Clasificación de Troyanos

Los troyanos pueden ser clasificados de acuerdo a las acciones que realizan en las máquinas que atacan.

• Backdoors
• Troyanos en General
• Troyanos PSW
• Troyanos Clickers
• Troyanos Downloaders
• Troyanos Droppers
• Troyanos Proxies
• Troyanos Espias
• Troyanos Notifiers
• ArcBombs
• Rootkits

Backdoors

Hoy en día los backdoors son el tipo de troyano más peligroso y más diseminado. Estos troyanos son utilidades de administración remota que abren en las máquinas infectadas un control externo via LAN o internet. Su función es la misma que con los programas de administración remota usados por sistemas administradores. Lo que los hacen dificiles de detectar.

La única diferencia entre una herramienta de administración legal y un backdoor, es que los backdoors son instalados y lanzados sin conocimiento o consentimiento del usuario de la máquina afectada. Una vez que el backdoor es lanzado, este monitorea el sistema local sin conocimiento del usuario; a menudo los backdoor no son visibles en los logs de los programas activos.

Una vez que la utilidad de administración remota ha sido instalada y lanzada con éxito, la máquina víctima queda totalmente expuesta. Las funciones de un backdoor pueden incluir:

• Enviar y recibir archivos
• Lanzar / Borrar archivos
• Ejecutar archivos
• Mostrar una notificación
• Borrar datos
• Re-iniciar la máquina

En otras palabras, los backdoors son usados por los realizadores de virus para detectar y descargar información confidencial, ejecutar código malicioso, destruir datos, incluir la máquina en redes zombies, etc. Para resumir, los backdoors combinan la funcionalidad de la mayoría de los tipos de troyanos en un solo paquete.

Los backdoors tienen un subclase especialmente peligrosa: variantes que pueden propagarse como gusanos. La única diferencia es que los gusanos son programados para propagarse constantemente, mientras que los ‘mobile backdoors’ se esparcen solo luego de un comando especifico.

Troyanos en General

Esta categoría incluye una variedada de troyanos que dañan las máquinas víctimas o amenazan la integridad de los datos, o deteriore el funcionamiento de la máquina víctima.

Los troyanos multi-propósito también se incluyen en este grupo, así como algunos creadores de virus purpose crean troyanos multi-funcionales en lugar de paquetes de troyanos.

Troyanos PSW

Esta familia de troyanos roba claves de la máquina víctima. Buscan en el sistema de archivo información confidencial tales como claves y números de teléfonos que accedan a Internet, y envian esta información a una dirección de e-mail codificada dentro del cuerpo del troyano.

Algunos troyanos PSW roban otro tipo de información tal como:

• Detalles del sistema (memoria, espacio en disco, detalles del Sistema Operativo)
• Clientes de e-mail local
• Direcciones de IP
• Detalles de registración
• Claves para juegos en línea

Trojan-AOL son troyanos PSW que roban claves de aol (American Online). Pueden estar contenidos en sub-grupos debido a que son muy numerosos.

Troyanos Clickers

Esta familia de troyanos redirige la máquina víctima a sitios u otros recursos de Internet. Los clickers puede incluso enviar los comandos necesarios al navegador o reemplazar archivos del sistema donde las URL son almacenadas (por ejemplo, el archivo ‘hosts’ en MS Windows).

Los clickers son usados:

• Para subir contadores de un sitio específico con propósitos de publicidad
• Para organizar un ataque de DoS en un servidor o sitio específico
• Para llevar a la víctima a un recurso infectado donde la máquina que será atacada por otro malware (virus o troyanos)

Troyanos Downloaders

Esta familia de troyanos, descarga e instala nuevo malware o adware en la máquina víctima. El downloader puede o lanzar nuevo malware o registrarlos para habilitar el auto-inicio de acuerdo a los requerimientos del sistema operativo local. Todo esto es realizado sin conocimiento o consentimiento del usuario.

Los nombres y ubicaciones del malware para ser descargadas pueden estar en el código dentro del troyano o descargados desde un sitio web u otra ubicación en Internet.

Troyanos Droppers

Esos troyanos son usados para instalar otros malware en las máquinas víctimas sin conocimiento del usuario. Los droppers instala su payload[1] sin mostrar ninguna notificación, o mostrando un falso mensaje sobre un error en un archivo o en el sistema operativo. El nuevo malware es descargado a una ubicación específica en el disco local y entonces es lanzado.

Los droppers normalmente son estructurados de la siguiente forma:

Archivo Principal contiene el descargador del payload

Archivo 1 primer payload

Archivo 2 segundo payload

… así, tantos archivos como el codificador elija incluir

La funcionalidad del dropper puede contener código para instalar y ejecutar todos los archivospayload.

En la mayoría de los casos, el payload contiene otros troyanos y al menos un hoax, jokes (bromas), juegos, gráficos, etc. El hoax esta destinado a distraer al usuario o para probar que la actividad causada por el dropper es inofensiva, mientras realmente sirve para enmascarar la instalación del payload peligroso.

Los hackers usan estos programas para lograr dos objetivos:

1. Ocultar la instalación de otros troyanos y virus
2. Engañar antivirus que no son capaces de analizar todos los componentes

Troyanos Proxies

Estos troyanos funcionan como un servidor proxy y proveen acceso anónimo a Internet desde las máquinas víctimas. En la actualidad, estos troyanos son muy populares entre los spammers que siempre necesitan máquinas adicionales para el envio masivo de e-mails. Los codificadores de virus a menudo incluyen los troyanos proxies en paquetes de troyanos y venden redes de máquinas infectadas a los spammers.

Troyanos Espías

Esta familia incluye una variedad de programas espías y key loggers, los cuales rastrean y guardan la actividad del usuario en la máquina víctima y re-envían esta información. Los troyanos espías recolectan un rango de información, incluyendo:

• Keystrokes (pulsaciones de teclas)
• Screenshots
• Logs de aplicaciones activas
• Otras acciones del usuario

Estos troyanos son mayormente usados para robo bancario y otra información financiera necesaria para un fraude en línea.

Troyanos Notifiers

Estos troyanos informan al hacker sobre la máquina infectada. Los notifiers (notificadores) confirman que la máquina ha sido exitosamente infectada, y envían información sobre la dirección IP, número de puertos abiertos, direcciones de e-mail, etc; de la máquina víctima. Esta información puede ser enviada por e-mail al hacker o por ICQ.

Los notifiers son generalmente incluídos en un paquete de troyanos y usado solo para informar que el troyano ha sido exitosamente instalado en la máquina víctima.

Rootkits

Un rootkit es una colección de programas usados por un hacker para evadir la detección mientras intenta ganar acceso no autorizado en una computadora. Esto es realizado reemplazando archivos o librerias del sistema, o instalando un módulo de kernel. El hacker instala el rootkit luego de obtener acceso a nivel de usuario: esto suele ser hecho por romper una clave o explotando alguna vulnerabilidad. Entonces esto es usado para obtener IDs de usuarios hasta que el hacker gane los derechos de root, o administrador.

Los rootkits se han utilizado cada vez más para ocultar actividad de los troyanos, algo que lo facilita ya que muchos usuarios de Windows users ingresan con derechos de administrador.

ArcBombs

Estos troyanos son archivos codificados empaquetados para sabotear la descompresión cuando se intente abrir el archivo infectado. La máquina víctima se alentará o colapsará cuando el troyano bomba explote, o el disco será llenado con datos sin sentido. Los arcBombs son especialmente peligrosos en servidores, en especial cuando datos entrantes son procesados de forma automática: en esos casos, un ArcBomb puede colapsar el servidor.

Hay tres tipos de ArcBombs: cabecera incorrecta en el archivo, datos repetidos y una serie archivos identicos dentro del paquete.

Una cabecera incorrecta o datos corruptos pueden causar que el de-compressor "se cuelgue" mientras abre y desempaca el archivo infectado.

Un gran archivo conteniendo datos repetidos puede ser empaquetado en un archivo muy pequeño: 5 Gb pueden ser empaquetados en 200 Kb usando el formato RAR y 480 Kb usando el formato ZIP.

Incluso, existen otras tecnologías para empaquetar enorme cantidad de archivos identicos en un solo archivo sin afectar significativamente el tamaño del archivo en sí: por ejemplo es posible empaquetar 10¹⁰⁰archivos identicos dentro de un archivo RAR de 30 KB o un ZIP de 230 KB.

[1] Es material transmitido por una red (ya sea de computadoras o de telecomunicaciones) que incluye información que identifica la fuente y destino del material. Un payload es el dato actual llevado en las cabeceras. 
Cuando se refiere a virus, el payload es el resultado de software malicioso.