Back Orifice 2000
El Back Orifice (Orificio Trasero) surgió
durante el año 98 creado por un grupo de hackers llamado cDc (Cult of the Dead Cow = Culto de la vaca muerta). Este troyano
fue originalmente un programa para control y administración de redes que este grupo se encargó de modificar y convertirlo
en troyano. Se lo puede definir como un troyano porque cuando el programa cliente que permite tomar el control sobre la computadora
infectada se instala, lo hace sin dar ningún tipo de señal o aviso de su instalación.
Actualmente ya salió una segunda versión
conocida como BO2K (BO 2000) que funciona ahora también bajo Windows NT y Windows 2000 y que si bien pretenden presentarla
como el más eficiente y gratuito programa para manejo remoto de computadoras, está claro que mantiene su característica de
instalación/infección silenciosa y teniendo en cuenta algunas noticias recientes respecto de una puerta trasera (back door)
que contiene la versión anterior y que envía información a sus creadores, nos queda claro también que está lejos de ser un
programa confiable para tan delicada tarea.
Principales características
BackOrifice es un programa de control
remoto de computadoras y redes especialmente pensado y realizado para brindar acceso a través de internet o una red LAN -basadas
en el protocolo TCP/IP- a terceras personas.
Su primer versión funciona ínicamente
bajo Windows 95 y Windows 98.
La nueva versión BO2K funciona también
sobre Windows NT.
El troyano se transmite principalmente
como un ejecutable con cualquier nombre y con una extensión aproximada de 122 Kb. en su primer versión y 112 Kb. en la versión
BO2K que uno generalmente recibe a través de Internet, pero no necesariamente por esta vía. El troyano puedo ser adosado a
ejecutables de todo tipo razón por la cual los tamaños indicados se dan únicamente en los casos en que el troyano es enviado
en su forma original y sin aditamentos (plug-in's).
El acceso a la computadora puede realizarse
únicamente si la computadora se conecta a una red. Esta red puede ser del tipo Internet o una red LAN (Red de Area Local)
sin conexión a Internet.
El programa funciona como host, o sea,
queda en espera de una conexión con el programa y el password correcto.
Para sacar provecho de este programa,
el indeseable (pseudo-hacker) debe poder conocer el número de IP de la máquina infectada. El obtener el número de IP es algo
en general bastante sencillo, pero se facilita aún más al conectarse a sistemas de IRC (chat), o al utilizar programas como
el ICQ de Mirabilis.
Funciones de la primer versión
Las principales funcionalidades del
troyano y que pueden ser explotadas por quien tome el control remoto de nuestra computadora infectada son:
Tomar y enviar el nombre de la computadora,
el nombre del usuario y la información del sistema: tipo de procesador, cantidad de memoria, versión de Windows, drivers instalados
y el espacio libre en la computadora.
Reiniciar (rebootear) la computadora
infectada.
Compartir unidades (drives) seleccionadas.
Listar los contenidos del disco y realizar
búsquedas de archívos específicos.
Enviar/recibir archivos (leer y escribirlos),
como así tambien borrar, copiar, renombrar y ejecutarlos (inclusive actualizarlos).
Crear/borrar directorios.
Comprimir/descromprimir archivos.
Desconectar (logoff) al usuario actual
de la red local o de Internet.
Bloquear (colgar) la computadora.
Obtener la lista de absolutamente todos
los procesos (programas) en actividad. Aún de aquellos procesos no visibles para el usuario local.
Obtener la lista de recursos de la red
local LAN (si existiera) y conectarse a esos recursos (navegar por dentro de la red local).
Detener precesos (programas) determinados.
Capturar y recibir los passwords que
fueron utilizados en ventanas de ingreso de passwords del navegador, incluso desencriptar y recibir el passwords del protector
de pantallas (screen saver).
Desplegar ventanas con mensajes en nuestro
Windows.
Acceder al Registro del Sistema (Registry
System) y manipular con total libertad su información (leer, cambiar, borrar o agregar).
