. Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma
revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" no es el unico lugar en el cual un troyano puede asegurarse el ser ejecutado en cada sesión. El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante nuevo, que se puede descargar de http://angelfire.com/ar/NetSphere/index2.html . Pueden usarlo para practicar, pero por favor, no sean "Lamers", no lo usen con otras personas, porque dejarían sus máquinas a merced de cualquiera, y si lo usan con ustedes mismos, tengan en cuenta de que no deben conectarse a Internet mientras tengan el troyano instalado. (justamente, para evitar eso es que explico todo esto). Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Pues bien, ahora procedamos a cerrar el proceso: C:WINDOWSWINDOW.EXE El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y... Proto Dirección local Dirección remota Estado TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos). Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:WINDOWSWINDOW.EXE C:WINDOWSWINDOW.EX_" Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo dejo librado al lector. Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos. Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza". Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar
(como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones. También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar). OK Si lo Deseas bajar Mataprocesos desde Aqui .

Recomendados

Como desinfectar y proteger tu memoria usb de virus
Como desinfectar y proteger tu memoria usb de virusComo desinfectar y proteger tu memoria usb de virus
Como desinfectar y proteger tu memoria usb de virusvillxs
 
Batch
BatchBatch
Batchalan moreno
 
Doc trashes24214
Doc trashes24214Doc trashes24214
Doc trashes24214RICK RAMOS
 
Virus
VirusVirus
VirusCANDE GOMEZ
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Nestux Alfonso Rincón Garcia
 
Manual de Lenguaje Batch
Manual de Lenguaje BatchManual de Lenguaje Batch
Manual de Lenguaje BatchMauricio Melo
 
Acelerando.Windows.-.Norbert.R.pdf
Acelerando.Windows.-.Norbert.R.pdfAcelerando.Windows.-.Norbert.R.pdf
Acelerando.Windows.-.Norbert.R.pdfhome
 
Acelerando.windows. .norbert.r
Acelerando.windows. .norbert.rAcelerando.windows. .norbert.r
Acelerando.windows. .norbert.rChecha Gutierrez
 

Recomendados

Como desinfectar y proteger tu memoria usb de virus
Como desinfectar y proteger tu memoria usb de virusComo desinfectar y proteger tu memoria usb de virus
Como desinfectar y proteger tu memoria usb de virusvillxs
 
Batch
BatchBatch
Batchalan moreno
 
Doc trashes24214
Doc trashes24214Doc trashes24214
Doc trashes24214RICK RAMOS
 
Virus
VirusVirus
VirusCANDE GOMEZ
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Nestux Alfonso Rincón Garcia
 
Manual de Lenguaje Batch
Manual de Lenguaje BatchManual de Lenguaje Batch
Manual de Lenguaje BatchMauricio Melo
 
Acelerando.Windows.-.Norbert.R.pdf
Acelerando.Windows.-.Norbert.R.pdfAcelerando.Windows.-.Norbert.R.pdf
Acelerando.Windows.-.Norbert.R.pdfhome
 
Acelerando.windows. .norbert.r
Acelerando.windows. .norbert.rAcelerando.windows. .norbert.r
Acelerando.windows. .norbert.rChecha Gutierrez
 
Acelerando windows-xp
Acelerando windows-xpAcelerando windows-xp
Acelerando windows-xpNorbert R Ibañez
 
Socorrooo
SocorroooSocorrooo
SocorroooFernando Tellado
 
Hack x crack_batch2
Hack x crack_batch2Hack x crack_batch2
Hack x crack_batch2Juan Jose Garcia Sanchez
 
A Quien Pueda Ayudarme
A Quien Pueda AyudarmeA Quien Pueda Ayudarme
A Quien Pueda Ayudarmeolivia14
 
Guia Tinker Tool System Ok
Guia Tinker Tool System OkGuia Tinker Tool System Ok
Guia Tinker Tool System OkFernando Tellado
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebasTensor
 
Primero quiero que entiendas algo
Primero quiero que entiendas algoPrimero quiero que entiendas algo
Primero quiero que entiendas algoAndrea Paz
 
Aplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresAplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresLibardo Galvis
 
Aquienpueda Ayudarme
Aquienpueda AyudarmeAquienpueda Ayudarme
Aquienpueda AyudarmeIago Fernández
 
Whatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoriaWhatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoriaYuri Serbolov
 
Clase 5
Clase 5Clase 5
Clase 5Matias Provenzano
 
Trasher
TrasherTrasher
TrasherMaria Borja Quispe
 
Como eliminar
Como eliminarComo eliminar
Como eliminarRoyny14
 
Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-Kun Andy
 
Pc y problemas
Pc y problemasPc y problemas
Pc y problemasDIANA QUEVEDO
 
Virus y vacunas en interneth
Virus y vacunas en internethVirus y vacunas en interneth
Virus y vacunas en internethluzmendy
 
