Ma1ware Magazne #2

Pgina 1


M-21uL 11
Ma1ware Magazne #2





1ema: 1royanos


^u18^x
antrax.1abs jat gma1 jdot com
www.antrax-1abs.net
Ma1ware Magazne #2

Pgina 2



0n poco de historia
la pa1abra troyano, vene de 1a hstora de1 caba11o de
1roya.
ara 1os que no conozcan, e1 caba11o de 1roya era un enorme
caba11o de madera que 1ue construdo por 1os troyanos segun
cuenta 1a odsea de uomero. L1 caba11o era un obsequo para
1os gregos con 1os cua1es estaban en guerra. Lra un rega1o de
rendcon.
lo que 1os gregos no saban era que caba11o tena en su
nteror so1dados troyanos. una vez que e1 caba11o estuvo
dentro de 6reca, 1os so1dados sa1eron y atacaron 1a cudad.
^s 1ue como 1ograron penetrar 1as enormes mura11as gregas y
ganaron 1a guerra.
Ln e1 mundo n1ormatca, 1os troyanos cump1en una 1uncon
muy sm1ar. uos permten acceder a otros ordenadores sn
1evantar muchas sospechas.
5volucion de los troyanos
^ntguamente 1os troyanos eran de conexon drecta, esto
quere decr que nosotros debamos conectarnos con nuestro
remoto. ^ contnuacon 1es mostrare un eemp1o con un troyano
11amado 1hee1
Ma1ware Magazne #2

Pgina 3



Como pueden ver en 1a magen, tuve que co1ocar 1a p y
puerto de conexon de1 remoto. Ln este caso es 127.0.0.1 ya
que 1o estoy testeando en m C.
lo ma1o que tenan estos troyanos es que so1o se poda
n1ectar uno por vez y tamben debamos saber su 1.
or suerte en 1a actua1dad hay troyanos de conexon nversa
en donde podemos tener mas de una conexon a1 msmo tempo y
no necestamos saber su 1 para conectarnos.
^ contnuacon 1es mostrare una captura de un troyano muy
conocdo 11amado 81rost
Ma1ware Magazne #2

Pgina 4



Como pueden ver en 1a magen, aparece una espece de tab1a,
en donde se ran 1stando 1os remotos cada vez que uno entre a
nternet y se conecte a nuestro troyano.
^ d1erenca de1 anteror, no tuvmos que poner p de1
remoto n nada de eso, ya que automatcamente a1 ser de
conexon nversa, e1 remoto conecta a nosotros.
0tro de 1os avances son 1as opcones que tenen cada uno.
Cuando hab1amos de opcones, hacemos re1erenca a 1o que
podemos hacer con 1os troyanos. ^ntguamente se usaban para
abrr y cerrar 1a puerta de1 C0-80M, apagar 1a panta11a y
otras tareas no muy ut1es. Ln 1a actua1dad 1os troyanos
rea1zan varas 1uncones, como por eemp1o capturar tec1as
pu1sadas, permten manpu1ar1e e1 tec1ado y e1 mouse a nuestro
remoto, nos muestran passwords a1macenadas en e1 ordenador,
traen opcones de rootkt ntegradas ya que podemos ocu1tar e1
proceso u ocu1tar1o en otro, camba 1a 1echa de creacon para
no 1evantar sospechas, etc. 1amben podemos manpu1ar sus
1cheros, e1mnar, mod1car, crear. entre otras opcones que
remos vendo a 1o 1argo de estas entregas.

artes de un troyano
Ma1ware Magazne #2

Pgina 5


un troyano consta de dos partes 1undamenta1es. un c1ente y
un servdor.
C1ente, es aque1 que usaremos nosotros para conectarnos con
nuestro remoto
Servdor, es e1 que debemos envar para n1ectar a nuestro
remoto.
^ contnuacon 1es mostrare como se ve cada uno

Ln este caso es e1 81rost verson 1.2d, e1 c1ente de este
troyano edta a1 servdor que vene a1uera.
Lxsten troyanos que son server bu1der, esto quere decr
que e1 stub de1 servdor esta adentro de1 c1ente. Como por
eemp1o e1 troyano Spy-uet.

Como vemos en 1a magen, so1o esta e1 c1ente, ya que e1
msmo c1ente se encarga de con1gurar y crear e1 servdor. Ln
otras pa1abras podemos decr que e1 servdor esta adentro de1
c1ente.
Muy rara vez, a1gunos troyanos sue1en venr con un Ldt
Server que es e1 que edta 1os datos de conexon de1 servdor.

