Información útil sobre Virus troyanos
Hoy os traigo un artículo, que encontré, sobre troyanos con mucha información y muy variada. con el objetivo de hacer mas comprensible el concepto de los virus troyanos.
Espero que os sea de utilidad:
Origen del nombre:Obviamente es una analogia del caballo de troya( el engaño mediante el cual los griegos lograron vencer a los troyanos) la aplicacion actual del "caballo" seria el echo de bindearlo a alguna archivos mediante el cual entrara "disfrazado" el troyano detrás de el. Obviamente el archivo estaria introducido en la pc de la victima o seria ejecutado por la victima mediante ingenieria social
Tipos de Troyanos:como sabemos los troyanos se basan en una conexion cliente servidor, es decir una de las partes indica que precisa y la otra parte se la entrega.
Esto genera una division entre los troyanos, los de conexion inversa y los de conexion directa. la escencia de la diferencia es:
- Troyanos de conexion directa:
oyen el puerto de la vitcima y es ahi donde la informacion es entregada, esto es util pero a la vez muy complicado de efectuar, ya que el firewall detecta rapidamente que hay "algo" escuchando en los puertos de la pc
- Troyanos de conexion inversa:
el cliente(el programa que nosotros poseemos)envia el pedido de informacion y el server.exe se coencta a Nuestra pc, lo que hace que no salte su av inmediatamente(lo que no kiere decir que obligatoriamente no lo haga)
Hey! me acabo de descargar el troyano y me salto el AV, no me quieres currar no?no!, lo que ah pasado es que tu antivirus detecto al creador del troyanos como tal y los elimina debido a que estos solo ayudan a crear mas troyanos dando vueltas, por lo cual los avs los bloquean para tratar de impedir que aumente la cantidad... la solucion para esto? desactiva temporalmente el av hasta que termine la descarga y luego crea una carpeta excluida del scan del antivirus, es decir que no la revise y ahi es donde tendrás q instalarlo y trabajar con él.
¿Porqué son tan detectados los troyanos publicos?es muy sencillo como no se pueden considerar ilegales a los troyanos como el bifrost o el poison ivy, debido a que estan caracterizados como herramientas de manejo remoto de pcs son todos muy utilizados con otros propositos(osea como troyanos para obtener informacion o simplemente divertirse), entonces al ser tan utilizados se tornan muy conocidos rapidamente, por lo cual las empresas de AVs se enteran rapidamente de su aparicion y los marcan como troyano y no como herramienta de manejo remoto y pasan a ser detectados y borrados...
una variante de estos troyano son los privados a los cuales se puede acceder pagando cierta suma de dinero, estos generalmente son menos conocidos por los avs y por lo tanto menos detectados.
¿Qué es lo que tengo que enviar?la forma de la que trabaja el troyano es enviando un primer archivo(.exe) desde el cual hace conexion hacia la pc ese archivo generalmente se denomina server.exe es altamente detectado por la mayoria de los avs(depende de ke troyano sea)todas las modificaciones que se deben hacer para que el troyano quede indetectado por cualquiera de los antivirus son echas al ser.exe, ya que este es el archivo que hay que enviar. Cabe aclarar que al enviar el archivo es conveniente enviarlo estando comprimido(ya que en el msn y en algunos emails no se pueden enviar .exes) y primero guardado en una carpeta uy luego comprimida la carpeta, xq sino la mayoria de los servers se "rompen" y dejan de ser funcionales
¿Como puedo hacer mis troyanos indetectables?hay varias formas:
-crypters (mas abajo estan explicados)
-Método Rit
-Método Frances (a falta de nombre original)
-Modificación hexadecimal
¿Cómo se si mi troyano es indetectado?muy facil una vez que tengas todo tu server preparado con los archivos unidos y todo te tenes ke dirigir a
Debe registrarse para ver este enlace. Gracias por su visita. o
Debe registrarse para ver este enlace. Gracias por su visita. y ahi subir tu servidor, ojo! SIEMPRE TENES QUE TILDAR LA OPCION DE DO NO DISTRIBUTE THIS SAMPLE, ya que si no lo haces y el server es detectado aunq sea por solo uno de los av tu archivo sera enviado a los otros av y será catalogado como troyano y ahi sonaste, sera altamente detectado en cuestion de dias.
