Troyanos: ¿que son? breve introducción

Fandi en un comentario sobre el virus del messenger IMG0024.zip preguntó si en el caso de que fuera un troyano, como funcionaria.

Funcionaria igual que todos los troyanos del mundo.

Un troyano es un programa que se instala en tu pc (o instalas porque te engañan, o te lo pasan y confiabas en esa persona, o eres ávido de conocimientos y te gusta probar cosas, o …) normalmente sin consentimiento y hace de servidor. Un servidor, como su propio nombre indica sirve (da, provee, reparte) los recursos que tenga que servir. Un servidor web, sirve webs, un servidor de correo, sirve correos y los manda… Pues un troyano sirve tu pc.

¿Como nacieron? quiero pensar que para asistencia remota, se te estropea el pc, me conecto desde mi casa y te lo arreglo (el MSN Messenger tiene esa opción). Pero como somos malos por naturaleza… A lo mejor nació simplemente con el propósito de fastidiar, y alguien lo uso para asistencia remota… no lo sé.

No todo el mundo puede acceder a tu pc si estas infectado por un troyano, sólo pueden acceder a tu pc los que sepan que estas infectado, y tengan el cliente de ese troyano. Un cliente es un programa que se beneficia de los recursos de un servidor. El internet explorer, firefox, opera,… son clientes webs, porque sirven para ver paginas web servidas por un servidor web, sirven para mas cosas, pero su funcionalidad básica y por simplificar, sirven para eso. un cliente bittorrent sirve para bajar archivos bittorrent… y asi con todo lo que tenga que ver con comunicación. (podria extenderme con los clientes y servidores pero no es el caso).

Cuando un cliente se conecta a un servidor, este cliente podrá hacer todo lo que le deje el servidor.

Ejemplo fácil:

cliente: navegador de internet

servidor: Google.com

El servidor jámas te hará la facturación separada por trienios de todas las empresas en las que has trabajado porque simplemente no es su función, la función de ese servidor es buscar y mostrártelo.

Recapitulando, tenemos un programa que hace de servidor de tu pc (troyano), y un cliente que accede a ese servidor.

¿Como saben los clientes que estoy infectado? puede ser por dos cosas: la primera de ellas es porque el que te lo ha enviado te conoce y sabe que te lo ha enviado y tiene el cliente calentito para usarlo contigo. Y la segunda es proque alguien se aburriría demasiado y hace un scan (escaneo) de ips y te encuentra (menos probable, pero me se de uno que empieza por x y acaba en hiena que hacia cosas de esas de joven xD).

Cuando un cliente del troyano se conecta al servidor, este puede hacer todo lo que le deje el servidor, como he comentado antes, y en estos casos suele ser todo. Desde copiar todos los archivos de tu pc, a abrirte la bandeja del cd, pasando por cambiarte la música que estés escuchando. Todo eso depende del servidor. Hubo un tiempo que triunfaron mucho, y toda la gente sabía juanquear (parodia de hackear) y cosas de esas. Hay muchos tipos de troyanos:

• los que permiten hacer tonterias (te abro la bandeja del cd, te muevo el raton, te apago el monitor).
• los que permiten ver cosas (tu webcam, lo que estas enviando a internet, el historial de navegacion, lo que tecleas (keyloggers), los programas abiertos…).
• los que permiten acceso total al sistema (mover archivos, descargarse archivos, subir archivos, borrar archivos).
• …

Clasificaciones hay muchas y tipos de programitas de estos también.

Centrándome en el caso concreto, ¿si el IMG0024.zip fuera un troyano que ve por la webcam, coge tus fotos, coge la información privada, la cifra y la envía a un servidor (creo que no me dejo nada de la pregunta) como funcionaria?, ¿como obtengo el server? o simplemente, ¿como funciona exactamente este programa? ¿en vez de server va todo por web?

Pues como he dicho antes, los troyanos suelen llevar implementado todo eso ya. Y por ejemplo, la mayoría de keyloggers (troyanos que capturan todas las teclas que pulsas del ratón) lo que suelen hacer es que el fichero donde lo guardan todo, lo envian por e-mail a una dirección que ha especificado el que ha echo el server.

Volviendo al caso, si el IMG0024.zip fuera un troyano que pudiera hacer todo eso, simplemente tendria que tenerlo implementado:

• Accedería al registro de hardware instalado para ver si tienes una webcam y si la tienes sacarte fotos.
• Haría una búsqueda por tus discos duros buscando todas las fotos (*.jpg, *.gif, *.bmp, *.png,…) y las guardaría / listaría / mandaría / …
• con la informacion privada haria lo pertinente, la sacaria (si esta echo para eso sabe donde está), la encriptaría, la mandaría,…

¿y como lo mandaría?

Pues depende del servidor donde la tenga que enviar, tendrá implementado su forma de envio. Si lo tiene que enviar a un servidor de correo, pues tendrá implementado un mini servidor smtp para enviar el correo o simplemente se conectara a una web y desde la web enviaría un correo. Si lo tiene que enviar a un ftp, no tendría que implementar nada porque todos los sistemas operativos tienen un cliente ftp integrado (por linea de comandos) y solo tendría que lanzar el comando.

Y creo que ya, sólo advertir que los que usan troyanos suelen usar ingeniería social para infectar a sus victimas (les intentan convencer engañándolos)