La mejor forma de detectar un troyano de este tipo es controlando los puertos que tenemos abiertos durante la conexión a Internet o a la Intranet. Para ello lo mejor que podemos hacer es recurrir al comando «netstat» y observar las conexiones abiertas, si comprobamos que hay alguna que emplea un puerto extraño podemos empezar a sospechar la presencia de un troyano.

Por ejemplo, para comprobar si por alguna circunstancia tenemos instalado BO en nuestro ordenador lo mejor que se puede hacer es emplear netstat, y comprobar las conexiones UDP abiertas efectuando «netstat -an |find "UDP"». Si nos responde algo como «UDP 0.0.0.0:31337 *.*» podemos tener la seguridad estaremos con que tenemos instalado el servidor de «Back Orifice» en nuestra máquina.

El ejecutable del servidor del BO ocupa 124.928 bytes, al ser ejecutado se borra de forma automática y crea una copia de si mismo en el subdirectorio windows/system como «.exe» y un archivo «windll.dll» de 8.192 bytes. Por último se mete en el registro para ejecutarse cada vez que se inicie Windows.

Para eliminar el BO de nuestro sistema, procederemos a borrar el «.exe» y el «windll.dll». Despues ejecutamos el editor del registro («regedit.exe») y seleccionamos la clave Hkey_local_machine\software\microsoft\windows\ currentversion\runservices y se elimina la referencia existente a «.exe». Una vez realizados estos pasos, se reinicia el ordenador y se comprueba que los cambios han surtido efecto.

Pero el BO no representa el único problema, tras él siguen apareciendo nuevos troyanos con funcionalidades parecidas, como es el caso de NetBus o DeepThroat. Es fácil de detectar la presencia de NetBus, ya que este programa emplea los puertos 12345 y 12346 para escuchar sus comunicaciones. Como siempre «netstat» ayuda a comprobar si se encuentra instalado, empleando el comando «netstat -an |find "12345"». También se puede ejecutar el comando telnet y establecer una conexión a «localhost» (el propio ordenador) en el puerto 12345. Si NetBus se encuentra instalado se mostrará una cadena indicando su presencia.

Para eliminar NetBus de nuestro sistema debemos encontrar el programa servidor que por defecto es «patch.exe», aunque puede tomar cualquier nombre. Para ello hay que acudir al registro («regedit.exe») y buscar la clave \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run. Una vez con el nombre del ejecutable, buscaremos dicho archivo y lo ejecutaremos con el parámetro «/remove». Otra forma de eliminar el servidor de nuestro sistema es utilizar nosotros mismos la aplicación cliente de Netbus y conectar con «localhost» . En las opciones del programa elegir «Server Admin» y después la opción «remove Server».

DeepThroat es mucho menos conocido que los dos anteriores, aunque sus efectos son similares, por lo que también hemos de prestarle atención. En este caso los puertos empleados por el programa son el 2140 y el 3150, mientras que el cliente abre el puerto 60000. En este programa el servidor se queda tal cual una vez instalado en una máquina. Es decir, no crea nuevos archivos, ni se renombra, ni nada similar, funcionando desde el directorio en que se ejecuta por primera vez (el nombre del servidor es «systempatch.exe»).

En este caso se ejecuta de nuevo «netstat –an» y se comprueba si los puertos 2140 y 3150 se encuentran listados en cuyo caso se puede tener la seguridad de tener instalado DeepThroat. El servidor crea una nueva ruta en el registro con la clave HKEY_LOCAL_MACHINE/SOFTWARE/WINDOWS/ CURRENTVERSION/RUN Tomando como nombre «SystemDLL32» y el valor «[path]systempatch.exe». Donde path es la ruta completa hacia el servidor, bastará con borrar esta clave y tras ello localizar el programa en la ruta que se indicaba y eliminarlo del disco duro.