Troyanos Alex y Victor
Troyanos Alex y VictorTroyanos Alex y Victor
Troyanos Alex y Victoralexandra victor
 
Como funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyanoComo funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyanoWilmer Gutierrez
 
Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)luzmendy
 
Learn BEM: CSS Naming Convention
Learn BEM: CSS Naming ConventionLearn BEM: CSS Naming Convention
Learn BEM: CSS Naming ConventionIn a Rocket
 
How to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media PlanHow to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media PlanPost Planner
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldabaux singapore
 

Más contenido relacionado

La actualidad más candente

A Quien Pueda Ayudarme
A Quien Pueda AyudarmeA Quien Pueda Ayudarme
A Quien Pueda Ayudarmeolivia14
 
Guia Tinker Tool System Ok
Guia Tinker Tool System OkGuia Tinker Tool System Ok
Guia Tinker Tool System OkFernando Tellado
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebasTensor
 
Primero quiero que entiendas algo
Primero quiero que entiendas algoPrimero quiero que entiendas algo
Primero quiero que entiendas algoAndrea Paz
 
Aplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresAplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresLibardo Galvis
 
Whatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoriaWhatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoriaYuri Serbolov
 
Como eliminar
Como eliminarComo eliminar
Como eliminarRoyny14
 
Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-Kun Andy
 

La actualidad más candente (15)

Acelerando windows-xp
Acelerando windows-xpAcelerando windows-xp
Acelerando windows-xp
 
Socorrooo
SocorroooSocorrooo
Socorrooo
 
Hack x crack_batch2
Hack x crack_batch2Hack x crack_batch2
Hack x crack_batch2
 
A Quien Pueda Ayudarme
A Quien Pueda AyudarmeA Quien Pueda Ayudarme
A Quien Pueda Ayudarme
 
Guia Tinker Tool System Ok
Guia Tinker Tool System OkGuia Tinker Tool System Ok
Guia Tinker Tool System Ok
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebas
 
Primero quiero que entiendas algo
Primero quiero que entiendas algoPrimero quiero que entiendas algo
Primero quiero que entiendas algo
 
Aplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresAplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadores
 
Aquienpueda Ayudarme
Aquienpueda AyudarmeAquienpueda Ayudarme
Aquienpueda Ayudarme
 
Whatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoriaWhatsapp la app el monstruo tragamemoria
Whatsapp la app el monstruo tragamemoria
 
Clase 5
Clase 5Clase 5
Clase 5
 
Trasher
TrasherTrasher
Trasher
 
Como eliminar
Como eliminarComo eliminar
Como eliminar
 
Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-Informe ejecutivo fase 2.-
Informe ejecutivo fase 2.-
 
Pc y problemas
Pc y problemasPc y problemas
Pc y problemas
 

Destacado

Virus y vacunas en interneth
Virus y vacunas en internethVirus y vacunas en interneth
Virus y vacunas en internethluzmendy
 
Como funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyanoComo funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyanoWilmer Gutierrez
 
Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)luzmendy
 
Learn BEM: CSS Naming Convention
Learn BEM: CSS Naming ConventionLearn BEM: CSS Naming Convention
Learn BEM: CSS Naming ConventionIn a Rocket
 
How to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media PlanHow to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media PlanPost Planner
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldabaux singapore
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting PersonalKirsty Hulse
 

Destacado (9)

Virus y vacunas en interneth
Virus y vacunas en internethVirus y vacunas en interneth
Virus y vacunas en interneth
 
Troyanos Alex y Victor
Troyanos Alex y VictorTroyanos Alex y Victor
Troyanos Alex y Victor
 
Como funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyanoComo funciona un ataque efectuado por un troyano
Como funciona un ataque efectuado por un troyano
 
Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)Virus y vacunas en interneth (1)
Virus y vacunas en interneth (1)
 
Learn BEM: CSS Naming Convention
Learn BEM: CSS Naming ConventionLearn BEM: CSS Naming Convention
Learn BEM: CSS Naming Convention
 
How to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media PlanHow to Build a Dynamic Social Media Plan
How to Build a Dynamic Social Media Plan
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting Personal
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
 

Similar a librarse de un troyano (El libro del hacker capitulo 8)

Cambia tu ip en 3 pasos y sin salir de la pc
Cambia tu ip en 3 pasos y sin salir de la pcCambia tu ip en 3 pasos y sin salir de la pc
Cambia tu ip en 3 pasos y sin salir de la pcGuillermo Ce
 
