Kerozine 1-2: Sacándonos un troyano de encima
En esta nota voya describir mis métodos para cuando tenemos que sacarnos de encima un troyano, o sospechamos que tenemos uno y debemos detectarlo. Algunos sintomas de que podemos ser los felices portadores de un troyano son:
- La maquina se vuelve más lenta que lo usual
- Se cuelga más seguido
- Intenta conectarse a Internet luego de iniciar el Win
- La conexión a Internet se vueleve inestable
- Reinicios del sistema inesperados mientras navegamos
- Es más posible esto si somos usuarios de software ilegal
- Si no tenemos antivirus o éste se halla desactualizado
- Estamos navegando y se nos abre la compactera
- Nos desaparecen documentos
- Nos aparecen mensajeitos y ventanas weirdow
- Fiebre muy alta y vomitos ;)
Como detectarlos:
Para buscar troyanos en nuestra PC podemos hacer varias cosas:
- Primero que todo pasamos un port scanner en los protocolos TCP y UDP de nuestra PC, del puerto 1 al 65535. Personalmente recomiendo el Hars TCP/IP protector, por la cantidad de información que nos da acerca de los puertos usados y sus servicios más comunes, además de la inclusión de un cliente de Telnet y un logger y replier de conexiones.
- Cuando tengamos los resultados del escaneo, averiguamos la función de cada puerto en los RFC o en la lista completa que hay en la sección de textos a full de hackemate.com.ar.
- Ejecutamos el Editor del Registro, mediante inicio/ejecutar/ Regedit. Cuando estamos ahi nos dirijimos a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\
y chequeamos todas las claves de las cadenas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnceEX
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunServicesOnce
Buscando alguna con nombre medio raro y que se halle, generalmente en C:\Windows o C:\Windows\System. En esas claves se hallan todas las aplicaciones que se inician cuando iniciamos Windows. También podemos buscar troyanos en el win.ini y autoexec.bat editándolos con el notepad o wordpad. Si llegamos a descubrir el troyano, primero que todo, nos bajamos el MataProcesos, un programita muy util cuya función es mostranos todos los procesos que están corriendo, con la posibilidad de cerrarlos o matarlos. Pueden bajarlo de la sección HackWare de Hackemate. Luego lo ejecutamos, vamos a la barra tray y lo abrimos, veremos una pequeña ventana que nos mostrará los procesos en ejecución y su localización, luego buscamos al troyano en esa lista, detenemos su ejecución, para de ésat forma poder borrarlo, ya que no se pueden deletear procesos o archivos abiertos. Luego de borrarlo, eliminamos todas las claves de ese troyano del registro, del autoexec y del win.ini y reiniciamos. Checkeamos que no haya vuelto a aparecer y listo.
Una forma más simple de hacer ésto, pero no tan funny y educativa es bajarse el soft The Cleaner, que se dedica especialmente a la detección y erradicación de troyanos de las PCs.
By KeRoZeNe 1999-2002 c0oL!
El artículo pertenece al número 1, Volumen 1 de Kerozine
==> Suscribite enviando un mail blanco a hackemate-alta@elistas.net
===> Security Store - Contraseguridad informática
URL ===> HTTP://KEROZINE.HACKEMATE.COM.AR
EMAIL ===> kerozene@hackemate.com.ar
By KeRoZeNe 1999-2002 c0oL!
