MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

4.12.07

COMO LOS HACKERS PUEDEN CONTROLAR TU COMPUTADORA

Hay un falso concepto hoy en día acerca de la seguridad. La mayoría de los usuarios les gusta creer que sus costosos cortafuegos (firewalls) los protege de cualquier cosa obscena. La parte mala es que no pueden estar mas equivocados. Buscamos probar con estos tres programas que pueden comprometer la seguridad de sus computadoras antes de que tenga el chance de decir “Que es una puerta trasera o backdoor?”. Y aunque fueron creados en los 90s, todavía representan una amenaza en estos dias ya que los primeros dos todavía están en desarrollo.

Back Orifice / Back Orifice 2000

Back Orifice o BO, es uno de los programas backdoor mas comunes y uno de los mas letales. El nombre aparenta un chiste, pero puede estar seguro de que la amenaza es real. Este programa fue creado por el grupo del Culto de la Vaca Muerta (Cult of the Dead Cow Group). Si usted no ha notado, ellos tienen el don de un humor raro. A parte del nombre tan raro, este programa corre en el puerto 31337.

En la imagen superior se muestra el Back Orifice version 2000. El programa usa el modelo de cliente-servidor en el que el servidor es la victima y en cliente es el atacante. Lo que hace a este programa tan peligroso es que se puede instalar y operar de manera silenciosa, sin que nadie se de cuenta. No hay necesidad para interacción, esto significa que lo puedes tener en tu computadora ahora mismo sin darte cuenta.

Compañías tales como Symantec han tomado pasos para proteger a las computadoras de este programa. Todavía muchos ataques están usando el Back Orifice 2000. Esto debido a que todavía esta siendo desarrollado como una herramienta de código abierto. Como dice en la documentación del BO, el objetivo es hacer desconocida la presencia del Back Orifice 2000 aun hasta para aquellos que lo instalaron. BO puede correr en Windows 95, Windows 98, Windows NT, Windows 2000 y Windows XP.

Como remover el Back Orifice 2000

Para remover este programa se requiere editar algunas entradas en el registry de Windows

1. Seleccione Start > Run, entones escriba “Regedit” (sin las comillas)

2. Vaya a la entrada:“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”

3. Ahora en el panel de la derecha, busque lo siguiente: “umgr32 = ‘c:\windows\system\umgr32.exe”

4. Hagla click derecho en esta entrada, y seleccione borrar. Ahora reinicialice su computadora.

5. Despues de reinicializar, solamente abra el explorador de Windows. Asegúrese de que puede ver todas las extensiones registradas. Para hacer esto vaya a View > Options, y configure las opciones apropiadas.

6. Vaya al directorio WINDOWS\SYSTEM y busque el programa “umgr32.exe” y borrelo.

7. Salga del explorador de Window y reinicialice su computadora otra vez.


NetBus / Netbus 2.0 Pro

NetBus fue creado alrededor del mismo tiempo que Back Orifice, a finales de los 90s. NetBus fue diseñado originalmente para hacerle bromas a amigos y familia, ciertamente nada muy malicioso. De todas maneras, el programa fue liberado en 1998 y fue usado ampliamente como un backdoor para controlar una computadora.

Este programa le permite a un atacante hacer virtualmente cualquier cosa en la computadora de su victima. Trabaja bien en los sistemas de Windows 9x y Windows XP. La ultima version de NetBus es considerada un shareware, no un freeware. NetBus también ha implementado menos operaciones silenciosas o secretas, como resultado de criticismo y quejas de su uso malicioso.

Estoy infectado. Ahora que?

Afortunadamente la ultima versión de NetBus es un programa valido. Puede ser removido como cualquier otro programa. Las versiones anteriores son un poco mas difíciles de remover. Si has sido atacado con una versión anterior, el proceso para eliminarlo es parecido al proceso de eliminación de Back Orifice.

Como remover el NetBus.

1. Seleccione Start > Run, entones escriba “Regedit” (sin las comillas)

2. Vaya a la siguiente entrada: “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”

3. Ahora en la ventana de la derecha, busque lo siguiente: “[Nombre_del_Servidor].exe” Usted debe encontrar el nombre real del archivo .exe. Comunmente es “Patch.exe” o “SysEdit.exe”, pero puede variar.

4. Reinicialice su computador y remueva cualquier rastro del programa que haya quedado.

SubSeven / Sub7

SubSeven, o Sub7, fue creado para el mismo proposito que el NetBus, para bromas. Tiene mas soporte para bromas y también tiene una mejor interfaz. A pesar de que es detectado por muchos cortafuegos y antivirus antes de que pueda inicializarse.

Sub7 no ha tenido soporte desde hace varios anios, su amenaza es usualmente muy baja. La mayoría de los programas de seguridad no tendrán ningún problema deteniéndolo antes de que tenga la oportunidad de correr. Esto demuestra que la importancia de las actualizaciones y los programas de seguridad son vitales ya que estas herramientas todavía existen.

Es comúnmente usado por aquellos que tienen acceso físico a tus cortafuegos o programas de seguridad. Si los permisos apropiados son otorgados esta herramienta trabajara sin restricción.

Suena inofensivo, como lo remuevo?

Como remover el Sub7

1. Termine estos procesos via el task manager: ”editserver.exe, subseven.exe”

2. Borre estos archivos: “editserver.exe, subseven.exe, tutorial.txt.”

Por que estos programas son completamente legales.

La idea detrás de estos programas es que están diseñados para ayudar a las personas, no para hacer danos. Mientras que algunos como el NetBus fueron originalmente creados para bromas, ellos han cambiado su ruta para evitar problemas legales.

Estos programas reclaman ser programas legales para acceso remoto, a pesar de que son facilmente usados para fines maliciosos. Estos programas están supuestos a ser usados como helpdesk o departamentos de ayuda a usuarios. Mantenerlos alejados de su red o computadora es una buena idea ya que hay muchos adolescentes y pre-adolescentes que tienen copias de ellos.

La llegada de nuevas tecnologías han echo que estos programas de alguna manera sean menos efectivos. Sin embargo programas tales como el Back Orifice todavía están evolucionando, asi que no se sorprenda de que pueda estar corriendo en el background esperando por instrucciones. Ya que la mejor defensa es una buena ofensa, asegúrese de estar bien atento de lo que esta instalado en su red o computadora. Después de todo una onza de prevención vale mas que una libra de cura.

Traducido y publicado por Lenis Hernandez con permiso de www.learn-networking.com

0 comentarios: