Lo primero de todo es que por desgracia o por buenaventura, cuando se habla de malware generalmente, no se habla directamente de malware, si no de spyware. ¿Por qué? pues hay varias razones, pero a mi parecer la más acertada es porque podemos hacer muchas más cosas con cualquier herramienta de administración remota u otras herramientas de spyware que con cualquier virus. Si conseguimos administrar cualquier ordenador, podemos coger desde lo que se teclea en este a poder "joderlo" cuando nos convenga, en vez de maltratarlo directamente. Pero eso no quiere decir que no toquemos el campo de los virus, lo tocaremos, sí, pero superficialmente.
También hablaremos y aprenderemos una parte importante del malware, la programación. Si se quiere avanzar en el malware, es de vital importancia al menos saber un lenguaje, si no, tendremos que disponer siempre de lo que creen los demás y no cubriremos todas las necesidades que nos surjan, además de otros aspectos. Por esto, un espacio que dedicaremos será a Visual Basic 6.0, que creo que es el lenguaje más apropiado para empezar a aprender programación ya que es un lenguaje simple pero fuerte, y funciona en la gran mayoría de versiones de Windows (2000, XP, Vista, 7 y 8) En conclusión, este cuaderno te servirá para poder defenderte en el malware, pero lo recomendable (y si te gustó el cuaderno) es que se siga aprendiendo y haya motivación por ello. ¿Quién sabe? Quizás llegues lejos
TIPOS DE MALWARE
Antes de seguir metiéndonos en el malware, debemos saber y clasificar, mediante sus distintas funciones, que tipos de malware hay ¿no?
Yo, sinceramente, no estoy de acuerdo con varios aspectos sobre los distintos “tipos de malware” que circulan por la red. Un ejemplo sería la palabra “troyano”.
La definición que tenemos comúnmente es que es un programa que sirve para espiar o controlar un ordenador ajeno. Si, vale, hasta aquí bien, pero… ¿qué más? La mayoría de post que hay, sobre todo la ofrecida por los antivirus, sobre este tema se queda corta y nos obliga a indagar más en la red. Entonces después de leer variada información sobre los tipos de malware, podemos sonsacar una definición algo precisa de cada tipo de malware.
Te ahorre ese trabajo de buscar tanto mediante la siguiente liste donde explicaré de forma general, pero precisa, cada tipo: Los tipos más generales y usados son: Worms/Gusanos: su objetivo es spreadear (extender) otro malware u archivo. Estos pueden usar spread por .rar/.zip, por p2p, por lan, hacer enviar varios correos desde una cuenta, etc. Vamos, que sirve para tener más remotos, si usamos un spyware, o joder propagar el mayor número de ordenadores con nuestro virus.
Troyanos: en verdad el término “troyano” es algo genérico y nada especifico. La definición es que es una herramienta de administración remota, es decir, para administrar remotamente un PC (e incluso móvil) desde otra PC o terminal. Básicamente hay dos tipos:
1. RAT’s: aplicaciones de administración remota legales si se usan con ordenadores del mismo propietario. Tienen varias funciones como keylogger, capturador de cam, etc. Su función básica es administrar remotamente un ordenador desde otro y poder ejecutar distintas acciones que trae consigo.
2. Botnets: más peligrosas que los rats. La usan sobre todo ciberdelincuentes y tiene funciones más interesantes que la mayoría de los rats (por ejemplo hacer un ataque de negación a una página, autospreadeo, cadenas de proxis...).
3.Spyware: como su nombre indica, son softwares espiras. Un ejemplo de este sería un keylogger (que recoge todo lo que se teclea y/o clickea en un ordenador) y también los troyanos. Por supuesto, hay más tipos, como stealers, capturadores de webcam, etc.
Rootkits: son programas que se mantienen ocultos para dar privilegio sobre una computadora y/o ocultar información de la computadora al usuario. Su nacimiento provienen de los sistemas operativos Unix.
4.Virus: programas maliciosos que dañan o destruyen archivos, infectan otros programas, etc. No todos los virus tienen las mismas funciones u objetivos, por lo que el término es muy genérico, pero suelen registrar su código en otros programas.
Ransomware: de la palabra ransom (rescate) cifra los archivos de la máquina víctima. Una vez cifrados, si el usuario intenta acceder a los archivos, pide que se pague una cantidad de dinero para que la máquina vuelva a su estado normal. El ejemplo más destacado hoy en día es “el virus de la policía”.
5.Rogueware: suelen ser antivirus falsos que encuentra varias “amenazas”, pero debemos pagar para eliminarlas. El proceso suele estar en primer plano, y si intentamos abrir uno de los supuestamente “archivos infectados”, no nos dejará.
Juacks: programas poco peligrosos que no tienen otra función que hacer bromas pesadas o provocar molestias al usuario víctima. Un ejemplo sencillo algún programa que termine el proceso de explorer.exe, o que salga sucesivamente algún mensaje.
6.Herramientas: su código no está hecho para causar daño directamente ni tampoco tiene nada malicioso, pero puede servir de ayuda a otros malwares. Algunos ejemplos serian los crypters (que sirven para indetectar a los antivirus), binder o joiners (que juntan varios archivos en uno), etc.
esto es para quitarles lo aburrido tras leer todo esto
NUESTROS PRIMEROS PASOS Bien,
¡empecemos! Lo primero que haremos será empezar a configurar nuestro primer RAT haciendo que sea capaz de crear una conexión entre cliente-servidor, es decir, entre vuestro ordenador y el ordenador que queremos administrar. Para ello tendremos que crear una DNS en www.no-ip.com (usaré esta página por que las ofrece gratis), abrir puertos en router y firewall, crear y configurar un servidor FTP (para el keylogger que ofrecen los RATs), configurar el cliente y comprobar si funciona.
Nota: actualmente la mayoría de RAT's son de conexión inversa y solo los antiguos son de conexión directa. La conexión directa se caracteriza básicamente en que el cliente (tu ordenador) se conecta al servidor (ordenador administrado o remoto), y la conexión inversa, como su nombre indica, es al contrario, el cliente (parte que configuramos) se conecta al servidor (nuestro ordenador).
Es recomendable que sea de conexión inversa ya que probablemente pedirá al usuario remoto permiso para establecer una conexión al exterior e incluso puede que se lo salte. Sin embargo con un RAT de conexión directa lo más probable es que el firewall del remoto bloquee la conexión.
Pero nosotros, además de usar un RAT con conexión inversa, usaremos una conexión mediante DNS.En el tutorial usare Darkcomet. ¿Por qué? Porque es el RAT que más me gusta y al que más me acomodo (cada RAT se debe acomodar a su manipulador) ;D Aunque es cierto que su configuración se diferencia un poco comparado con Cybergate, entre otros, así que también colgaré imágenes de una correcta configuración de Cybergate, que es muy parecido a otros troyanos como Spynet
en el proximo post Creación de cuenta No-IP