elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  un par de dudas sobre troyanos, ayuda!!
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: un par de dudas sobre troyanos, ayuda!!  (Leído 1,917 veces)
carnicero25

Desconectado Desconectado

Mensajes: 1


Ver Perfil
un par de dudas sobre troyanos, ayuda!!
« en: 25 Abril 2010, 20:56 »

Hola, como estan, tengo un par de dudas, a ver si me pueden hechar una mano:

1) queria saber si cuando uno es infectado con un troyano (para robarte informacion, verte tus archivos, capturar las teclas pulsadas, etc.) es necesario SI o SI que el troyano cree una entrada en el registro para iniciarse con cada inicio de la computadora.
Porque un colega mio tiene el disco rigido dividido en dos particiones, en una de ellas tiene windows, ms office, etc. y la tiene freezada con el deep freeze, mientras que la otra particion no está frizada (ahi guarda descargas de archivos, documentos, etc.).
Entonces, mi amigo cree que le metieron un troyano (no tiene antivirus, firewall ni nada) pero justo en la particion que NO tenia freezada (es decir, donde guarda los documentos, fotos, etc.), entonces yo le dije que no se hiciera problema, porque de haber sido infectado con un troyano en esa particion, el troyano estaría "inactivo" todo el tiempo, ya que la entrada que éste seguramente introdujo en el registro para autoejecutarse con cada reinicio, esa entrada fue "borrada" por el deep freeze, que restaura el registro. O sea que como mucho le podrian haber visto los archivos cuando le metieron el troyano y antes de que reinicie la compu, despues...adios!
Pero despues me surgió una duda: digo, supongamos que mi amigo hubiera sido infectado con un troyano "de conexion directa" (olvidemonos de que son viejos, les cuesta penetrar los routers, firewalls, etc.), en ese caso creo que el atacante podria tener acceso al troyano (es decir, conectarse al troyano remotamente) aunque éste no haya sido abierto ni ejecutado en la máquina víctima, o no???
Digo, porque precisamente la característica de los troyanos de conexion directa es que es el hacker el que se conecta o "le hace un llamado" al troyano, por lo tanto aunque éste no se pueda autoejecutar (gracias al Deep Freeze) y estuviera "apagado", igualmente, por el hecho de estar presente en la particion no freezada: ¿el atacante se puede conectar igual? ¿hay alguna forma de hacer eso sin que el troyano se ejecute en cada inicio, solo por estar presente en el disco?

Pregunto esto en general para cualquier tipo de troyanos, de conexion directa, inversa, o lo que sea. Mi amigo tiene ip estatica, lo que le facilitaria las cosas al atacante.


2) Y la otra duda que tengo, es que estaba probando el cactus joiner, mezclé un ejecutable cualquiera (no era un virus, sino un programa común) con un documento de word (.doc). Entonces abrí el ejecutable, y se abrió el documento de word y el otro programa, el tema es que al modificar el archivo de word y guardar los cambios, y abrir el ejecutable nuevamente (es decir, el archivo .exe que creé con el cactus joiner) no se guardaban los cambios del archivo .doc. ¿Hay alguna forma de mezlcar un .doc con otro archivo usando un joiner, y que el .doc mantenga los cambios que le realizamos o siempre vuelve al estado inicial? ¿será con todos los joiners igual? Porque yo sólo probé con el Cactus.


Bueno, eso es todo, muchas gracias de antemano, a todos!

N3um0n
En línea

<< Lucas, ¿quién más? >>

Desconectado Desconectado

Mensajes: 51


ANTI KIRCHNER- MONTONEROS - TERRORISTAS Y ASESINOS


Ver Perfil
Re: un par de dudas sobre troyanos, ayuda!!
« Respuesta #1 en: 25 Abril 2010, 21:36 »

Creo que estás confundiendo algunos conceptos, pero te explico y respondo así

1-)

Citar
es necesario SI o SI que el troyano cree una entrada en el registro para iniciarse con cada inicio de la computadora
No. No es necesario que se agregue una entrada en registro para que pueda iniciarse, también se puede agregar a la carpeta Inicio (del menú Inicio).

Citar
entonces yo le dije que no se hiciera problema, porque de haber sido infectado con un troyano en esa particion, el troyano estaría "inactivo" todo el tiempo, ya que la entrada que éste seguramente introdujo en el registro para autoejecutarse con cada reinicio, esa entrada fue "borrada" por el deep freeze, que restaura el registro.
Deep Freeze no borra ni modifica ningún registro. Lo que hace Deep Freeze es crear una imágen del Sistema Operativo, por lo tanto cada vez que reinicias, el sistema que se cargará será dicha imágen y es por eso que no se queda almacenada las cosas que hiciste antes de reiniciar.