¿Como añado a mis servers otros programas o archivos?es muy facil en este mismo foro hay toda una seccion de Binders Blinders y Joiners, todos los cuales permiten introducir dentro de un mismo archivo, como minimo dos archivos, hay muchas variantes algunos permiten solo unir archivos exe(como por ejemplo el iexpress de windows) y otros permiten unir infinitos archvos de diferentes extensiones dentro uno mismo, pero con el pequeño "problema" de que la extension final será un exe, lo cual puede resultar sospechoso si por ejemplo le añadiste un video.
Cabe decir que tanto los Binders como los Blinders y los Joiners son detectados por los antivirus y considerados como malwares, ya que colaboran con la distribucion de troyanos.
¿Que son los crypters?Los crypters son programas especializados en ocultar otros programas, con lo cual se burlan a los Antivirus y los troyanos se pueden ejecutar, logrando asi la infeccion :)
Quiero cargarme ese molesto AV de una vez por todas, asi puedo trabajar tranquilo,¿Como hago?es muy facil, si queres que el av de tu victima no te moleste mas a la hora de trabajr con tu troyanos, podes
Bindearle un avkiller, el cual se encarga de eliminar la mayoria de los av que pudiera llegar a tener instalado la pc. Estos son altamente detectados y no siempre funcionan, ya que por ejemplo con un cambio de version del av este puede estar instalado en otra carpeta totalmente diferente, sin contar que los procesos se pueden llamar de distinta manera, entonces no se pueden cerrar y al tratar de borrar los archivos los procesos lo impiden.
Muy bien y ahora ¿Qué hago con el firewall?muy facil, si ya tenes acceso a la pc y tiene el firewall de windows podes desactivarlo cambiando la clave registro de un uno a un 0
sino lo que podes hacer es bindear al mismo troyano un firewall killer que cumple las mismas funciones que un avkiller nomas ke bloquea y elimina a los firewalls mas conocidos del mercado... Muchas veces vienen ambos programas en uno solo, ahorrando las molestias de tenes que unir muchos archivos.
La importancia de los puertos:los puertos son la base de las conexiondes de pc, por lo tanto tambien para las conexiones de troyanos, la mayoria de los troyanos vienen con la opcion de configurar el puerto al cual conectan. Pero el asunto es, ¿Qué pasa si tengo los puertos cerrados?
pues la conexion no funcionará y por lo tanto el troyano quedará inutilizado hasta que los puertos no se abran...
Los problemas de la ip:ahora bien los troyanos se configuran para que conecten hacia algun destino(osea una ip) pero que sucede si yo tengo ip veriable(es decir que cambia cada vez que me conecto)?
hay una solucion para este problema que es más que sencilla, se denomina
Debe registrarse para ver este enlace. Gracias por su visita. y es un host en el cual vos te creas una cuenta y podes crear sevidores de forma gratuita, el requisito para poder utilizar los no-ip como direccion a la cual conectan las victimas es la instalcion de un programa (duc no-ip) en el cual se muestran todos los servers creados en tu cuenta y el estado de ellos...
Tengo mi Troyano indetectable, pero no funciona!!¿Qué paso?lo que ah sucedido es que has "roto" el server, es decir que con tanta encriptacion o con alguna de las modificciones que le hiziste al server borraste o cambiaste alguna parte del source y esta no se puede ejecutar, de manera tal que no funciona. una de las mejores maneras de detectar cuando un troyano se "rompe" es autoinfectandote, es decir probando ejecutar el programa a ver si este conecta o no, debes acordarte de cerrar el antivirus, para eliminar la duda de si este lo bloqueo o no, tenes que tener cuidado si es que le bindeaste algun avkiller xq puede llegar a borrar el tuyo.
BY Y3Rc0Fuente:
Debe registrarse para ver este enlace. Gracias por su visita.
|
|
|
Vistas: 430
Favoritos: 0 | 
Seguidores: 2 
Novedades
Mapa del sitio
Indice Web
RSS Feed