Abrir y redireccionar otros canales
TCP/IP para usar nuestra conexión como puente (bridge) y así navegar utilizando nuestro número de IP.
Acceder y navegar por nuestro disco
rígido y entorno de red utilizando un navegador de Internet.
Ejecutar un archivo de sonido.
Capturar nuestro teclado, guardar en
archivos LOG de nuestro rígido lo que tipeamos y leer toda esta información.
Ubicar la existencia de medios de captura
de video (webcams, sistemas de videoconferencia, etc.), capturar y transferir imágenes o generar y bajar archivos AVI de video
en movimiento.
Hacer capturas (video-dump) de lo que
el usuario este visualizando en el monitor y bajar estas pantallas a su computadora.
Mediante Plug-In's (aditamentos) agregar
o realizar mejoras a las funciones a anteriormente nombradas.
La única característica que hace que este utilitario sea
considerado como un programa troyano malicioso es su instalación y ejecución silenciosa (sin el consentimiento ni el conocimiento
del afectado). Cuando este programa se ejecuta, se instala a sí mismo en el sistema y entonces lo monitorea sin ningun tipo
de aviso ni mensaje. Si ya tenés al programa (BO) instalado en la computadora, no lo podrás encontrar en la lista de aplicaciones
en ejecución. El troyano no manifiesta su actividad en ninguna forma.
El troyano es distribuido en un paquete
de varios programas y documentaciones. Todos los programas del troyano fueron escritos en C++ y compilados con el Microsoft
Visual C++ Compiler. Todas las fechas de compilación del troyano fueron realizadas a finales de Julio - primera semana de
Agosto, de 1998. Todos los programas tienen el formato de Ejecutables Transportables (Portable Excutable) y pueden ser solo
ejecutados bajo Win32.
Cuando el troyano se instala en el sistema
crea el archivo WINDLL.DLL. En caso de necesidad el troyano carga este DLL dentro de la memoria y lo inicializa, el DLL entonces
captura las entradas del teclado y almacena la informacion capturada en los archivos BOFILEMAPPINGKEY y BOFILEMAPPINGCON que
quedan disponibles para la rutina principal del troyano.
Cuando el troyano se ejecuta en la computadora,
primero que todo detecta su propio estado: si es la copia original o una copia "pegada" (attacheada) a un programa infectado
que hizo de anfitrión. El troyano ubica las opciones preconfiguradas en el programa infectado y las lee.
El troyano entonces crea el archivo
WINDLL.DLL en el directorio System de Windows (este archivo es guardado como un recurso por el troyano), entonces toma las
direcciones de varias API (aplicaciones) que utilizan el KERNEL32.DLL para futuros usos, busca troyanos ya ejecutados y de
existir los actualiza, se copia a sí mismo al directorio System de Windows y registra esta copia en el Registro del Sistema
(System Registry) como un servicio (programa) auto-ejecutable:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
Muchas otras veces el troyano una vez
instalado se lo encuentra en el directorio System de Windows bajo el nombre ".exe" (sin las comillas).
Crea un canal TCP/IP, le asigna (por
defecto) un número de port 31337 y lo abre para quedar "a la escucha" (aunque este puerto puede ser cambiado al configurar
el programa cliente). El troyano ejecuta entonces un bucle estandar de Windows DispatchMessage (envío de mensaje) y de esta
forma se mantiene en la memoria de Windows como un proceso con atributo de invisible (este hace que no aparezca en la lista
de programas en Ejecución -ALT+TAB- y que no sea visible en el Administrador de Tareas -Task Manager-).
La rutina principal del troyano entonces
queda "a la escucha" de comandos enviados desde el programa remoto que funciona como Cliente. Los comandos llegan en forma
encriptada y comienzan con la cadena de identificación "*!*QWTY?" (sin las comillas).