Citar
supongamos que mi amigo hubiera sido infectado con un troyano "de conexion directa" (olvidemonos de que son viejos, les cuesta penetrar los routers, firewalls, etc.), en ese caso creo que el atacante podria tener acceso al troyano (es decir, conectarse al troyano remotamente) aunque éste no haya sido abierto ni ejecutado en la máquina víctima, o no???
De cualquier manera, el supuesto troyano debe estar activo, es decir que debe haber sido ejecutado para que la conexión entre Atacante y Víctima pueda concretarse. La única manera en que un atacante pueda conectarse sin que exista un troyano en el sistema Víctima es que éste atacante se aproveche de alguna vulnerabilidad en el mismo.

Citar
Digo, porque precisamente la característica de los troyanos de conexion directa es que es el hacker el que se conecta o "le hace un llamado" al troyano, por lo tanto aunque éste no se pueda autoejecutar (gracias al Deep Freeze) y estuviera "apagado", igualmente, por el hecho de estar presente en la particion no freezada

Como dije, no tiene nada que ver que el servidor del troyano sea de conexión directa o inversa, de cualquier manera debe estar en ejecución para conseguir la conexión.

Citar
¿el atacante se puede conectar igual? ¿hay alguna forma de hacer eso sin que el troyano se ejecute en cada inicio, solo por estar presente en el disco?
Sí, es posible. Si tu amigo abrió un archivo que estaba infectado, quizás el troyano se haya autocopiado por todo el disco, incluso en la partición no freezada. Lo más común es que un malware simule ser una carpeta y oculte la original para no levantar sospechas. Si es así, lo más probable es que tu amigo al querer abrir carpetas, inocentemente está ejecutando el troyano. O tal vez, tu amigo es como lo son los míos, que descargan juegos y por querer guardar ciertas partidas de juego guardan todo en el disco no freezado, y muchas veces les pasó que estos juegos (obviamente piratas) estaban infectados, y tuvo que venir el Chapulín Colorado a salvarlos.

2-)

Citar
Y la otra duda que tengo, es que estaba probando el cactus joiner, mezclé un ejecutable cualquiera (no era un virus, sino un programa común) con un documento de word (.doc). Entonces abrí el ejecutable, y se abrió el documento de word y el otro programa, el tema es que al modificar el archivo de word y guardar los cambios, y abrir el ejecutable nuevamente (es decir, el archivo .exe que creé con el cactus joiner) no se guardaban los cambios del archivo .doc. ¿Hay alguna forma de mezlcar un .doc con otro archivo usando un joiner, y que el .doc mantenga los cambios que le realizamos o siempre vuelve al estado inicial? ¿será con todos los joiners igual? Porque yo sólo probé con el Cactus
No conozco el Cactus Joiner, pero la respuesta es muy lógica. Lo que el joiner hace es extraer los archivos que juntó en alguna carpeta temporal (la mayoría de las veces es así) y ejecutar los archivos, entonces al modificar y guardar los datos del documento sí se grabarán pero en la carpeta donde fue extraído, mientras tanto, el joiner seguirá conteniendo a los archivos que originalmente juntaste, no la modificación.

Personalmente te sugiero que sigas leyendo porque veo que te faltan bastantes conceptos básicos como para que sigas avanzando en el tema. "Meteras la pata" en algún momento si sigues por ese camino.

Saludos, y ponete las pilas.

PD: Instala un buen antivirus, o bien, actualiza el que ya tiene, solo recuerda no reiniciar sin antes desactivar el Deep Freeze. :¬¬
« Última modificación: 25 Abril 2010, 21:42 por Lucas Live » En línea



Personalmente, prefiero tecnologías de Microsoft. Yo reconozco que defendí el software libre, pero ahora yo quiero vivir de esto. Mi trabajo.
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.275



Ver Perfil WWW
Re: un par de dudas sobre troyanos, ayuda!!
« Respuesta #2 en: 26 Abril 2010, 16:01 »

Esto esta más que hablado y se desvía completamente del objetivo de este subforo, así que cierro el tema. Pasados unos días será borrado por uno de los moderadores.

Un Saludo
En línea

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Dudas sobre aimbots de cs ayuda plz.:!!
Programación General
139742685 0 433 Último mensaje 25 Octubre 2011, 04:56
por 139742685
[Dudas] Información profundizada sobre Troyanos y Rootkits « 1 2 »
Análisis y Diseño de Malware
xaps 13 3,285 Último mensaje 12 Agosto 2015, 13:26
por xaps
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines