Características de los virus troyanos
Generalmente, los virus troyanos son utilizados para robar información, en casos extremos, obtener el control remoto de la computadora, de forma que el atacante consiga acceso de lectura y escritura a los archivos y datos privados almacenados, visualizaciones de las pantallas abiertas, activación y desactivación de procesos, control de los dispositivos y la conexión a determinados sitios de Internet desde la computadora afectada como las páginas pornográficas. Los troyanos están compuestos principalmente por dos programas: un programa de administración, que envía las órdenes que se deben ejecutar en la computadora infectada y el programa residente situado en la computadora infectada, que recibe las órdenes del administrador, las ejecuta y le devuelve un resultado. Generalmente también se cuenta con un editor del programa residente, el cual sirve para modificarlo, protegerlo mediante contraseñas, unirlo a otros programas para disfrazarlo, configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma en la que se realiza la conexión entre el programa de administración y el residente se pueden clasificar en:
Conexión directa
El atacante se conecta directamente al PC infectado mediante su dirección IP. En este caso, el equipo atacante es el cliente y la víctima es el servidor.
Conexión indirecta (o inversa)
El equipo host o víctima se conecta al atacante mediante un proceso automático en el malware instalado en su equipo, por lo que no es necesario para el atacante disponer de la dirección IP de la víctima. Para que la conexión este asegurada, el atacante puede utilizar una IP fija o un nombre de dominio. La mayoría de los troyanos modernos utilizan este sistema de conexión, donde el atacante es el servidor a la espera de la conexión y el equipo host es el cliente que envía peticiones de conexión para recibir órdenes de ejecución remotas bajo su propia demanda.
Los troyanos y otros tipos de malware, así como muchas utilidades software han evolucionado hacia el modelo de conexión inversa debido a la extensión de routers que aplican en su mayoría por defecto una capa de seguridad en la red inicial (como el propio NAT) actuando como firewall que impide bajo condiciones, conexiones entrantes hacia los clientes de la red salvo que este mecanismo se deshabilite o configure expresamente. De esta manera, es más sencillo crear herramientas que se salten esta protección ocasionando que sean los clientes los que soliciten sus órdenes remotas en lugar de permitir recibirlas.
A pesar de que los troyanos de conexión directa han caído en desuso casi totalmente frente a los de conexión inversa, dentro de los círculos de piratas informáticos se sigue utilizando la denominación de cliente para el equipo atacante y servidor para el equipo víctima, lo cual es incorrecto desde un punto de vista estricto.
La conexión inversa tiene claras ventajas sobre la conexión directa. Ésta traspasa algunos firewalls (la mayoría de los firewall no analizan los paquetes que salen de la computadora, pero que sí analizan los que entran), pueden ser usados en redes situadas detrás de un router sin problemas (no es necesario redirigir los puertos) y no es necesario conocer la dirección IP del servidor.
Cabe destacar que existen otro tipo de conexiones, que no son de equipo víctima a equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a ambos, para realizar el proceso de control. Se suelen utilizar para este propósito los protocolos IRC y el FTP, HTTP, aunque también pueden usarse otros.
Fuente: Wikipedia