El programa servidor (host) responderá
con un "PONG" en el momento en que -estando conectados- un programa cliente realice un PING sobre el port en el que esté configurado
siempre y cuando el programa Servidor (host) no esté configurado con un password, o el PING sea realizado con el password
adecuado. Seguramente, los mismos creadores deben tener métodos para detectar máquinas infectadas aún no sabiendo el password,
además de tener sin duda herramientas para cambiar el password con el que programa servidor esté configurado así como existen
herramientas similares para Netbus.
El programa cliente trae incorporado
un sistema de Ping Sweep que permite hacer búsquedas secuenciales de números de IP a partir de una lista de números de IP
de proveedores de acceso o servidores de extranets que puede ser provista al programa a través de un archivo TXT plano. Durante
el funcionamiento de esta rutina de Ping Sweep el programa hackea a su vez a quien está utilizando este programa Cliente y
envía información (no se aún de que tipo) a la gente del sitio www.netninja.com obviamente ligada con los creadores o probablemente
sean los creadores mismos. En base a la cantidad de puertos simultaneos que abre, lo probable es que envíe información de
los números de IP de sistemas infectados que encuentre durante la búsqueda. De esta forma los creadores podrían estar recibiendo
cientos de miles de números de IP de computadoras infectadas alrededor del mundo desde el primer momento en que fué lanzado
el troyano gracias a la "colaboración" de quienes utilizan el programa cliente.
Funciones de la versión 2000
La versión BO2K lanzada a mediados del
año 1999 fué programada por DilDog del grupo cDc (Cult of the Dead Cow) basandose en el código de la versión original producida
por el programador de alias Sir Dystic's de ese mismo grupo.
Según su propio creador el objetivo
de esta nueva versión es la de "mejorar las capacidades de administración remota del sistema operativo Windows y destacar
que Windows no fué diseñado pensando en la seguridad" (ciertamente, algo por demás demostrado).
Las funcionalidades de esta versión
prácticamente no han cambiado respecto de la versión anterior en cuanto a los comandos que permite ejecutar remotamente. Se
han mejorado algunos, se arreglaron otros, y se incluyeron unos pocos. Las principales mejoras se encuentran en el área de
la transferencia de archivos y el manejo del Registro de Windows.
Teniendo en cuenta que BO2K es una versión
completamente reescrita esta nueva versión incluye la posibilidad de comunicaciónes UPD o TCP/IP y una flexible y escalable
posibilidad de ampliación de sus funcionalidades a través de plug-in's que permiten extender cada pequeña parte del programa.
También incluye plug-in's que permiten comunicaciones con encriptación segura (sólo en la versión de distribución para Estados
Unidos -US-). Además esta versión permite trabajar con sesiones múltiples lo que significa que pueden ser manejadas varias
computadoras al mismo tiempo o varios Servidores (hosts) funcionando en una misma computadora en distintos puertos (ports).
Entre las características agregadas
se encuentran:
Solicitar la información de la versión
de BO 2000 que está funcionando en la computador remota.
Utilizar los servicios de Servidores de Nombres (DNS) de la computadora
remota para resolver nombres de servidores y direcciones.
Mediante plug-in: encriptación de la información transmitida
entre el programa Servidor y el programa Cliente.
Mediante plug-in: manejo remoto del mouse y el teclado así como del
escritorio de Windows.
Mediante plug-in: encriptación de paquetes utilizando XOR o 3DES.
Mediante plug-in: administración
mediante interface gráfico del Registro de Windows en la computadora remota.
Solicitud de password para la conexión al
programa Servidor.
Elegir entre la posibilidad de que se ejecute o no al iniciarse el Windows.
Borrar o no el ejecutable
original luego de instalarse en la computadora remota.
Mantenerse escondido en la lista de procesos (programas) en funcionamiento
si/no.
Cambiar el nombre con que aparece en la lista de tareas (por defecto: "Explorer")
Elegir el nombre con el que
aparecerá en la lista de servicios de Windows NT. Por defecto "Remote Administration Service".
