Foros del Web - Detección y desinfección de un Troyano

Foros del Web (http://www.forosdelweb.com/)

- Virus, troyanos y spyware (http://www.forosdelweb.com/f66/)

- - Detección y desinfección de un Troyano (http://www.forosdelweb.com/f66/deteccion-desinfeccion-troyano-582476/)

Detección y desinfección de un Troyano

En este post, explicaré como detectar un troyano y eliminarlo, además de conocer la identidad del atacante.

Comencemos:
1.- Que es un troyano
Un troyano es una aplicación Cliente - Servidor que hace que el Cliente (atacante) se conecte al Servidor (víctima que ha abierto la aplicación camuflada) y realize acciones en el PC de la víctima. Aquí explicaré como detectarlo y eliminarlo, pero casi siempre cuando lo detectamos es demasiado tarde. Para eso, estoy trabajando en una aplicación Anti-Troyanos que nos librará de muchos problemas...

2.- Detección
Para detectar un troyano, usaremos la más preciada arma de muchos hackers: la CMD, el último trozo de DOS. Sigamos estos sencillos pasos:
1.- Desactivamos los P2P (eMule, Ares, Kazaa, BitTorrent, Azureus...)
2.- Desactivamos el MSN Messenger y todas las variantes que pueda tener (Google Talk, Yahoo! Messenger, aMSN...)
3.- Vamos a Inicio --> Ejecutar
4.- Escribimos cmd.exe y le damos a Aceptar

Ya estamos en la CMD, asi que vamos a poder detectar el troyano... Escribamos esto:
netstat -n
y le damos a Enter. Asi nos aparecerán todas las conexiones de nuestro PC (por eso antes desactivamos los P2P y servicios de mensajería instantanéa). Nos fijaremos en la columna Dirección local. Alli pueden aparecer estas IP´s
Tu IP (la puedes averiguar en http://www.cualesmiip.com/)
127.0.0.1
129.0.0.1
192.168.0.1

(No te fijes en los dos puntos de detrás de las IP´s)
Si te aparece una IP que no sea la tuya o las especificadas arriba... ¡¡¡CORRE!!! ¡¡¡DESCONECTA INTERNET!!! ¡¡ES CUESTIÓN DE SEGUNDOS!!
Una vez hecho esto, podremos ejecutar tranquilamente la desinfección...

3.- Desinfección
Con Internet desconectado estamos a salvo de momento, pero debemos eliminar el Troyano de los daños que puede hacer más tarde. Escribiremos esto en la CMD:
start regedit.exe
Y pulsamos Enter. Asi habremos abierto el editor de registros, que usaremos para eliminar el troyano del registro (suelen auto-agregarse). Iremos hasta esta clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run/
Allí revisaremos todos los archivos agregados, y si hay alguno sospechoso, lo eliminamos. Ahora procederemos a reiniciar el equipo para terminar la desinfección... Desde la CMD escribe esto:
shutdown -r -t 20 -c "Desinfección finalizada. Un saludo de Darth_Carl que espera que te haya servido su tutorial"
y le damos a Enter. En 20 segundos tu PC se reiniciará
Bueno, paso el apuro. Ya está todo arreglado. Ahora daré algunos consejos para prevenir el próximo ataque

4.- Previniendo más posibles ataques
Para prevenir más posibles ataques, realiza esto:
- Descargate un Firewall o Cortafuegos
- Comprate un antivirus **Editado por Moderador**
- Utiliza la técnica de detección de vez en cuando
- Identifica la IP del hacker. Para esto apunta la IP que conseguimos con el netstat -n
- Si cuando inicias ciertas aplicaciones el Troyano se reactiva, desconecta Internet, apunta la aplicación y preguntame por Privado o por mi web
¿Es muy difícil? Realizalo por más seguridad

Fuente:
http://forosdwp.websmastershost.uni.cc/foros/viewtopic.php?p=434#p434

Re: Detección y desinfección de un Troyano

Que bueana iformacion grasias por compartirla boy a probar ya que hace un tiempo un troyano me infesto la maquina y me di obligado a formatearla

Re: Detección y desinfección de un Troyano

Hola, habría que tener mucho cuidado en la manipulación del registro, debes tener en cuenta que muchos programas pueden verse afectados por una mala manipulación del registro. Por cierto esta no sería la única clave de registro a revisar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run/

Faltarían estas:

Código HTML:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

Entre otras, pero repito: No debe manipularse el registro a menos que estés 100% seguro de lo que haces, por eso no es recomendable indicarle a un usuario con conocimientos mínimos de computación que manipule el registro.

Las técnicas actuales de infección van mas allá que unas cuantas entradas de registro y unos cuantos archivos, ahora se estila añadir rootkits los cuales se hacen difíciles de detectar por la mayoría de antivirus y antispywares, por eso se debe utilizar herramientas avanzadas como Hijackthis y/o ComboFix con la debida asesoría.

Saludos :adios:

Respuesta: Detección y desinfección de un Troyano

Hola estimado Darth...tengo una inquietud me encontre con la siguiente IP 192.168.1.100cuando seguia tus concejos...difiere un poco de las tuyas..es una error? o lo que acabo de encontrar es un troyano??

Adyudame por favor...

Respuesta: Detección y desinfección de un Troyano

A mi parecer , el numero puede cambiar un poco. Lo importante que se dice acá es que no haya dos numeros diferentes. Que siempre sea la misma ip en el listado.

Respuesta: Detección y desinfección de un Troyano

Cerrado...

No se permite revivir temas viejos. Por favor, fijate en la parte inferior del mensaje donde aparece un mensaje en ROJO donde dice que NO se permite revivir temas viejos.