Buenos días,
Estoy estudiando el troyano Bifrost. No sé apneas de troyanos, y estoy empezando a saber algo.
Por ejemplo , el builder de Bifrost le puedes decir que se ejecute como el proceso que quieras, svchost, o cualquiera que se le ocurra al atacante que pase desapercibido al usuario del equipo víctima ya que verá en el Administrador de tareas o con el prorgama Process Explorer, verá un proceso aparentemente legítimo que sin embargo no lo es.
De todas maneras, para mi tranquilidad, acabo de leer las faqs de esta sección de Malwares, muy buena pero en mi opinión actualizable (ya qye muchos posts son de 2007 y estamos a 2011 --> crítica constructiva) .
Decía qe acabo de leer en las faqs que svchost está en c:\windows\system32, por lo que una manera muy sencilla de saber si es un troyano o no es ver que ruta tienen todos los svchost que se estén ejecutando (con processexplorer se ve la ruta) y si es distinta, saremos en un 99.9% que es un proceso ilegítimo, un troyano, no ?
Lo que he leido también de Bifrost es que hay una pestaña en el builder o contructor que le puedes decir que se instale como un rootkit, y aunque algo he leido, no sé exactamente lo que es un rootkit y en que mejora la no detección del troyano.
De todas maneras no sé si mi Comodo firewall + antivirus + (Defense and Security Level) hace también de anti-rootkit, porque no quiero tener en mi sistema un anti-troyano, un ati-rootkit, un antivirus, un antispyware, de diferentes fabricantes, aunque quizás la idea no es mala, no lo sé. Pero estoy probando Comodo y me parece un buen producto.
Conclusión: Mirar las rutas de los procesos que se están ejecutando con processexplorer (ya que con administrador de tareas veo que no se puede) y corroborrar que sean las rutas legítimas.
Además he leido que al ser un troyano de conexión inversa, muchos firewalls no examinan el tráfico de salida de un pc (lo cual me parece muy mala idea por cierto) , aunque no sé si Comodo hace digamos como IDS, por decirlo así, es decir, no sólo dejar pasar o no el tráfico en torno a las reglas creadas por el firewall, sino hacer inspección de los pequetes, de las cabeceras, de los protocolos, etc.
Gracias por adelantado !!
