1. UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO SEGURIDAD DE LA INFORMACIÓN T.S.U. Ricardo Mariano Álvarez Rodríguez T.S.U. Pedro Castro Santos T.S.U. Santa Edith De la Cruz González T.S.U. Rodolfo Vargas Aguilar T.S.U. Francisco Salvador García
3. Troyanos Es un programa de informática que produce operaciones malintencionadas sin el conocimiento del usuario.
4. Síntomas de infección Generalmente aparece después de abrir un archivo contaminado que contiene el Troyano y la infección es evidente por los siguientes síntomas: Actividad anormal del módem, adaptador de red o disco duro: los datos se cargan aunque el usuario no registre actividad. Reacciones extrañas del ratón. Programas que se abren en forma inesperada. Bloqueos repetidos.
5. Principios de un Troyano Debido a que generalmente un Troyano intenta abrir un puerto en la máquina para que un hacker pueda controlarla, el primer objetivo del hacker es infectar la máquina obligando a abrir un archivo infectado que contiene el Troyano y, luego, acceder a la máquina a través del puerto abierto. Sin embargo, para poder infiltrar la máquina, el hacker usualmente conoce su dirección de IP. Entonces: Tener una dirección de IP asignada, en ese caso esa dirección de IP se puede averiguar fácilmente para la infección. Tener una dirección de IP dinámica , como en el caso de las conexiones por módem. En este caso, el hacker debe analizar la dirección IP aleatoriamente para detectar aquellas que corresponden a máquinas infectadas haciéndolo mas difícil.
6. Protección contra Troyanos La instalación de un firewall (programa que filtra los datos que entran y salen de su máquina) es suficiente para protegerlo de este tipo de intrusión. Controla tanto los datos que salen de la máquina (generalmente iniciados por los programas que está utilizando) como los que se introducen en ella. El firewall puede detectar conexiones externas de las víctimas previstas de un hacker. Éstas pueden ser pruebas realizadas por su proveedor de servicios de Internet o un hacker que está analizando de forma aleatoria una cantidad de direcciones de IP.
7. En caso de infección El firewall pide la confirmación de la acción antes de iniciar una conexión si un programa, cuyos orígenes desconoce, intenta abrir una conexión. Es muy importante que no autorizar conexiones de un programa que se desconoce porque podría tratarse de un Troyano. Si esto vuelve a ocurrir, es conveniente verificar que el ordenador no esté infectado con un Troyano usando un programa que los detecta y elimina. (denominadobouffe-troyen) ó TheCleaner.
8. Puertos generalmente utilizados Por lo general, los Troyanos abren un puerto en la máquina infectada y esperan que se abra una conexión en ese puerto para que los hackers puedan controlar el ordenador totalmente. Los puertos más usados por los Troyanos son los siguientes.
9.
10.
11.
12. El mejor método de protegerse de un gusano es no abrir ciegamente archivos que le llegan como adjuntos. Los archivos con las siguientes extensiones, en particular, tiene más posibilidades de estar infectados: .exe, .com, .bat, .pif, .vbs, .scr, .doc, .xls, .msi, .eml
13.
14.
15. Protección: • Instalación de actualizaciones. • Configuración adecuada. • Rehabilitación de servicios no utilizados. Resumen de herramientas y metodologías • Des habilitación de servicios y cuentas no utilizados. • Actualización de S.O. y aplicaciones (parches). • Uso de “buenas” contraseñas. • Utilización de Firewalls. En caso de infección que hacer:
16. • Chequeo de integridad de aplicaciones y S.O. • Back-ups periódicos. • Análisis periódico de logs. •Verificación periódica de servicios activos y vulnerabilidades presentes. • Desarrollo seguro de aplicaciones web. • Concientización de los usuarios. • Encriptación del tráfico. • Definición y uso de Políticas y Procedimientos. En caso de infección que hacer:
17. CONCLUSIONES El troyano es un código malicioso que utiliza principalmente los puertos de comunicación para la manipulación del equipo y lo cual puede dar paso a otro tipo de malware y poner el medio para acceder. Un gusano es un código malicioso que viaja a través de la red y que principalmente aprovecha una vulnerabilidad del sistema operativo.