Hack Crack Bindear
Hack Crack BindearHack Crack Bindear
Hack Crack BindearHxC Store
 
Sistemas sergio elver alvaro
Sistemas sergio elver alvaroSistemas sergio elver alvaro
Sistemas sergio elver alvaroHElver Caballero
 
Hack x crack_batch1
Hack x crack_batch1Hack x crack_batch1
Hack x crack_batch1Pablo Arce
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticosnimaferbo
 
Proyecto de soporte3
Proyecto de soporte3Proyecto de soporte3
Proyecto de soporte3pejazo
 
Herramientas para ser un Hacker
Herramientas para ser un HackerHerramientas para ser un Hacker
Herramientas para ser un Hackerxhash
 
Eliminar virus
Eliminar virusEliminar virus
Eliminar virusmanolo0164
 
trucoparaeliminarvirussinantivirus.doc.docx
trucoparaeliminarvirussinantivirus.doc.docxtrucoparaeliminarvirussinantivirus.doc.docx
trucoparaeliminarvirussinantivirus.doc.docxALEXV51
 
Presentacion del sistema operativo
Presentacion del sistema operativoPresentacion del sistema operativo
Presentacion del sistema operativochristian005
 
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...AbundioTeca
 
Hack x crack_batch1sankrex
Hack x crack_batch1sankrexHack x crack_batch1sankrex
Hack x crack_batch1sankrexDANYCO05
 
Introduccion a la seguridad informatica
Introduccion a la seguridad informaticaIntroduccion a la seguridad informatica
Introduccion a la seguridad informaticaGustavo Diaz
 

Similar a librarse de un troyano (El libro del hacker capitulo 8) (20)

Cambia tu ip en 3 pasos y sin salir de la pc
Cambia tu ip en 3 pasos y sin salir de la pcCambia tu ip en 3 pasos y sin salir de la pc
Cambia tu ip en 3 pasos y sin salir de la pc
 
Programas antivirus
Programas antivirusProgramas antivirus
Programas antivirus
 
Hack x crack_bindear
Hack x crack_bindearHack x crack_bindear
Hack x crack_bindear
 
Hack Crack Bindear
Hack Crack BindearHack Crack Bindear
Hack Crack Bindear
 
Programas antivirus
Programas antivirusProgramas antivirus
Programas antivirus
 
Presentacion eduin gonzalez
Presentacion eduin gonzalezPresentacion eduin gonzalez
Presentacion eduin gonzalez
 
virus informaticos marina
virus informaticos marinavirus informaticos marina
virus informaticos marina
 
Sistemas sergio elver alvaro
Sistemas sergio elver alvaroSistemas sergio elver alvaro
Sistemas sergio elver alvaro
 
Hack x crack_batch1
Hack x crack_batch1Hack x crack_batch1
Hack x crack_batch1
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Proyecto de soporte3
Proyecto de soporte3Proyecto de soporte3
Proyecto de soporte3
 
Herramientas para ser un Hacker
Herramientas para ser un HackerHerramientas para ser un Hacker
Herramientas para ser un Hacker
 
Eliminar virus
Eliminar virusEliminar virus
Eliminar virus
 
trucoparaeliminarvirussinantivirus.doc.docx
trucoparaeliminarvirussinantivirus.doc.docxtrucoparaeliminarvirussinantivirus.doc.docx
trucoparaeliminarvirussinantivirus.doc.docx
 
Trucos de sistemas
Trucos de sistemasTrucos de sistemas
Trucos de sistemas
 
Presentacion del sistema operativo
Presentacion del sistema operativoPresentacion del sistema operativo
Presentacion del sistema operativo
 
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
 
Hack x crack_batch1
Hack x crack_batch1Hack x crack_batch1
Hack x crack_batch1
 
Hack x crack_batch1sankrex
Hack x crack_batch1sankrexHack x crack_batch1sankrex
Hack x crack_batch1sankrex
 
Introduccion a la seguridad informatica
Introduccion a la seguridad informaticaIntroduccion a la seguridad informatica
Introduccion a la seguridad informatica
 

Último

Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfMARIAPAULAMAHECHAMOR
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteJuan Hernandez
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscaeliseo91
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docxCeciliaGuerreroGonza1
 
Factores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFactores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFlor Idalia Espinoza Ortega
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
Movimientos Precursores de La Independencia en Venezuela
Movimientos Precursores de La Independencia en VenezuelaMovimientos Precursores de La Independencia en Venezuela
Movimientos Precursores de La Independencia en Venezuelacocuyelquemao
 