Entre las funciones que
han sido mejoradas se encuentran:
Completa manipulación del Registro de
Windows.
Ejecutar sonidos en la computadora remota una vez o en loop indefinido.
Cargar o descargar aditamentos (plug-in's)
en forma dinámica tanto programados para la versión nueva como para la anterior.
El paquete de distribución incluye un
programa de configuración del servidor que funcionará en la computadora remota. Este programa de configuración no tiene pre-definido
ningún puerto en particular por lo que no existe ya la posibilidad de reducir las posibilidades de conexión bloqueando el
puerto que anteriormente se conocía como el puerto por defecto (31337) que era lo que hace el NOBO y otros tantos programas
de bloqueo para la versión anterior. En cambio, para comunicaciones UDP el puerto por defecto es 54321.
BAJO WINDOWS 95/97/98/2000
Por defecto, el programa servidor se
instala en el directorio \windows\system bajo el nombre UMGR32~1.EXE (el nombre con que se lo ve bajo DOS).
El siguiente Registro de Windows es
modificado:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices]
"UMGR32.EXE"= "C:\\WINDOWS\\SYSTEM\\UMGR32.EXE
e"
Nota: el programa servidor en la versión
actual no tiene una extensión ".EXE" sino que su extensión es ".EXE" seguido por 230 espacios y finalmente la letra "e". Todo
esto compone la extensión. Por esta razón cuando se realiza una búsqueda con un antivirus hay que hacer un chequeo de TODOS
los archivos ya que de lo contrario, por esta extensión inválida el antivirus pasará por sobre este archivo.
BAJO Windows NT
Por defecto, al igual que en Win95,
el nombre del programa servidor es UMGR32~1.EXE (como se lo ve bajo DOS), pero es grabado en el directorio c:\winnt\system32
El Registro es modificado en las siguientes
ubicaciónes:
[HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\
Remote Administration Service]
Y allí grabados los siguientes parámetros:
"Type"=00000110
"Start"=00000002
"ErrorControl"=00000000
"ImagePath"= "C:\WINNT\ System32\UMGR32.EXE e"
"DisplayName"="Remote Administration Service"
"ObjectName"="LocalSystem"
[HKEY_LOCAL_MACHINE\ SYSTEM\ControlSet001\
Services\Remote Administration Service\Security]
"Security"= (una larga cadena de valores
hexadecimales)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
Remote Administration Service\Enum]
"0"="Root\LEGACY_REMOTE ADMINISTRATION
SERVICE\0000"
"Count"=00000001
"NextInstance"=00000001
La siguiente vez que el Windows es reiniciado,
el BO2K se carga y modifica las siguientes ubicaciones del Registro:
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\
Remote Administration Service]
"Type"=00000110
"Start"=00000002
"ErrorControl"=00000000
"ImagePath"="C:\WINNT\System32\UMGR32.EXE e"
"DisplayName"="Remote Administration Service"
"ObjectName"="LocalSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\
Remote Administration Service]
"Security"= (una larga cadena de valores
hexadecimales)
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\
Remote Administration Service]
"0"="Root\LEGACY_REMOTE ADMINISTRATION
SERVICE\0000"
"Count"=00000001
"NextInstance"=00000001
ESCONDIÉNDOSE
Bajo Windows NT el servidor (UMGR32.EXE)
intenta esconder su proceso expandiendo la memoria asignada a una cadena (thread) de caracteres existente, entonces se copia
a sí mismo dentro de esta porción de memoria creando luego una cadena (thread) remota que trabaja en el espacio de proceso
de la primer cadena (thread). El programa original entonces termina y su proceso desaparece de memoria.
