TRABAJOS ORIGINALES
CUIDADO
CON EL AGUJERO DE ATRÁS Y OTRAS CYBER-MALDADES DE MODA !!!
Desde
hace ya un tiempo, esos prodigios llamados hackers crearon un programa que a
través de un virus Trojano que se instala en una PC, permite que cualquiera
ingrese via Internet a esa PC y tome el control de la misma haciéndole realizar
cosas increibles.
Dicho
programa llamado "BACK ORIFICE", tiene otros programas muy parecidos,
y entre todos pueden hacernos la vida imposible cuando nos conectamos a
Internet teniendo la máquina infectada.
El
modelo actual, llamado "NETBUS", puede ser conseguido libremente a
través de Internet, y puede ser corrido en cualquiera de las versiones de
Windows 95/98/NT.
Si
durante una sesión de Internet usted nota que la lectora de CDROM se abre y se
cierra, o que su mouse se mueve como si su PC tuviera un alien adentro, o si
aparece en la pantalla una foto de Pamela Anderson tomando la Primera Comunión,
o siente algún sonido al pulsar las teclas de su keyboard..., no lo dude: usted
ha caído en las garras de alguien que lo está manejando con el
"netbus" Y USTED TIENE EL TROJANO ADENTRO de su pc.
No
crea que ésto es solamente un cuento de ciencia ficción.
Ni
crea que es difícil que el trojano puede haber entrado sin su permiso. De algo
puede estar seguro: en ese caso el trojano entró a su PC porque usted le abrió
la puerta para que pasara. COMO?: seguramente usted ejecutó el file ejecutable
que lo contiene, y que le debe haber sido enviado por correo. Así de fácil? En
efecto. Y sinó, busque en el soft que usted habitualmente utiliza como mailing,
y encontrará los montones de files en formato .exe que suelen mandarle sus
amigos.
Uno de
esos archivos puede haber sido el que lleva el trojano.
Y para
colmo de males, existe un jueguito llamado WHACK-A-MOLE que contiene el
ejecutable bajo otro nombre. Por las dudas, no lo ejecute.
Estos
programas actúan sobre la base de que el hacker conoce la dirección IP de la
víctima. Como habitualmente los proveedores de servicios le asignan a sus
usuarios un número IP diferente y aleatorio cada vez que el cliente se conecta
a Internet, todo hace pensar que es muy difícil conseguir el IP de algún
navegante. Nada mas equivocado. Existen programitas con los cuales es factible
conseguir el número IP de cualquier PC siempre y cuando la misma se encuentre
navegando en ese momento. Por otra parte, hay programas de comunicaciones muy
difundidos como el ICQ o los de Chat en los cuales aparece dicho número en la
ficha de información de cada usuario.
Si los
hackers conocen su número IP o aunque sea los tres primeros grupos de dígitos
(el cuarto se reemplaza por *), envían la órden de que se detecte cuál máquina
posee el virus que estaría actuando como un radiofaro. Una vez encontrada
alguna víctima, el ataque es inmediato. Esa víctima puede ser usted.
A
continuación les haré una descripción de las características técnicas de esta
maldad, y finalmente les daré las recomendaciones para evitar ser contaminado y
no caer en la trampa.
TABLA 1 Maldades que se pueden hacer con el Netbus.
|
Función |
Maldad |
|
Administrador del server |
Comando del mismo (cambio de passwords,modificaciones en el REGISTRO DEL WIN 95, etc) |
|
Lectora de CDROM |
Apertura y cierre de la bandeja. |
|
Imágenes |
Mostración de imágenes GIF o JPG. |
|
Mouse |
Inversión de lo efectos de los botones. |
|
Programas |
Ejecución de programas de sus directorios. |
|
Mensajería |
Manejo de la administración de la mensajería. |
|
Pantalla |
Saltos en las imágenes que muestra la pantalla. |
|
Cliente/víctima |
Información sobre el cliente/víctima. |
|
Sonidos |
Ejecución de files WAV. |
|
Windows |
Pateadura (Kick). Cierre total e inmediato del Windows de la víctima. |
|
Texto |
Envio de mensajes generalmente no muy amistosos. |
|
Administración del Windows |
Manejo de la administración del Windows de la víctima. |
|
Mouse |
Posicionamiento del mouse de la víctima. |
|
Teclado |
Sonidos al pulsar las teclas. |
|
Sistema de sonido |
Administración del sistema de sonidos. |
|
Mouse |
Manejo del mouse de la víctima. |
|
URL |
Envío directo a determinada página WEB. |
|
Directorios |
Borrado de archivos, copiado, renombrado, etc |
|
Archivos |
Downloads y uploads forzosos. |
|
Teclado |
Desactivación de teclas, cambios de seteos, etc. |
|
FASCIMIL DE LA PANTALLA DEL NetBus 1.60
Nótese que el casillero de la TCP/IP, en este modelo estaría preparado para buscar víctimas que posean alguna IP entre 24.232.17.1 y 24.232.17.100 |
Como
podemos apreciar, se trata de maldades no muy peligrosas tal vez , pero que
involucran un severo atentado contra la VOLUNTAD de la víctima, por lo cual el
agredido suele sentirse VIOLADO y con un alto índice de venganza en ciernes.
TABLA 2 ARCHIVOS QUE CONTIENEN EL VIRUS TROJANO SEGUN LOS PROGRAMAS.
|
PROGRAMA |
ARCHIVO |
TAMAÑO |
|
BACK ORIFICE |
boserve.exe |
124.928 |
|
NET BUS 1.6 |
patch.exe (Cuidado ! puede estar renombrado y figurar como explore.exe pero siempre con el mismo tamaño. |
472.576 |
|
NET BUS 1.5 |
keyhook.dll sysedit.exe |
54.272 473.088 |
Como
notarán, hay variaciones entre las distintas versiones, pero el patch.exe
puede
ser renombrado con cualquier otra denominación. Pero afortunadamente puede ser
identificado por el tamaño exacto que posee, y porque son detectados por los
antivirus mas activos (AVP; SCAN; NAV; F-Prot).
Además,
aunque renombren al patch.exe,
aparecerá con el ícono característico de netbus:
|
|
TABLA 3 NOMBRE DE LOS VIRUS
TROJANOS DE LOS PROGRAMAS DE MALDADES VIA INTERNET.
|
NOMBRE DE LOS VIRUS TROJANOS |
|
Trojan.Win32.Netbus |
|
Netbus.160 (Hacktool) |
|
Back Orifice.Trojan |
|
Master Paradise Trojan Horse |
No
asustarse si se los encuentra al realizar un scanning con algún antivirus. Si
aparecen en algún archivo de los mencionados, pueden ser borrados sacrificando
el archivo.
Si ya
están instalados en su PC, significa que usted ejecutó alguno de los archivos que
los contienen (Ej. el Patch.exe) y entonces hay que desinstalarlos, pero esa
tarea deberá ser realizada manualmente.
Sugiero
que en esos casos se lean detenidamente estas indicaciones porque habrá que
editar el REGISTRO de Windows.
INDICACIONES PARA ELIMINAR DEFINITIVAMENTE LOS ARCHIVOS QUE CONTIENEN LOS VIRUS TROJANOS QUE PERMITEN QUE LOS HACKERS TOMEN EL CONTROL DE NUESTRAS PC VIA INTERNET.
|
1) DETECCION BACK ORIFICE. Ejecutar el archivo de limpieza llamado " bodetect.exe"". Dicho programa indicará los archivos que contienen el virus trojano, y la cadena de sintaxis para ubicarlos en el REGEDIT.EXE (Editor del Register de Windows) y así poder eliminarlos. Puede obtener el archivo de detección ahora mismo haciendo el download: |
|
2) DETECCION NETBUS. Como usted ya conoce el nombre de los archivos que contienen el virus trojano (Actualmente es el "patch.exe" para la versión 1.6), solamente tiene que ir a buscarlos en el REGEDIT.EXE para poder eliminarlos. Si no lo encuentra bajo ese nombre, fíjese si alguno de los files existentes en ese sector posee la misma cantidad de Kb que el original, porque puede haber sido renombrado. |
|
3) ELIMINACION Pulsar el botón "Inicio" al pié, izquierda. En "Ejecutar" escribir: C:\ REGEDIT.EXE Cuando el archivo regedit.exe se edita (Es una ventana con un árbol desplegable), buscar las siguientes ramas en forma sucesiva: KEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / Current Version / Run / [Aquí aparecerán los archivos buscados] Una vez encontrados (Para el Netbus 1.6 será el patch.exe) los mismos deberán ser BORRADOS siempre que se esté seguro de que se trate de ellos. CUIDADO / WARNING El "regedit.exe" no dispone de funciones undelete, por lo cual todo borrado deberá ser hecho con cuidado para no suprimir archivos indispensables para el funcionamiento de su PC, y que una vez borrados no pueden recuperarse por esa misma vía. |
|