Último (20)

Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdf
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fisca
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
Factores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFactores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamica
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
Movimientos Precursores de La Independencia en Venezuela
Movimientos Precursores de La Independencia en VenezuelaMovimientos Precursores de La Independencia en Venezuela
Movimientos Precursores de La Independencia en Venezuela
 

librarse de un troyano (El libro del hacker capitulo 8)

  • 1. En esta página vamos a hablar de Mataprocesos Este pequeño programa, (hecho cuando comenzó el furor del Back Orifice) se llama "MataProcesos" y es una pequeña utilidad que cumple la función que debería estar incluída en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y cumple una tarea muy sencilla) nos será de enorme ayuda con el tema de la seguridad. Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable. Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación. Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador. Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM... Usando el MataProcesos para sacarnos de un apuro En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo así como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engañados. Ejecutamos, sin saberlo, un troyano. Tenemos que apurarnos a quitarnoslo de encima, porque por el momento también tiene acceso a nuestros archivos, para robarlos o borrarlos. El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.
  • 2. Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente: C:WINDOWSSYSTEMKERNEL32.DLL C:WINDOWSSYSTEMMSGSVR32.EXE C:WINDOWSSYSTEMmmtask.tsk C:WINDOWSEXPLORER.EXE C:WINDOWSTASKMON.EXE C:WINDOWSSYSTEMSYSTRAY.EXE C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE C:ARCHIVOS DE PROGRAMAICQICQ.EXE C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso? Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando. Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos: C:ARCHIVOS DE PROGRAMAICQICQ.EXE es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ. C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE se trata, como se podrán imaginar, del Outlook Express. C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo. También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error". Veamos: C:WINDOWSSYSTEMKERNEL32.DLL Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar. C:WINDOWSSYSTEMMSGSVR32.EXE
  • 3. Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad. C:WINDOWSSYSTEMmmtask.tsk Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza. C:WINDOWSEXPLORER.EXE Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente) C:WINDOWSTASKMON.EXE Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar... C:WINDOWSSYSTEMSYSTRAY.EXE Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece. C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora. Pues bien, ¿qué nos queda? C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE ¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones... C:WINDOWSPATCH.EXE es el maldito patch del NETBUS C:WINDOWSSYSTEM .EXE es el servidor del Back Orifice C:WINDOWSSYSTEMNSSX.EXE es el servidor del NetSphere
  • 4. C:WINDOWSWINDOW.EXE es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o una versión levemente modificada del NetBus) Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí! Para librarnos de ellos para siempre leamos los siguientes puntos... Aclaraciones: Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en: ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip 2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos. Para hacerlo correctamente hay que seguir los siguientes pasos: a) Nos desconectamos de Internet b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc... c) Ejecutamos el MataProcesos d) Ejecutamos una ventana de DOS e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: <nombre_de_nuestra_pc>:<puerto> Por ejemplo, podríamos tener el siguiente listado: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:30100 0.0.0.0:0 LISTENING TCP Donatien:30101 0.0.0.0:0 LISTENING TCP Donatien:30102 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:*
  • 5. Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035. f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo Ejemplo: decido matar al proceso llamado: C:WINDOWSSYSTEMNSSX.EXE que es muy sospechoso... Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_". Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente. Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y . Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystemnssx.exe" Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar. Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma
  • 6. revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" no es el unico lugar en el cual un troyano puede asegurarse el ser ejecutado en cada sesión. El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante nuevo, que se puede descargar de http://angelfire.com/ar/NetSphere/index2.html . Pueden usarlo para practicar, pero por favor, no sean "Lamers", no lo usen con otras personas, porque dejarían sus máquinas a merced de cualquiera, y si lo usan con ustedes mismos, tengan en cuenta de que no deben conectarse a Internet mientras tengan el troyano instalado. (justamente, para evitar eso es que explico todo esto). Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta: Proto Dirección local Dirección remota Estado TCP Donatien:6711 0.0.0.0:0 LISTENING TCP Donatien:6776 0.0.0.0:0 LISTENING TCP Donatien:1243 0.0.0.0:0 LISTENING TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Pues bien, ahora procedamos a cerrar el proceso: C:WINDOWSWINDOW.EXE El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y... Proto Dirección local Dirección remota Estado TCP Donatien:1035 0.0.0.0:0 LISTENING UDP Donatien:1035 *:* Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos). Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:WINDOWSWINDOW.EXE C:WINDOWSWINDOW.EX_" Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo dejo librado al lector. Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos. Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza". Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar
  • 7. (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones. También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar). OK Si lo Deseas bajar Mataprocesos desde Aqui .