Troyano (informtica)

Captura de pantalla del troyano Nuclear RAT.

En informtica, se denomina caballo de Troya, o troyano, a un software

malicioso que se presenta al usuario como un programa aparentemente legtimo e
inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al
equipo infectado.El trmino troyano proviene de la historia del caballo de Troya
mencionado en la Odisea de Homero.
Los troyanos pueden realizar diferentes tareas, pero, en la mayora de los casos,
crean una puerta trasera (en ingls backdoor) que permite la administracin
remota a un usuario no autorizado.
Un troyano no es de por s, un virus informtico, aun cuando tericamente pueda
ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y
un virus consiste en su finalidad. Para que un programa sea un "troyano" solo
tiene que acceder y controlar la mquina anfitriona sin ser advertido, bajo una
apariencia inocua. Al contrario que un virus, que es un husped destructivo, el
troyano no necesariamente provoca daos, porque no es ese su objetivo.

Evolucin histrica
Los troyanos se concibieron como una herramienta para causar el mayor dao
posible en el equipo infectado. En los ltimos aos y gracias al mayor uso
de Internet, esta tendencia ha cambiado hacia el robo de datos bancarios o
informacin personal.1
Desde sus orgenes, los troyanos han sido utilizados como arma de sabotaje por
los servicios de inteligencia como la CIA, cuyo caso ms emblemtico fue el
Sabotaje al Gasoducto Siberiano en 1982. La CIA instal un troyano en el software
que se ocupara de manejar el funcionamiento del gasoducto, antes de que la
URSS comprara ese software en Canad.4
De acuerdo con un estudio de la empresa responsable del software de
seguridad BitDefender desde enero hasta junio de 2009, El nmero de troyanos
est creciendo, representan el 83 % del malware detectado.
La siguiente grfica muestra el porcentaje de malware que representan los
troyanos:

Propsitos de los troyanos

Los troyanos estn diseados para permitir a un individuo el acceso remoto a un
sistema. Una vez ejecutado el troyano, el individuo puede acceder al sistema de
forma remota y realizar diferentes acciones sin necesitar permiso. Las acciones
que el individuo puede realizar en el equipo remoto, dependen de los privilegios
que tenga el usuario en el ordenador remoto y de las caractersticas del troyano.
Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto
son:
Utilizar la mquina como parte de una botnet (por ejemplo para realizar ataques
de denegacin de servicio o envo de spam).
Instalacin de otros programas (incluyendo otros maliciosos).
Robo de informacin personal: informacin bancaria, contraseas, cdigos de
seguridad, etctera.
Borrado, modificacin o transferencia de archivos (descarga o subida).
Ejecutar o terminar procesos.
Apagar o reiniciar el equipo.
Monitorizar las pulsaciones del teclado.
Realizar capturas de pantalla.
Ocupar el espacio libre del disco duro con archivos intiles.
Monitorizacin del sistema y seguimiento de las acciones del usuario.
Miscelnea (acciones "graciosas" tales como expulsar la unidad de CD, cambiar la
apariencia del sistema, etc.)
Sacar fotos por la webcam si tiene.
Borra el disco.
Hoy en da, dada la popularidad de los sistemas para dispositivos mviles y
tabletas, especialmente aquellos con menor control en su marketplace de
aplicaciones (como Android) son foco de creciente inters para los desarrolladores
de este tipo de malware. En el caso de estos dispositivos, las acciones que un

atacante puede llegar a realizar son similares a las anteriores pero dada la
naturaleza del dispositivo, el abanico de opciones se ampla. Algunos ejemplos
son:
Captura de mensajes de texto entrantes y salientes.
Captura del registro de llamadas.
Habilidad para acceder (consultar, eliminar y modificar) la agenda de contactos.
Habilidad para efectuar llamadas y enviar SMS.
Conocimiento de la posicin geogrfica del dispositivo mediante GPS.

Caractersticas de los troyanos

Generalmente, los caballos de troya son utilizados para robar informacin, en
casos extremos, obtener el control remoto de la computadora, de forma que el
atacante consiga acceso de lectura y escritura a los archivos y datos privados
almacenados, visualizaciones de las pantallas abiertas, activacin y desactivacin
de procesos, control de los dispositivos y la conexin a determinados sitios de
Internet desde la computadora afectada como las pginas pornogrficas. Los
troyanos estn compuestos principalmente por dos programas: un programa de
administracin, que enva las rdenes que se deben ejecutar en la computadora
infectada y el programa residente situado en la computadora infectada, que
recibe las rdenes del administrador, las ejecuta y le devuelve un resultado.
Generalmente tambin se cuenta con un editor del programa residente, el cual
sirve para modificarlo, protegerlo mediante contraseas, unirlo a otros programas
para disfrazarlo, configurar en que puerto deseamos instalar el servidor, etc.
Atendiendo a la forma en la que se realiza la conexin entre el programa de
administracin y el residente se pueden clasificar en:
Conexin directa: El atacante se conecta directamente al PC infectado mediante
su direccin IP. En este caso, el equipo atacante es el cliente y la vctima es el
servidor.

