A muy grandes rasgos. Casi cualquier tipo actividad dentro del sistema puede ser monitorizada. Esto ocurre tanto en sistemas Windows con las Auditorias como en ficheros logs de Linux.

Si un troyano a conseguido "infiltrarse" en nuestras líneas es seguro que forme parte de algún proceso del sistema durante algún tiempo. Hay que monitorizar los procesos poco habituales o extraños a nuestro sistema. En Linux podemos usar lsof para "ver" procesos y ficheros involucrados a `parte de otras muchas herramientas. En windows tenemos también herramientas como aports.exe e incluso TCPView. Rizando el rizo y para hacer una monitorización exauhusativa podenmos hacer uso de windump o TCPdump cuyo manual está en este foro o usar un IDS/NIDS tipo Snort.

El sistema de archivos de sistema tanto en número de archivos como cambios en su tamaño denota la existencia de anomalías o presencia de troyanos adulterando o cambiando programas o ficheros del sistema. En windows podemos comprobar la nueva aparición de DLLs o EXEs en c:\windows o c:\windows\system que nos resulten extraños. En linux un intruso puede haber modificado:

su
telnet
netstat
ifconfig
ls
find
du
df
libc
sync, etc



Mirar también servicios no autorizados y activados en nuestro sistema.

En un sistema Windows se llevan a cabo alguans modificaciones en el sistema:

SYSTEM.INI: En este fichero suelen modificar la entrada "shell":

[boot]
shell=Explorer.exe (ruta y nombre troyano)

-> debe estar en condiciones normales:

[boot]
shell=Explorer.exe

WIN.INI: Aquí las entradas "load" o "run", cualquiera de las dos vale:

[windows]
load= (ruta y nombre troyano)
run= (ruta y nombre troyano)

Hemos de dejarlas así-> debe estar en condiciones normales:
[windows]
load=
run=

Registro de windows. Algo más complicado de de detectar pero claves importantes para inpeccionar son:

"HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run"
(mirar también RunOnce)
"HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices"
(mirar también RunServicesOnce)
"HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Remote Administration Service"
etc,

Monitorización de las conexiones activas mediante netstat:

"NETSTAT -an" muestra todas las conexiones y puertos a la escucha.

"NETSTAT -a", muestra todas las conexiones y puertos a la escucha.
y mostrará el nombre de la máquina a la que nos conectamos.

una vez detectadas las conexiones extrañas y los puertos utuilizados podemos terminar el proceso, averiguar de que troyano se trata y eliminarlo.

Revisión de autoexec.bat y system.ini

Y por su puesto, existe programas Antitroyanos que hacen todo por nosotros.

Respecto al tema de firewall/router. Un firewall o un router con NAT bien configurado es un muro bastante importante para un troyano, a parte claro está que algunos antivirus también realizan la tarea de detectarlos. Hay que tener en cuenta también que algunos troyanos se aprovecha de vulnerabilidades que aparecen en los routers repcto a puertos, NAT, PAT, etc.

Permisos restrictivos.

En sistemas windows2000/NT, etc es buena práctica el uso de permisos restricitivos en las carpeta WINNT o carpeta donde alojemos el sistema operativo, asi como, hacer uso del editor de políticas del sistema "poledit.exe", para restringir el acceso al registro.