Darth_Carl
Colaborador
Mensajes: 2.666
Desde: 07/Ago/2007 | Detectando y desinfectando un troyano
En este post, explicaré como detectar un troyano y eliminarlo, además de conocer la identidad del atacante.
Comencemos:
1.- Que es un troyano
Un troyano es una aplicación Cliente - Servidor que hace que el Cliente (atacante) se conecte al Servidor (víctima que ha abierto la aplicación camuflada) y realize acciones en el PC de la víctima. Aquí explicaré como detectarlo y eliminarlo, pero casi siempre cuando lo detectamos es demasiado tarde. Para eso, estoy trabajando en una aplicación Anti-Troyanos que nos librará de muchos problemas...
2.- Detección
Para detectar un troyano, usaremos la más preciada arma de muchos hackers: la CMD, el último trozo de DOS. Sigamos estos sencillos pasos:
1.- Desactivamos los P2P (eMule, Ares, Kazaa, BitTorrent, Azureus...)
2.- Desactivamos el MSN Messenger y todas las variantes que pueda tener (Google Talk, Yahoo! Messenger, aMSN...)
3.- Vamos a Inicio --> Ejecutar
4.- Escribimos cmd.exe y le damos a Aceptar
Ya estamos en la CMD, asi que vamos a poder detectar el troyano... Escribamos esto:
netstat -n
y le damos a Enter. Asi nos aparecerán todas las conexiones de nuestro PC (por eso antes desactivamos los P2P y servicios de mensajería instantanéa). Nos fijaremos en la columna Dirección local. Alli pueden aparecer estas IP´s
Tu IP (la puedes averiguar en http://www.cualesmiip.com/)
127.0.0.1
129.0.0.1
192.168.0.1
(No te fijes en los dos puntos de detrás de las IP´s)
Si te aparece una IP que no sea la tuya o las especificadas arriba... ¡¡¡CORRE!!! ¡¡¡DESCONECTA INTERNET!!! ¡¡ES CUESTIÓN DE SEGUNDOS!!
Una vez hecho esto, podremos ejecutar tranquilamente la desinfección...
3.- Desinfección
Con Internet desconectado estamos a salvo de momento, pero debemos eliminar el Troyano de los daños que puede hacer más tarde. Escribiremos esto en la CMD:
start regedit.exe
Y pulsamos Enter. Asi habremos abierto el editor de registros, que usaremos para eliminar el troyano del registro (suelen auto-agregarse). Iremos hasta esta clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/
Allí revisaremos todos los archivos agregados, y si hay alguno sospechoso, lo eliminamos. Ahora procederemos a reiniciar el equipo para terminar la desinfección... Desde la CMD escribe esto:
shutdown -r -t 20 -c "Desinfección finalizada. Un saludo de Darth_Carl que espera que te haya servido su tutorial"
y le damos a Enter. En 20 segundos tu PC se reiniciará
Bueno, paso el apuro. Ya está todo arreglado. Ahora daré algunos consejos para prevenir el próximo ataque
4.- Previniendo más posibles ataques
Para prevenir más posibles ataques, realiza esto:
- Descargate un Firewall o Cortafuegos
- Comprate un antivirus (o utiliza el "truco")
- Utiliza la técnica de detección de vez en cuando
- Identifica la IP del hacker. Para esto apunta la IP que conseguimos con el netstat -n
- Si cuando inicias ciertas aplicaciones el Troyano se reactiva, desconecta Internet, apunta la aplicación y preguntame por Privado o por mi web
¿Es muy difícil? Realizalo por más seguridad
Fuente
Editado por Darth_Carl, Sábado, 26 de Abril de 2008, 21:25 |
 26/Abr/2008 21:23 GMT+1 |  Perfil ·  Privado ·  Desconectado ·  Web ·  Fotolog |
Crea tu foro GRATIS
Usuario
Estadisticas
Funciones
Afiliados