 Conexin indirecta: El equipo host o vctima se conecta al atacante mediante un

proceso automtico en el software malicioso instalado en su equipo, por lo que no
es necesario para el atacante tener la direccin IP de la vctima. Para que la
conexin este asegurada, el atacante puede utilizar una IP fija o un nombre de
dominio. La mayora de los troyanos modernos utiliza este sistema de conexin,
donde el atacante es el servidor a la espera de la conexin y el equipo host es el
cliente que enva peticiones de conexin constantemente hasta lograrla.
A pesar de que los troyanos de conexin directa han cado en desuso casi
totalmente frente a los de conexin inversa, dentro de los crculos de piratas
informticos se sigue utilizando la denominacin de cliente para el equipo
atacante y servidor para el equipo vctima, lo cual es incorrecto desde un punto
de vista estricto.
La conexin inversa tiene claras ventajas sobre la conexin directa. sta traspasa
algunos firewalls (la mayora de los firewall no analizan los paquetes que salen de
la computadora, pero que s analizan los que entran), pueden ser usados en redes
situadas detrs de un router sin problemas (no es necesario redirigir los puertos)
y no es necesario conocer la direccin IP del servidor.[cita requerida]
Cabe destacar que existen otro tipo de conexiones, que no son de equipo vctima
a equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a
ambos, para realizar el proceso de control. Se suelen utilizar para este propsito
los protocolos IRC y el FTP, HTTP, aunque tambin pueden usarse otros.[

Formas de infectarse con troyanos

La mayora de infecciones con troyanos ocurren cuando se ejecuta un programa
infectado con un troyano. Estos programas pueden ser de cualquier tipo,
desde instaladores hasta presentaciones de fotos. Al ejecutar el programa, este se
muestra y realiza las tareas de forma normal, pero en un segundo plano y al
mismo tiempo se instala el troyano. El proceso de infeccin no es visible para el
usuario ya que no se muestran ventanas ni alertas de ningn tipo, por lo que

evitar la infeccin de un troyano es difcil. Algunas de las formas ms comunes de

infeccin son:
Descarga de programas de redes P2P.
Pginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o
aplicaciones Java).
Exploits para aplicaciones no actualizadas (navegadores, reproductores
multimedia, clientes de mensajera instantnea).
Ingeniera social (por ejemplo un cracker manda directamente el troyano a la
vctima a travs de la mensajera instantnea).
Archivos adjuntos en correos electrnicos y archivos enviados por mensajera
instantnea.
Conectar a su equipo un dispositivo externo infectado.
Actualizar software de su equipo.
No tener ningn tipo de software de proteccin
Debido a que cualquier programa puede realizar acciones maliciosas en un
ordenador, hay que ser cuidadoso a la hora de ejecutarlos. Estos pueden ser
algunos buenos consejos para evitar infecciones:
Disponer de un programa antivirus actualizado regularmente para estar protegido
contra las ltimas amenazas.
Disponer de un firewall correctamente configurado. Algunos antivirus lo traen
integrado.
Tener instalados los ltimos parches y actualizaciones de seguridad del sistema
operativo.
Descargar los programas siempre de las pginas web oficiales o de pginas web
de confianza.
No abrir los datos adjuntos de un correo electrnico si no conoces al remitente.
Evitar la descarga de software de redes p2p.

Algunas seales de que nuestra computadora est infectada por un

troyano[editar]
Pantalla o ventanas con mensajes poco usuales.
Sin justificacin aparecen, desaparecen y se modifican archivos.
Comportamientos poco habituales en el funcionamiento de la computadora,
como: modificaciones en el escritorio, refrescadores de pantalla, la unidad de CDDVD, intercambio de las funciones de los botones del ratn, alteracin del
volumen del reproductor de sonido.
Se activan o desactivan ventanas en la pantalla.
Presencia de ficheros .TXT o sin extensin en el disco duro, preferiblemente en
C:\.
Lentitud en el Sistema Operativo, bloqueos continuos o se reinicia el sistema sin
que se conozcan las causas, programas que inesperadamente comienzan su
ejecucin o la concluyen.
El navegador de Internet accede por s solo a determinados sitios.
El navegador de Internet o el cliente de correo no reconoce nombre y contrasea
o indica que ya est siendo utilizado.
En la carpeta de enviados del cliente de correo electrnico se muestran mensajes
no conocidos.

Eliminacin de troyanos
Una de las principales caractersticas de los troyanos es que no son visibles para
el usuario. Un troyano puede estar ejecutndose en un ordenador durante meses
sin que el usuario lo perciba. Esto hace muy difcil su deteccin y eliminacin de
forma manual. Algunos patrones para identificarlos son: un programa desconocido
se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automtica,
el ordenador funciona ms lento de lo normal, errores en el sistema operativo.
Por otro lado los programas antivirus estn diseados para eliminar todo tipo de
software malicioso, adems de eliminarlos tambin previenen de nuevas

infecciones actuando antes de que el sistema resulte infectado. Es muy

recomendable tener siempre un antivirus instalado en el equipo y a ser posible
tambin un firewall.

Tipos de troyanos[editar]
Backdoors: Un troyano de estas caractersticas, le permite al atacante
conectarse remotamente al equipo infectado. Las conexiones remotas son
comnmente utilizadas en informtica y la nica diferencia entre estas y un
backdoor es que en el segundo caso, la herramienta es instalada sin el
consentimiento del usuario. La tecnologa aplicada para acceder remotamente al
equipo no posee ninguna innovacin en particular ni diferente a los usos
inofensivos con que son utilizadas estas mismas aplicaciones. Una vez que el
atacante accede al ordenador del usuario, los usos que puede hacer del mismo
son variados, segn las herramientas que utilice: enviar correos masivos, eliminar
o modificar archivos, ejecucin de archivos, reiniciar el equipo o usos ms
complejos como instalar aplicaciones para uso malicioso (por ejemplo:
alojamiento de sitios web de violencia o pedofilia).
Keyloggers: Los keyloggers (del ingls Key = Tecla y Log = Registro) son uno de
los tipos ms utilizados para obtener informacin sensible de los usuarios. Los
troyanos de este tipo, instalan una herramienta para detectar y registrar las
pulsasiones del teclado en un sistema. Pueden capturar informacin como
contraseas de correos, cuentas bancarias o sitios web, entre otras, y por lo tanto
atentar contra informacin sensible del usuario. La informacin capturada es
enviada al atacante generalmente, en archivos de texto con la informacin. Estos
troyanos, no son una amenaza para el sistema sino para el usuario y su
privacidad. Los datos recolectados, pueden ser utilizados para realizar todo tipo
de ataques, con fines econmicos o simplemente malignos como modificar las
contraseas de las cuentas de acceso a algn servicio.

Banker: Los troyanos bancarios tienen como principal objetivo robar datos
privados de las cuentas bancarias de los usuarios. Utilizan diferentes tcnicas
para obtener los datos de acceso a todo tipo de entidades financieras, algunas de
ellas son: reemplazar parcial o totalmente el sitio web de la entidad, enviar
capturas de pantalla de la pgina bancaria (tiles cuando el usuarios utiliza
teclados virtuales) o incluso la grabacin en formato de video de las acciones del
usuario mientras accede al sitio web. Los datos son enviados al atacante, por lo
general, por correo electrnico o alojndolos en sitios FTP.
Downloader: Este tipo de troyanos tiene como principal funcin la de descargar
otros archivos maliciosos. Esta clase de amenazas no hace algn dao en s, sino
que descarga otros archivos maliciosos para el ordenador. El troyano se encarga,
no solo de descargar el/los archivos, sino tambin de ejecutarlos o preparar la
mquina para su ejecucin automtica al inicio.
Botnets: Los troyanos botnets, son utilizados para crear redes de equipos zombis
(botnets). El atacante utiliza el troyano (generalmente combinado con
herramientas de backdoors) para controlar una cantidad importante de
ordenadores y as poder utilizarlos para cualquier fin maligno. Pueden ser
utilizados para enviar spam o para realizar ataques de denegacin de servicio
(DoS); estos consisten en saturar un sitio web generando ms accesos y
requerimientos de los que puede soportar y provocando la baja del servicio.
Proxy: Este tipo de troyanos instalan herramientas en el ordenador que le
permiten al atacante utilizar la Pc infectada como un servidor proxy. Un proxy es
un servidor que da acceso a otros ordenadores a Internet a travs de l. En este
caso, el atacante utiliza el ordenador infectado para acceder a la web a travs de
l, enmascarando su identidad.
Password Stealer: Los password Stealer se encargan de robar informacin
introducida en los formularios en las pginas web. Pueden robar informacin de
todo tipo, como direcciones de correo electrnico, logins, passwords, PINs,
nmeros de cuentas bancarias y de tarjetas de crdito. Estos datos pueden ser