Bajo Windows 95/97/98/2000 el programa
servidor usa una técnica diferente para esconderse de los entrometidos. Modifica el Kernel del sistema operativo de forma
tal que cualquier llamada a funciones del sistema operativo que listan los procesos en ejecucción es pasada al programa servidor
en vez de al sistema operativo. Esta nueva función en el programa servidor 'salta' por sobre su propio proceso y por lo tanto
'esconde' el proceso del servidor. La versión 1.0 del servidor de BO 2000 parece tener un Bug que le impide a este mecanismo
funcionar bajo Windows 98 Segunda Edición v4.10.2222 A. Cuando se ejecuta bajo este sistema operativo el programa servidor
causa un error de 'operación ilegal' y no queda residente. Aunque aún así copia el archivo a windows\system\umgr32.exe y produce
los cambios en el Registro que le permiten ejecutarse al iniciarse Windows (si el servidor fue configurado de esta manera),
esto resulta en un error que se produce cada vez que el Windows se inicia.
Síntomas de la infección
Back Orifice tiene características particulares
de este tipo de troyano y para detectar síntomas estudiemos algunas de sus características más visibles desde el punto de
vista de la "victima":
Compartir unidades (drives) seleccionadas.
Si
se tuviera una Red, el indeseable puede tener acceso a los recursos compartidos. Si aparecieran síntomas de acciones de terceros
(desaparición o aparición de archivos y directorios) podría significar una infección.
Listar los contenidos del disco y realizar
búsquedas de archívos específicos.
Los listados de directorios y especialmente las búsquedas generan actividad en nuestro
rígido. Muchas veces, ante una situación particular que no debería requerir mayor utilización de nuestro disco nos encontramos
con que el mismo entra en actividad por períodos intermitentemente. Si bien puede haber programas en background (tareas no
visibles) funcionando, podemos fundamentalmente verificar esto cerrando todos los programas en actividad.
Enviar/recibir archivos (leer y escribirlos),
como así tambien borrar, copiar, renombrar y ejecutarlos (inclusive actualizarlos).
Al igual que en el caso anterior, la
transferencia de archivos genera una actividad del rígido constante con intermitencias en períodos regulares, si cerramos
todos los programas y esto continúa y al mismo tiempo verificamos que existe transferencia real de datos a traves de las luces
de nuestro modem externo o el ícono de conexión de nuestro Windows (para modems internos), es entonces una clara señal de
alerta.
Crear/borrar directorios.
Muchas
veces, los indeseables como señal de su paso y en muchos casos como pruebas (ya que aprenden y practican con las máquinas
ajenas fundamentalmente) generan o borran directorios. Así que si encontramos directorios que no podemos justificar estar
alertas. Como alternativa, tengamos en cuenta que hay programas que durante su instalación generan directorios (especialmente
dentro del directorio Temp), como así también la creación de directorios por error, en el caso de usuarios poco experimentados,
o el uso de una misma computadora por parte de varias personas.
Comprimir/descromprimir archivos.
Idem
punto 2.
Desconectar (logoff) al usuario actual.
Clara
señal de infección de Back Orifice (aunque también de Netbus) es el repetido corte de nuestra conexión con nuestro proveedor.
Si bien esto hace que el indeseable se quede sin posibilidad de seguir conectado a nuestra computadora, muchas veces esta
conducta es tomada como represalia por parte de algún usuario de un canal de chat o algún conocido por Internet que de pronto
se ha vuelto nuestro enemigo. Eso si, tengamos en cuenta alternativas como por ejemplo el tener habilitado el servicio de
Aviso de Llamada en Espera (en el servicio telefónico) que produce cortes de conexión cada vez que introduce el BEEP de aviso
en la comunicación, y también tengamos en cuenta como posibilidad el tener inconvenientes en la instalación física del cableado
y fichas de conexión que puede estar produciendo descargas y por ende ruido en la línea. Esto último debería ser audible en
una comunicación telefónica normal (persona a persona).
Bloquear (colgar) la computadora.