Ma1ware Magazne #2

Pgina


1royanos publicos y privados
odemos c1as1car 1os troyanos en dos grandes grupos, en
1os cua1es tenemos 1os pub1cos y 1os prvados.
Cuando decmos troyanos pub1cos, hacemos re1erenca a
troyanos 1berados por 1os programadores, para que cua1quer
usuaro pueda tener acceso a e1 y 1o pueda ut1zar
1bremente.
los troyanos prvados son troyanos que estan en venta y
debera pagarse una suma de dnero a1 programador para poder
tener acceso a e1. Lstos troyanos sue1en venr con a1gun tpo
de proteccon como por eemp1o uardware 10, acceso con usuaro
y contrasea entre otros.
^ 1a 1arga sempre hay a1guen que 1bera 1os troyanos
prvados, esto sue1e ocurrr por que sa1e una nueva verson y
e1 programador decde 1berar1o y vender 1a nueva verson o
tamben puede ser que a1gun usuaro dscon1orme con e1
programador decde crackear1o y 1berar1o para que todos
tengan acceso a e1.


iormas de in1eccion
Lxsten muchas 1ormas de n1eccones que a 1o 1argo de estas
entregas remos desarro11ando con mayor c1ardad. or ahora
so1o 1as nombraremos y deta11aremos brevemente.
1n1eccion por 2: Se 1es dce 2 a 1os programas que
ut1zamos para descargar musca, vdeos, programas, etc. Como
1o son e1 ^res, Lmu1e, lme Wre, entre otros. la n1eccon
por 2 consste en co1ocar un servdor de un troyano en 1a
carpeta compartda para que otras personas 1o descarguen y se
n1ecten.
1n1eccion por 0kL: Consste en subr un server a un host, y
por medo de un scrpt hacer que se eecute so1o en e1
ordenador remoto cuando se vste ese 1nk.
Ma1ware Magazne #2

Pgina 7


1n1eccion por MSN: la n1eccon por MSu o tamben conocda
como propagacon por MSu, consste en una n1eccon en cadena,
ya que se n1ecta a un contacto, este n1ecta a 1os suyos, a
su vez esos a 1os suyos 1ormando una cadena de n1eccon.
1n1eccion por 1kC: la n1eccon por 18C sue1e ser gua1 a 1a
de MSu ya que n1ecta a 1a gente de d1erentes cana1es.
1n1eccon a traves de Lxp1ot: Lsta otra n1eccon aprovecha
1a11as de 1os navegadores para n1ectar, es a1go sm1ar a 1a
n1eccon por u8l.
1n1eccion por Cadenas de Mail: son 1os que sue1en venr
aduntos unto con cadenas que recbmos por ma1.
1n1eccion por Warez: Lsto sue1e verse en 1oros en donde
usuaros postean programas, y estos sue1en venr undos con
a1gun troyano.
1n1eccion por Autorun: Cada vez que conectamos o nsertamos un
medo extrab1e, ya sea uS8, C0-80M, Ltc. Sa1e una
reproduccon automatca, esta reproduccon automatca es
debdo a un ^utorun que eecuta un programa y muestra un
cono, 1o que se hace es edtar ese ^utorun para que cuando se
conecte un medo extrab1e se eecute automatcamente e1
server.
robab1emente todos 1os que usan MSu, mas de una vez habran
vsto a1gun contacto que enva 1otos" o dreccones web un
poco nusua1es. sempre que encontremos esto, es porque
estamos 1rente a una propagacon por MSu.
1amben es probab1e que hayamos entrado a una web y e1
antvrus nos haya dado una a1erta, en este caso es porque
estamos 1rente a una n1eccon por u8l. Y as encontraremos
m1es de eemp1os de 1ormas de n1eccon.

Camu1la]e
Ln 1a actua1dad 1a mayora de 1os troyanos traen opcones
para ocu1tar 1os servdores en ordenadores remotos.
Ma1ware Magazne #2

Pgina 8


1enemos por eemp1o 1os rootkts que sue1en venr con e1
troyano, cuya 1uncon es ocu1tar e1 servdor en a1gun proceso,
o hacer este proceso nvsb1e para que nuestro remoto se de
cuenta. 1amben tenemos 1a opcon muy usada de cambar e1
cono y reemp1azar1o por a1guno de una magen, programa,
documento, etc. con e1 1n de que nuestro obetvo pense que
es un archvo no1ensvo. 0tros tamben sue1en unr1o con
a1gun oner entonces a1 abrr una magen, archvo, documento
o con 1o que haya sdo undo, este eecute a su vez e1
servdor que vene adentro.
Cuando hab1abamos de metodos de n1eccon, es obvo que en
todos 1os casos e1 servdor va con un camu11ae, ya que de 1o
contraro nade 1o abrra.





1ndetectabilidad
^ 1o 1argo de estas entregas, re mostrando dstntos
metodos de 1ndetectab1dad. or ahora so1o 1o veremos muy por
encma para que vean de que se trata.
Seguramente pensaran, Yo tengo antvrus, y no me voy a
n1ectar." los que dcen o pensan eso, es porque seguramente
no han 1edo nada a1 respecto.
^ 1o 1argo de estas revstas remos vendo dstntas 1ormas
de pasar 1as proteccones y a su vez remos ana1zando de que
1ormas podemos protegernos para evtar que nos n1ecten a
nosotros.
or ahora 1o que nos nteresa sabes son 1as 1ormas de
1ndetectab1dad que exsten.
Como dmos en 1a prmera entrega, e1 Stub es e1 corazon de
nuestro eecutab1e. Ls e1 que contene toda 1a n1ormacon que
Ma1ware Magazne #2

Pgina 9


necestamos que posea nuestro servdor, para que conecte con
nosotros.
Ln todos 1os metodos de 1ndetectab1dad, se ap1can a ese
Stub.
uo nombrare todos 1os metodos, pero s 1os mas mportantes:
or Codgo Iuente: Consste en edtar e1 codgo 1uente de
a1gun ma1ware para dear1o ndetectab1e
Ldcon uexadecma1: Se edta e1 Stub mod1cando o11sets
detectados por 1os antvrus para que estos 1o deen de
detectar.
ut1zando un Crypter: ^1 pasar1e un crypter a1 servdor, este
encrpta 1a n1ormacon de1 Stub de1 servdor y 1o dea
ndetectab1e sempre y cuando e1 crypter sea Iu0.
Ldcones de sa1tos: usua1mente se ut1za un debugger como
por eemp1o e1 011y, edtando sa1tos, uSu, etc.
Lxsten otros, pero no quero comp1car1os tanto con esto,
es por eso que pararemos aqu, y mas ade1ante remos
desarro11ando y exp1cando con tranqu1dad 1os metodos que
hay.

Como selecciono un 1royano
la meor 1orma de se1ecconar un troyano, es sabendo que es
1o que se desea hacer, ya que hay troyanos smp1es, y otros
mas comp1etos que esta sobre entenddo que contenen mas
opcones, pero tenen 1a desventaas de no ser muy estab1es.
ara saber s 1os troyanos son estab1es o no, es necesaro
saber en que 1enguae 1ue programado.
Como ya sabran 1os 1enguaes mas potentes son 1os de mas
bao nve1 {8naro, ^SM), 1uego sguen 1os de medo nve1
{C,C++), y 1na1mente 1os de a1to nve1 que son e1 resto {v8,
Java, 0e1ph que son 1os mas usados, entre otros).
Ma1ware Magazne #2
Pgina
10


les enseare rapdamente como dent1car en que 1enguae
estan programados 1os troyanos.
Con un edtor hexadecma1, abrmos e1 eecutab1e y buscamos
a1guna 1nea de1 codgo que nos dga a1go re1erdo a1 1enguae
con e1 cua1 1ue programado.

or eemp1o e1 Spy-Net

0elphi





0tro eemp1o con e1 1ndSocket kA1

visual 8asic
0e esta manera podremos r vendo con que 1enguae 1ue hecho
y que estab1dad posee.
Lstab1dad quere decr que 1a conexon no se caga, o sea
que no se nos desconecte cuando 1a C remota se rence, que
no se b1oquee e1 proceso, etc.
Ma1ware Magazne #2
Pgina
11


los troyanos mas estab1es son e1 81rost y oson 1vy, ya
que sus servdores estan hechos en ^SM, pero ya no son muy
usados, ya que no son compatb1es a1 100x con Wndows vsta y
Seven. Ln cambo e1 Spy-uet que esta hecho en 0e1ph s 1o es.
Sgamos con mas caracterstcas.
uecestamos saber que Sstema 0peratvo es e1 que tene
nuestro obetvo.
Ln caso de que sea Wndows x, se puede usar e1 81rost, o
oson 1vy que son 1os mas estab1es. ero en caso de que sea
Wndows 7 o vsta, deberemos optar por otro que s sea
compatb1e como 1o es e1 Spy-uet, 1ndSocket 8^1, SS-8^1, Lntre
otros que a demas tenen muchas mas opcones que no trae n e1
81rost y oson 1vy, pero con menos estab1dad.
1amben podemos e1egr e1 1royano dependendo de 1o que
queramos hacer, y dependendo de 1as opcones que traga.
Mas ade1ante remos ana1zando cada troyano {1os mas usados)
con 1as opcones que trae cada uno con sus ventaas y
desventaas.


50i 0ata
1royanos como e1 81rost, 1urkoan, 8ohazard, entre otros
poseen a1go 11amado L0I 0ata {Lnd 01 I1e 0ata).
ara saber que es, 1o mostrare en una magen:

Como podemos ver, es e1 1na1 de1 codgo mostrado con un
edtor hexadecma1, y c1aramente podemos ver 1a u0-1 w300.no-
ip.org que es a 1a 0uS que conecta este servdor.
Ma1ware Magazne #2
Pgina
12


quere decr que en e1 1na1 de1 codgo posee n1ormacon de
1a conexon.
^ 1a hora de ut1zar este tpo de troyanos deberemos usar
Crypters con soporte L0I para dear1os ndetectab1es. Lsto se
debe a que e1 crypter copa esa n1ormacon de1 1na1, y 1a
vue1ve a dear gua1 en e1 servdor 1na1 de 1orma ntacta y
sn romper1o para que vue1va a conectar.