enviados por correo electrnico o almacenados en un servidor al que el

delincuente accede para recoger la informacin robada. En la mayora de sus
versiones, utilizan tcnicas keyloggers para su ejecucin y son similares a estos.
Dialer: Los troyanos Dialer crean conexiones telefnicas en el ordenador del
usuario, utilizando las funcionalidades del mdem. Estas conexiones son creadas
y ejecutadas de forma transparente a la vctima. Generalmente, se trata de
llamados de alto costo a sitios relacionados con contenido adulto en Internet. Este
tipo de troyanos crean un dao econmico al usuario, el ordenador no se ve
afectado por hacer una llamada telefnica.

Troyanos ms famosos
Nombre
Autor
Ao
Conexin
Lenguaje
NetBus
Carl-Fredrik Neikte 1997 Directa
Delphi
Back Orifice Sir Dystic
1998 Inversa
C++
Sub7
MobMan
1999 Directa
Delphi
Bifrost
KSV
2004 Directa / Inversa Delphi/C++
Bandook
Princeali
2005 Directa / Inversa C++
Poison Ivy Shapeless
2009 Inversa
Delphi/ASM
NetBus (1998): software malicioso para el control de una forma remota de
sistemas informticos Microsoft Windows a travs de una red. Fue creado en 1998
y ha sido muy controvertido por su potencial de ser utilizado como una puerta
trasera.
Historia
NetBus se escribi en Delphi por Carl-Fredrik Neikter, un programador sueco en
marzo de 1998. Entr en circulacin antes que Back Orifice, fue liberado en
agosto de 1998. El autor afirm que el programa estaba destinado a ser usado
para bromas, no para irrumpir ilegalmente en los sistemas informticos. Traducido
del sueco, el nombre significa "NetPrank". Sin embargo, el uso de NetBus ha
tenido graves consecuencias. En 1999, NetBus se utiliz para introducir
pornografa infantil en el equipo de trabajo de Magnus Eriksson, un erudito en
Derecho Universidad de Lund. Las 3500 imgenes fueron descubiertas por los

administradores del sistema, y Eriksson se supone que lo haba descargado a

sabiendas.
Caractersticas
Existen dos componentes para la arquitectura cliente-servidor. El servidor debe
ser instalado y ejecutado en el equipo que quiere ser controlado a distancia, el
tamao de archivo es de casi 500 KB. El nombre y el icono han variado mucho de
versin a versin. Nombres comunes eran "Patch.exe" y "SysEdit.exe". Cuando se
inicia por primera vez, el servidor se instala en el ordenador host, incluyendo la
modificacin de Windows del Registro para que se inicie automticamente en
cada inicio del sistema.
Back Orifice: es un programa de control remoto de ordenadores que funciona
bajo un servidor y un cliente. Si colocamos el servidor a otro ordenador remoto, es
posible desde el cliente, gobernar cualquier funcin del ordenador remoto, entre
los que destaca abrir y cerrar programas, controlar el CD-ROM, leer y modificar
ficheros o borrar parte del disco duro. Para ello el servidor se autoejecuta y se
borra cada vez que el ordenador ajeno se enciende, nuestro cliente escanea el
puerto elegido y cuando ste est abierto acta a travs de l, desde un men
repleto de pestaas y opciones de control remoto. El sistema es bueno para
controlar un ordenador u ordenadores dentro de nuestra red LAN, aunque dejar
este puerta abierta para Windows es toda una amenaza.
Sub7(1999): Sub7, o SubSeven, es un software de administracin remota para
sistemas Microsoft Windows a travs del Internet, es tambin categorizado como
troyano o Puerta trasera por ciertas caractersticas similares a las de un virus
informtico. Es usado para acceder y controlar de forma remota una computadora
sin el consentimiento del usuario, en donde es el usuario que mantiene en su
poder al Cliente del software por medio del Servidor que permite que el sistema
comprometido sea controlado de forma remota.
Bifrost(2004): Es una variante de virus informtico , el cual es usado para
acceder remotamente a otra pc , sin consentimiento.