Troyanos. Sintomas, Principios, Proteccion, Lista De Puertos Utilizados

Introducción a los Troyanos

Artículo Tabla de contenidos Troyanos
Un Troyano es un programa de informática que produce operaciones malintencionadas sin el conocimiento del usuario. El nombre "Troyano" proviene de una leyenda contada por los griegos en la Ilíada (escrita por Homero) sobre el bloqueo de la ciudad de Troya.

Según la leyenda, a los griegos, que no lograban traspasar las defensas de la ciudad de Troya, se les ocurrió la idea de abandonar el bloqueo y, en cambio, entregar una ofrenda a la ciudad: el regalo consistía en un caballo de madera gigante.

Los habitantes de Troya (Troyanos) aceptaron el regalo aparentemente inofensivo sin sospechar nada, y lo introdujeron dentro de los muros de la ciudad. Pero el caballo estaba lleno de soldados que esperaron a que la población se durmiera para salir del interior del caballo, abrir las puertas de la ciudad para facilitar la entrada del resto del ejército.

Volviendo al campo de la informática, se denomina Troyano a un programa oculto dentro de otro que ejecuta comandos furtivamente y que, por lo general, abre el acceso al ordenador y lo opera abriendo una puerta trasera. Por esta razón, a veces se lo conoce como Troyano por la analogía con los ciudadanos de Troya.

Similar a un virus, un Troyano es un código malicioso que se encuentra en un programa sano (por ejemplo, un comando falso para crear una lista de archivos que los destruye en lugar de mostrar la lista).

Un Troyano puede, por ejemplo:

•robar contraseñas
•copiar fechas confidenciales
•realizar cualquier otra operación maliciosa
•etc.

Y aún peor, este programa puede crear una infracción intencional de seguridad dentro de la red para que los usuarios externos puedan acceder a áreas protegidas de esa red.

Los Troyanos más comunes abren puertos en la máquina que permiten al diseñador tener acceso al ordenador a través de la red abriendo una puerta trasera. Por esta razón se usa frecuentemente el término puerta trasera u orificio trasero.


 Un Troyano no es necesariamente un virus porque su objetivo no es reproducirse para infectar otras máquinas. Además, algunos virus también pueden ser Troyanos. ¡Es decir, se diseminan como tales y abren puertos en máquinas infectadas!


Es difícil detectar este tipo de programas ya que se debe determinar si la acción realizada por el Troyano es deseada o no por el usuario.
 
Síntomas de infección

La infección de un Troyano generalmente aparece después de abrir un archivo contaminado que contiene el Troyano (consulte el artículo acerca de cómo protegerse de los gusanos) y la infección es evidente por los siguientes síntomas:

•Actividad anormal del módem, adaptador de red o disco duro: los datos se cargan aunque el usuario no registre actividad.
•Reacciones extrañas del ratón.
•Programas que se abren en forma inesperada.
•Bloqueos repetidos.
 
Principio de un Troyano

Debido a que generalmente un Troyano intenta (y cada vez con más frecuencia) abrir un puerto en la máquina para que un hacker pueda controlarla (por ejemplo, mediante el robo de datos personales almacenados en el disco duro), el primer objetivo del hacker es infectar la máquina obligando a abrir un archivo infectado que contiene el Troyano y, luego, acceder a la máquina a través del puerto abierto.

Sin embargo, para poder infiltrar la máquina, el hacker usualmente conoce su dirección de IP. Entonces:

•Usted puede tener una dirección de IP asignada (como ocurre con las empresas, personas que tienen una conexión por cable o similar, etc.), en ese caso esa dirección de IP se puede averiguar fácilmente,
•o puede tener una dirección de IP dinámica (reasignada cada vez que se conecta), como en el caso de las conexiones por módem. En este caso, el hacker debe analizar la dirección IP aleatoriamente para detectar aquellas que corresponden a máquinas infectadas.

Protección contra Troyanos

La instalación de un firewall (programa que filtra los datos que entran y salen de su máquina) es suficiente para protegerlo de este tipo de intrusión. Un firewall controla tanto los datos que salen de su máquina (generalmente iniciados por los programas que está utilizando) como los que se introducen en ella. Sin embargo, el firewall puede detectar conexiones externas de las víctimas previstas de un hacker. Éstas pueden ser pruebas realizadas por su proveedor de servicios de Internet o un hacker que está analizando de forma aleatoria una cantidad de direcciones de IP.

Existen dos firewalls gratuitos y muy útiles para los sistemas Windows:

•ZoneAlarm
•Tiny Personal Firewall

En caso de infección

El firewall pide la confirmación de la acción antes de iniciar una conexión si un programa, cuyos orígenes desconoce, intenta abrir una conexión. Es muy importante que no autorice conexiones para un programa que desconoce porque podría tratarse de un Troyano.

Si esto vuelve a ocurrir, es conveniente verificar que su ordenador no esté infectado con un Troyano usando un programa que los detecta y elimina. (denominadobouffe-troyen).
Un ejemplo es The Cleaner, el cual se puede descargar desde You are not allowed to view links. Register or Login.
 
Lista de puertos generalmente utilizados por Troyanos

Por lo general, los Troyanos abren un puerto en la máquina infectada y esperan que se abra una conexión en ese puerto para que los hackers puedan controlar el ordenador totalmente. A continuación hay una lista (incompleta) de los puertos más usados por los Troyanos (fuente: Site de Rico):

Puerto     Troyano
21 Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
23 TTS (Tiny Telnet Server)
25 Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth,  Tapiras, Terminator, WinPC, WinSpy
31 Agent 31, Hackers Paradise, Masters Paradise
41 Deep Throat
59 DMSetup
79 FireHotcker
80 Executor, RingZero
99 Hidden port
110 ProMail trojan
113 Kazimas
119 Happy 99
121 JammerKillah
421 TCP Wrappers
456 Hackers Paradise
531 Rasmin
555 Ini-Killer, NetAdmin, Phase Zero, Stealth Spy
666 Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
911 Dark Shadow
999 Deep Throat, WinSatan
1002 Silencer, WebEx
1010 a 1015 Doly trojan
1024 NetSpy
1042 Bla
1045 Rasmin
1090 Xtreme
1170 Psyber Stream Server, Streaming Audio Trojan, voice
1234 Ultor trojan
puerto 1234 Ultors Trojan
puerto 1243 BackDoor-G, SubSeven, SubSeven Apocalypse
puerto 1245 VooDoo Doll 
puerto 1269 Mavericks Matrix 
puerto 1349 (UDP) BO DLL 
puerto 1492 FTP99CMP 
puerto 1509 Psyber Streaming Server 
puerto 1600 Shivka-Burka 
puerto 1807 SpySender 
puerto 1981 Shockrave 
puerto 1999 BackDoor 
puerto 1999 TransScout 
puerto 2000 TransScout 
puerto 2001 TransScout 
puerto 2001 Trojan Cow 
puerto 2002 TransScout 
puerto 2003 TransScout 
puerto 2004 TransScout 
puerto 2005 TransScout 
puerto 2023 Ripper 
puerto 2115 Bugs 
puerto 2140 Deep Throat, The Invasor 
puerto 2155 Illusion Mailer 
puerto 2283 HVL Rat5 
puerto 2565 Striker 
puerto 2583 WinCrash 
puerto 2600 Digital RootBeer 
puerto 2801 Phineas Phucker 
puerto 2989 (UDP) RAT 
puerto 3024 WinCrash 
puerto 3128 RingZero 
puerto 3129 Masters Paradise 
puerto 3150 Deep Throat, The Invasor 
puerto 3459 Eclipse 2000 
puerto 3700 portal of Doom 
puerto 3791 Eclypse 
puerto 3801 (UDP) Eclypse 
puerto 4092 WinCrash 
puerto 4321 BoBo 
puerto 4567 File Nail 
puerto 4590 ICQTrojan 
puerto 5000 Bubbel, Back Door Setup, Sockets de Troie 
puerto 5001 Back Door Setup, Sockets de Troie 
puerto 5011 One of the Last Trojans (OOTLT) 
puerto 5031 NetMetro 
puerto 5321 FireHotcker
puerto 5400 Blade Runner, Back Construction 
puerto 5401 Blade Runner, Back Construction 
puerto 5402 Blade Runner, Back Construction 
puerto 5550 Xtcp 
puerto 5512 Illusion Mailer 
puerto 5555 ServeMe 
puerto 5556 BO Facil 
puerto 5557 BO Facil 
puerto 5569 Robo-Hack 
puerto 5742 WinCrash 
puerto 6400 The Thing 
puerto 6669 Vampyre 
puerto 6670 Deep Throat
puerto 6771 Deep Throat
puerto 6776 BackDoor-G, SubSeven 
puerto 6912 Shit Heep (¡no el puerto 69123!)
puerto 6939 Indoctrination 
puerto 6969 GateCrasher, Priority, IRC 3 
puerto 6970 GateCrasher 
puerto 7000 Remote Grab, Kazimas 
puerto 7300 NetMonitor 
puerto 7301 NetMonitor 
puerto 7306 NetMonitor 
puerto 7307 NetMonitor 
puerto 7308 NetMonitor 
puerto 7789 Back Door Setup, ICKiller 
puerto 8080 RingZero 
puerto 9400 InCommand 
puerto 9872 portal of Doom 
puerto 9873 portal of Doom 
puerto 9874 portal of Doom 
puerto 9875 portal of Doom 
puerto 9876 Cyber Attacker 
puerto 9878 TransScout 
puerto 9989 iNi-Killer 
puerto 10067 (UDP) portal of Doom 
puerto 10101 BrainSpy 
puerto 10167 (UDP) portal of Doom
puerto 10520 Acid Shivers 
puerto 10607 Coma 
puerto 11000 Senna Spy 
puerto 11223 Progenic trojan 
puerto 12076 Gjamer 
puerto 12223 Hack´99 KeyLogger
puerto 12345 GabanBus, NetBus, Pie Bill Gates, X-bill
puerto 12346 GabanBus, NetBus, X-bill 
puerto 12361 Whack-a-mole 
puerto 12362 Whack-a-mole 
puerto 12631 WhackJob 
puerto 13000 Senna Spy 
puerto 16969 Priority 
puerto 17300 Kuang2 The Virus 
puerto 20000 Millennium 
puerto 20001 Millennium 
puerto 20034 NetBus 2 Pro 
puerto 20203 Logged 
puerto 21544 GirlFriend 
puerto 22222 Prosiak 
puerto 23456 Evil FTP, Ugly FTP, Whack Job
puerto 23476 Donald Dick 
puerto 23477 Donald Dick 
puerto 26274 (UDP) Delta Source 
puerto 27374 SubSeven 2.0 
puerto 29891 (UDP) The Unexplained 
puerto 30029 AOL trojan 
puerto 30100 NetSphere 
puerto 30101 NetSphere 
puerto 30102 NetSphere 
puerto 30303 Sockets de Troie 
puerto 30999 Kuang2 
puerto 31336 Bo Whack 
puerto 31337 Baron Night, BO client, BO2, Bo Facil
puerto 31337 (UDP) BackFire, Back Orifice, DeepBO 
puerto 31338 NetSpy DK 
puerto 31338 (UDP) Back Orifice, DeepBO
puerto 31339 NetSpy DK 
puerto 31666 Bo Whack 
puerto 31785 Hack´a´Tack 
puerto 31787 Hack´a´Tack 
puerto 31788 Hack´a´Tack 
puerto 31789 (UDP) Hack´a´Tack 
puerto 31791 (UDP) Hack´a´Tack 
puerto 31792 Hack´a´Tack 
puerto 33333 Prosiak 
puerto 33911 Spirit 2001a 
puerto 34324 BigGluck, TN 
puerto 40412 The Spy 
puerto 40421 Agent 40421, Masters Paradise
puerto 40422 Masters Paradise 
puerto 40423 Masters Paradise 
puerto 40426 Masters Paradise 
puerto 47262 (UDP) Delta Source 
puerto 50505 Sockets de Troie 
puerto 50766 Fore, Schwindler 
puerto 53001 Remote Windows Shutdown 
puerto 54320 Back Orifice 2000 
puerto 54321 School Bus 
puerto 54321 (UDP) Back Orifice 2000 
puerto 60000 Deep Throat
puerto 61466 Telecommando 
puerto 65000 Devil