Hoy en día, las puertas traseras son el tipo de troyanos más peligroso y difundido. Estos troyanos son utilitarios de administración remota que someten los equipos infectados a un control externo por medio de la red local o Internet. Su forma de funcionamiento es similar a la de los programas de administración remota (a distancia) usados por los administradores de sistemas. Esto hace que sea dificil detectarlos.
La única diferencia entre una herramienta de administración legal y una puerta trasera es que éstas se instalan sin que el usuario lo sepa y sin su consentimiento. Cuando la puerta trasera es ejecutada, empieza a monitorear el sistema local sin que el usuario lo note. Con frecuencia la puerta trasera no figura en el log de los programas activos.
Una vez que un utilitario de administración a distancia se instala y ejecuta, el equipo de la víctima queda a disposición del agresor. Las puertas traseras pueden:
- Enviar y recibir archivos
- Activar y eliminar archivos
- Ejecutar archivos
- Mostrar notificaciones
- Borrar datos
- Reiniciar el ordenador
En otras palabras, los autores de virus usan las puertas traseras para detectar y bajar información confidencial, ejecutar código malicioso, destruir datos, incluir el ordenador en redes bot, etc. En resumen, las puertas traseras combinan la funcionalidad de la mayoría de tipos de troyanos en un solo paquete.
La puertas traseras tienen una subclase particularmente peligrosa: las variantes que pueden propagarse como gusanos. La única diferencia es que los gusanos están programados para propagarse constantemente, en tanto que las puertas traseras móviles se propagan unicamente al recibir una instrucción específica de su "amo".
Esta amplia categoría incluye una gran variedad de troyanos que causan daños a los equipos de las víctimas, amenazan la integridad de sus datos o perjudican el funcionamiento del equipo de la víctima.
Los troyanos multifuncionales también se incluyen en este grupo, ya que algunos creadores de virus prefieren crear troyanos multifuncionales antes que paquetes de troyanos.
Esta familia de troyanos se dedica a robar contraseñas, por lo general, las contraseñas para entrar al sistema de los equipos de las víctimas. Estos troyanos buscan los archivos del sistema que contienen información confidencial tales como contraseñas y números de acceso a Internet para luego enviar esta información a una dirección de correo elctrónico contenida en el cuerpo del troyano. La información secuestrada será usada por el "amo" o usuario del programa ilegal.
Algunos troyanos pueden robar otro tipo de información:
- Detalles de la configuración del sistema (memoria, espacio libre, detalles del sistema operativo)
- Detalles del cliente de correo electrónico
- Direcciones IP
- Detalles de inscripción
- Contraseñas de juegos en línea
Los troyanos AOL son ladrones de contraseñas de America Online. Los hemos puesto en subgrupos porque son demasiado numerosos.
Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.
Los clickers suelen usarse para:
- Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios
- Organizar ataques DoS contra el servidor o sitio especificado
- Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos (virus o troyanos).
Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin su consentimiento.
Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet.
Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica o en un disco local para luego ser ejecutado.
Por lo general los droppers tienen la siguiente estructura:
Archivo principal
contiene la "carga útil" del troyano |
File 1
primera carga útil |
File 2
segunda carga útil |
...
el programador puede incluir todos los archivos que desee |
El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.
En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración: chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.
Los hackers usan estos programas para alcanzar dos objetivos:
- Ocultar o disimular la instalación de otros troyanos o virus
- Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes
Funcionan como servidores proxy y proporcionan acceso anónimo a Internet desde los equipos de las víctimas. Hoy en día estos troyanos son muy populares entre los spammers que siempre necesitan de equipos adicionales para hacer sus envíos masivos. Los programadores de virus con frecuencia incluyen proxies-troyanos en sus paquetes de troyanos y venden las redes de equipos infectados a los spammers.
Esta familia incluye un variedad de programas espías y key loggers, que monitorean la actividad del usuario en el equipo afectado y luego envían esta información a su "amo". Los espías troyanos recolectan varios tipos de información:
>
- Textos introducidos por medio del teclado
- Capturas de pantalla (screenshots)
- Logs de las aplicaciones activas
- Otras acciones de los usuarios
Estos troyanos están siendo cada vez más utilizados para robar información bancaria y financiera que pueda servir de soporte para fraudes en línea.
Notificadores troyanos
Estos troyanos envían informes acerca del equipo infectado a su "amo". Los notificadores confirman que un equipo ha sido infectado y envía información sobre la dirección IP, los puertos abiertos, las direcciones de correo electrónico y otros datos del equipo de la víctima. Esta información se puede enviar por correo electrónico, al sitio web del "amo" o por ICQ.
Por lo general, los notificadores se incluyen en los paquetes troyanos y se usan solamente para informar al "amo" que el troyano ha sido instalado con éxito en el equipo de la víctima.
Rootkits
Un rootkit es una colección de programas usados por un hacker para evitar ser detectados mientras buscan obtener acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un módulo de kernel. El hacker instala el rootkit después, obteniendo un acceso similar al del usuario: por lo general, crakeando una contraseña o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta conseguir el acceso de raiz o administrador.
A pesar de que el término tiene su origen en el mundo de Unix, ha sido usado para denominar las técnicas utilizados por los autores de troyanos para Windows. El uso de rootkits para enmascarar las actividades de los troyanos está creciendo, ya que muchos de los usuarios de Windows ingresan al sistema con credenciales de administrador.
"Bombas" para compresores de archivos
Estos troyanos son archivos comprimidos programados para sabotear al programa de descompresión cuando éste intente abrir el archivo comprimido infectado. El equipo víctima puede ralentizarse o colapsar cuando la bomba troyana explota, o el disco duro se puede llenar de datos sin sentido. Las ArcBombs representan un especial peligro para los servidores, sobre todo cuando los datos entrantes son procesados de forma automática. En casos como éste, una ArcBomb puede hacer que el servidor colapse.
Hay tres tipos de ArcBombs: los que contienen un encabezamiento incorrecto, datos repetitivos o varios ficheros idénticos en el archivo.
Un encabezamiento incorrecto, o la presencia de datos corruptos pueden causar que el programa de descompresión colapse cuando intente abrir y descomprimir el archivo infectado.
Un archivo grande que contiene datos repetitivos puede ser comprimido en un archivo diminuto: 5 gigabytes pueden convertirse en 200KB si se usa RAR y en 480 KB si se usa ZIP.
Además, existen tecnologías especiales que permiten empaquetar un enorme número de archivos idénticos en un solo fichero sin afectar significativamente el tamaño del archivo en sí mismo: así, es posible empaquetar 10100 archivos idénticos en un archivo RAR de 30 KB o en un ZIP de 230 KB.