4) PREEVENCION Puede comprar el programa " boclean32 V 1.30"; con lo cual dispondrá de protección, detección y limpieza de los trojanos del Back Orifice, del Netbus, y del Master Paradise. Si no quiere gastar $ 20 en esa opción, simplemente rechaze la tentación de correr los archivos ejecutables que le envíen sus amigos. No obstante ello, piense que el virus trojano puede estar en archivos no precisamente . exe, ya que a veces aparece en .dll. Por supuesto que una búsqueda de archivos que lleven el nombre de los mencionados ut supra nunca está de mas. Y por las dudas, también puede buscar archivos que tengan el tamaño exacto en Kb según la tabla 2, pulsando "Inicio"/ "buscar" / "avanzadas" / "de tamaño... ". Si los encuentra, elimínelos, pero también busque en el Regedit. Y si quiere tener un escudo de protección contra el NetBus exclusivamente, puede instalar el "netbuster" , un programa sueco que no solamente impide que el hacker entre, sino que le envía una amable cartita de vuelta diciéndole lo que ustedes quieran, junto con una foto de ustedes haciendo lo que quieran con el dedo medio. Además, les deja un registro de la IP del hacker para identificarlo. Es un shareware pero no muy fanático. Solamente recibe lo que le manden. Pueden bajar desde aquí el netbuster.zip e instalarlo facilmente. Otro excelente soft que posee una versión gratuita es el Jammer, de sencilla utilización, y que previene contra el Back Orifice y el Netbus.
|
|
FASCIMIL DE LA PANTALLA DEL NetBuster 1.12
Son 7 pestañas con diversos seteos y configuraciones para programar su respuesta, y el grado de actitud contra el hacker. |
|
5) MALDADES A TRAVÉS DEL ICQ Si usted alguna vez abrió la fichita de información personal de algún navegante de su lista de ICQ, notará que hay una casilla que le indica el número IP del amigo. Pero a veces este número puede estar ausente. Hay un programita que se lo averigua, y otro programita que sabiendo el número IP del candidato le permite enviarle un mensaje no precisamente navideño, y desconectarlo de Internet. Por el momento no hay antídoto ni remedio para esta maldad. Si alguien conoce algo al respecto, sírvase comunicarlo. Los programitas se llaman uinip.exe y uins.exe respectivamente. El uinip.exe puede ser bajado desde aquí mismo, ya que solamente le permitirá averiguar la IP de algún navegante con número de ICQ. El uins.exe no lo doy porque puede ser utilizado con fines perversos. Les diré que lejos de ser considerado como hacker, hubo veces que debí utilizarlo para desconectar algún intruso que estaba violando mi password de ingreso a la red, por lo cual debí emplear el proveedor "muletto" y proceder en consecuencia, no sin antes enviar el mensaje explicativo del porqué de ese accionar. (Ej: Si usted está navegando utilizando la conexión del dominio XXXXXX tengo que pensar que usted es un impostor, porque el titular de ese dominio soy YO. De modo que...bye, bye !!) La prevención: portarse bien en Internet; mantener un perfil bajo; no desear la conexión del prójimo; no atosigar con mensajes via ICQ al mismo candidato; y especialmente no dejar que los menores hackeen a terceros porque la revancha nos caerá a nosotros. |
|
Fascimil de la pantallita del ICQ IP Sniffer V 1.07 (Uinip.exe) |
|
Bueno amigos!
Espero que este tema haya sido de interés para ustedes, y que puedan
navegar tranquilos sin pensar en que la puerta de atrás pudo haber quedado
abierta.
Toda colaboración al respecto será enormemente agradecida, y
contribuirá a que los cyber-colegas puedan dedicar su tiempo a la ciencia sin
tener que pensar en el Caballo de Troya.
Carlos Alberto Porta MD
Clik en el botón "Back" para volver .
Correlacion / RX / Casos clinico / Interconsultas / Biblioteca / Otros hospitales virtuales / Patología / Lobby / Capilla
1997
CLINICA VIRTUAL GINECOLOGICA, Buenos Aires (Argentina