Este
síntoma, tal como lo mencionamos en la sección de Síntomas Generales deber ser muy atendible, aunque como en todos los casos,
también puede dar lugar a confusión. Conociendo a Windows y en particular a toda la gran (y poco feliz) familia de productos
Microsoft, no es novedad que el Windows y sus programas tienden a colgarse bastante. Lo que quizás es atendible el hecho de
que se cuelgue la computadora sin que -a nuestro criterio- hayamos hecho nada que pudiera producir un bloqueo tan repentino
y que no permite otra opción más que reiniciar la computadora.
Enumerar y enviar la lista de procesos
en actividad.
Si aparece alguien haciendoles algún chiste o comentario sobre los programas que en ese momento están ejecutando,
entonces no crean que es un chiste así nomás... casi seguro esa persona está conectada mediante Back Orifice con tu computadora.
Detener precesos determinados.
Este
es otro gran síntoma... que sin razón alguna un programa se cierre. Esto no es más que un síntoma de que alguien está jugando
con nuestra computadora y sin duda que estaremos infectados.
Capturar y enviar passwords que fueron
utilizados, incluso desencripta y envia el password del screen saver (protector de pantalla).
Estando infectados, esta
opción permite capturar el nombre de usuario y password que estemos utilizando para conectarnos con nuestro proveedor de acceso
a Internet. Es probable que si de pronto nos vemos en repetidas ocasiones imposibilitados de conectarnos porque nuestro proveedor
no permite accesos duplicados, es probable que sea porque el indeseable esta robando nuestro acceso. Y como también el password
de acceso suele ser tambien el mismo que el del E-mail también pueden pasar cosas raras con nuestro correo. Un cambio de clave
ayuda, pero no mucho si aún estamos infectados ya que la próxima que nos ubique va a nuevamente robarse nuestra clave.
Desplegar ventanas con mensajes en nuestro
Windows.
Obvio, si se les abren raras ventanas con raros textos, no lo duden, estan infectados, aunque también puede ser
Netbus.
Ejecutar un archivo de sonido.
Sin
duda que si sin razón alguna empiezan a ejecutarse sonidos, mala señal.
Capturar, guardar y enviar entradas
realizadas por el teclado mientras el usuario ingresa a la red.
Un rastro habitual del uso de este comando es encontrar
en el directorio raíz archivos sin extensión o .txt que si los abrimos con el Notepad (libreta de anotaciones) nos encontraremos
con que podremos ahí encontrar cosas que escribimos durante una conexión a Internet (quizas un chat, mensajes que escribimos
por ICQ, o cualquier otra cosa). Todo queda capturado en ese archivo. Como el BO queda en memoria y activo aún después de
haber cortado la comunicación, si el indeseable activa esta opción durante la conexión, la captura continuará aún después
de cortar la comunicación y hasta el momento en que apaguemos o reiniciemos la computadora.
Ubicar la existencia de medios de captura
de video (webcams, sistemas de videoconferencia, etc.), capturar y transferir imágenes o generar y bajar videos AVI desde
estos medios.
Si uno posee algun tipo de cámara para videoconferencias y uno encuentra archivos .avi o imágenes capturadas
que no reconocés haberlas creado personalmente, entonces sospechar inmediatamente.
Hacer capturas (screen-dump) de lo que
el usuario este visualizando en el monitor y bajarla a su computadora.
En este caso, como en el de la captura de teclado,
el rastro más común es el de encontrar archivos .gif bastante grandes que cuando uno los ve encuentra como imágen lo que sería
una captura de la pantalla de la computadora en un momento dado.
Forma de detectar y remover
Existen formas simples y más complejas
para la detección e igualmente para la remoción. Podríamos también dividirlas en manuales y através de programas.
Qué diferencia unas de otras? fundamentalmente
que las formas manuales de detección tienen un grado de certeza mayor mientras que las realizadas a través de programas (ejemplo,
antivirus) pueden fallar a partir del momento en que se le hace algún tipo, aunque sea mínimo, de cambios al troyano y ya
el antivirus puede no llegar a detectarlo o por el simple hecho de que el antivirus no tenga una base de virus completa y
actualizada. Por lo tanto, la utilización de un programa antivirus o detector especializado puede ser una excelente primer
medida, pero si se quiere estar un tanto más tranquilo/a no estaría mal recurrir también a un método manual y de no contar
con el conocimiento técnico pedirle a alguien conocido que lo haga por nosotros.
Por otra parte, el hacer que un antivirus,
aún super actualizado, chequee un ejecutable en función de saber si puede o no estar infectado no es siempre 100% confiable.
Existen por ejemplo programas que se utilizan para pegar el Back Orifice a un ejecutable cualquiera, y cuando se utilizan
ese tipo de programas, el troyano en sí mismo es modificado de tal forma que el antivirus no lo detecta en el ejecutable ni
tampoco detecta la infección sino hasta luego de un rato en el mejor de los casos. Moraleja? la de siempre, los antivirus
no son infalibles y ejecutar cosas por curiosidad a veces puede producir un gran dolor de cabeza.
Cómo se detecta?
Existe una huella inalterable que todos
los troyanos en general dejan y es en el Registro de Windows. Allí se guarda la información de todos los programas instalados
y es allí donde los troyanos también están obligados a incorporar algunas líneas para poder enmascarar su funcionamiento y
así lograr no estar visibles en la lista de tareas que se están ejecutando. Aunque no es una tarea extremadamente compleja,
sin duda que chequear el Registro con el programa Regedit es algo que de ser posible es mejor sea realizada por una persona
con cierto nivel técnico, pero repito, no necesariamente.
La ejecución del REGEDIT.EXE realizando
los siguientes pasos:
Presionar en Inicio/Start
Clickear
en Ejecutar/Run
En la ventana emergente tipear el nombre del programa: regedit.exe (no importa si es mayúsculas o minúsculas)
y presionar Intro/Enter.
El programa se ejecutará y una vez allí
Una vez que tenemos el Regedit.exe funcionando lo
que veremos es algo similar a lo que vemos cuando navegamos nuestro disco rígido con el Explorador de Windows. Allí, agrupados
en forma de arbol con ramas y subramas, vamos a encontrar los distintos valores de los distintos registros para los programas
que tengamos en la computadora.
En la medida en que sólo naveguemos
por dentro del Registro no hay posibilidades de dañar nada, pero recomendable es no hacer más que eso a menos que se tengan
conocimientos técnicos suficientes.
Y ahí dentro que hago? bueno, vas a
las secciónes de este web que contienen Precisiones Técnicas sobre las diversas versiones de troyanos y ahí vas a encontrar
la posición dentro del Registro que cada troyano cambia o genera.
Y entonces? en las Precisiones Técnicas
vas a encontrar que los troyanos como Back Orifice, Netbus y otros generan ciertas variables con ciertos valores, si en esa
posición del árbol encontrás esas variables y valores entonces eso es señal garantida de infección.
Y si encuentro esos valores y estoy
infectado/a? entonces vas a encontrar que en alguno de esos valores se especifica el directorio y el nombre del troyano. Los
pasos siguientes ya son más complejos y riesgosos por lo que te recomiendo que sólo los sigas si tenés un nivel de conocimientos
técnicos aceptables de lo contrario mejor pedir ayuda a algún amigo que los tenga.
Cómo se remueve?
Remover un troyano requiere básicamente
de tres etapas:
Remover las variables del Registro de
Windows relacionadas.
Reiniciar la máquina
Remover el ejecutable del troyano y de ser posible también sus librerías
.dll
Vamos a ver entonces cada uno de estos pasos.
Remover las variables del Registro de
Windows relacionadas.
Con la información relacionada al Registro
de Windows que encontramos en las precisiones técnicas del troyano en cuestión, ejecutamos el REGEDIT.EXE siguiendo los pasos
que aparecen más arriba, y se navega por el árbol del Registro hasta llegar al indicado en las precisiones. Una vez allí,
si estamos infectados vamos a encontrar las variables y los valores tal cual figuarn en las precisiones. Si encontramos otras
variables distintas NO BORRARLAS, y si encontramos las variables que grabó el troyano y también otras más, tampoco remover
esas otras variables distintas a las generadas por el troyano.
Haciendo un click sobre alguna de las
variables vamos a ver que queda seleccionada, y si luego presionamos el botón derecho del mouse vamos a ver que aparece la
opción Remover/Delete. Utilizando esa opción lograremos borrar esas variables.
La importancia de esta acción consiste
en que, una vez removidas estas variables, el troyano ya no se cargará más en memoria a partir de la próxima vez que reiniciemos
Windows, razón por la cual ya podremos pasar a removerlo porque que de lo contrario, aún cuando detectaramos al troyano, si
estuviera en memoria no podríamos removerlo manualmente porque el Windows no lo permitiría.
Ah! un dato importante!! antes de borrar
las variables, anotar el directorio de funcionamiento y el nombre del troyano. Estos datos figuran en una de las variables
que seguramente va a decir algo como c:\windows\...
Reiniciar la máquina
Reiniciar la computadora no es nada
nuevo, es más, si utilizan Windows casi que podrían recibir un diploma de especialistas en la materia. Así que pasemos al
siguiente punto.
Remover el ejecutable del troyano y
de ser posible también sus librerías .dll
Con el dato de a donde se encuentra
y con qué nombre iremos tras su búsqueda y una vez que lo encontremos lo borramos, sin ningún tipo de piedad. Veamos también
que en las precisiones técnicas también se suelen nombrar algunas librerías .dll que sería bueno también ubicar y borrar...
puede suceder que los nombres de estas librerías difieran de las nombradas en las precisiones, y si es así no va a ser tan
fácil ubicarlas, pero llegado este caso no hay peligro alguno en que esas librerías queden, ya que de por sí no significan
peligro alguno.
Noticias Relevantes
Se descubrió que el programa cliente
de Back Orifice (en su primer versión) tiene dentro rutinas que envían información de la computadora en la que se está utilizando
el programa a los hackers del sitio http://www.netninja.com/.Esto no es ciencia ficción y lo comprobé personalmente mediante
el método descripto para verificar tal "anomalía".Esta información es enviada hacia alguno de los números de IP de estos hackers
momentos después de que se comienza a utilizar la función de ping sweep, específicamente pensada para la búsqueda secuencial
de números de IP a la pesca de computadoras infectadas con este troyano.Quienes quieran comprobarlo y verlo con sus propios
ojos no tienen más que echar a correr esa funcionalidad y al mismo tiempo abrir una ventana de DOS y en ella ejecutar el comando:netstat
-a -n 1>ns.txtSi prefieren verlo en tiempo real eliminen la parte final de '>ns.txt' que hace que la salida de información
se guarde en ese archivo.Si observan verán que un poco después de comenzado el ping sweep el programa comenzará a conectarse
utilizando diferentes ports locales a un port 80 remoto de una dirección IP igual o similar a esta: 209.25.3.113. De quién
es? si, claro de www.netninja.com que evidentemente tienen algún tipo de relación, o son los mismos creadores del Back Orifice.Sospechosamente,
la version 2000 de Back Orifice fue, desde un principio, promocionada por sus propios creadores -la gente de cDc, Cult of
the Dead Cow- como un eficiente y gratuito software de control de redes y administración remota de computadoras... justamente,
la funcionalidad que originalmente tenía este programa que luego adaptaron para que se convirtiera en un troyano. Sinceramente,
lejos estaría de pensar utilizar semejante programa para semejantes tareas, sobre todo en vistas de que a partir de este momento
podemos aseverar que el cazador indeseable estuvo siendo cazado desde un primer momento.Señores indeseables: disculpen por
la mala noticia.Al margen, esta gente de cDc parece estar esmerándose mucho para poder ser noticia de tapa en el 2000 como
ya lo fueron en el '99.
