Crear y ejecutar archivos ADS ocultos dentro de otros archivos para iniciar cualquier programa

En otro artículo anterior vimos un pequeño truco para esconder archivos dentro de una foto con extensión .jpg.
En ese caso todo lo que tenías que hacer era crear dentro del archivo de imagen, un archivo winrar con lo que quieres dentro.
Claramente el tamaño de este archivo .jpg se hace más grande dependiendo de cuántos archivos hay dentro y para abrirlo sólo tienes que hacer “Abrir con…” y elegir Winrar.
Pero los virus no se esconden así, no sólo sería fácil de encontrar, sino que un archivo .rar es completamente inofensivo, no abre nada en la memoria y no activa ningún proceso.

Se llaman ADS (Corriente de datos alternativa) esos archivos que están ocultos dentro de otro archivosin cambiar su tamaño y permaneciendo completamente escondido de la vista de Windows.
Cuando se abre y se ejecuta un archivo que contiene un ADS, se activa y se lanza el programa que está debajo de él.
En este artículo vemos cómo puedes crear fácilmente, con tu pc, un ADS y esconder cualquier archivo dentro de otro para que, al ejecutar este último, el ADS se active en su lugar.

1) Abrir el Explorador, ir al disco C: y crear una nueva carpeta que podemos llamar “Anuncios”.
2) Dentro de él, para probar el experimento, crear un nuevo archivo de texto y llamarlo “test.txt” y copiar una foto o cualquier imagen que encuentres en tu ordenador y que puedas renombrar a image_test.jpg.
3) Abra el símbolo del sistema que se encuentra en Estrella –; Programas –; Accesorios o vaya a Inicio –; Ejecutar –; y escriba “cmd
4) Escriba ahora cd ad para entrar, a través de Dos, en la carpeta que creaste anteriormente.

5) Para crear un ADS elemental y empezar a entender lo que son, puedes escribir “echo Hola guapo.test.txt:testonascosto.txt“; puedes ver que no se ha añadido ningún archivo a la carpeta de anuncios.
6) Escriba en el “notepad test.txt:testonascosto.txt“y como si por arte de magia abrieras el bloc de notas con el texto escrito antes; de hecho algo escrito ha sido escondido que permanece invisible en el ordenador si no ejecutas este tipo de comandos.

Si la curiosidad empieza a hacer cosquillas al espíritu hacker que hay en cada uno de nosotros, sigamos adelante y veamos qué más podemos hacer.

7) Si ocultar un texto sólo puede servir a los espías de la CIA, un hacker puede pensar en usar esta técnica para ocultar un archivo malo dentro de uno bueno.
En la carpeta de Anuncios, para hacer un experimento práctico, se puede copiar el archivo calc.exe que se encuentra en la carpeta de sistema de Windows y que se utiliza para abrir la calculadora normal.
Para copiar el archivo en la carpeta de anuncios, sólo tiene que escribir en la línea de comandos “copia C:WINdows system 32 exe c:ads“.
8) Ahora puedes insertar el archivo image_test.jpg que tomamos antes y que debería estar todavía dentro de la carpeta de anuncios, dentro del archivo calc.exe.
Para hacer esta infiltración tienes que escribir en la ventana negra del DOS que hasta ahora nunca hemos cerrado: “escriba image_test.jpg; calc.exe:image_test.jpg“.
9) Resultado: si inicias el archivo calc.exe, no pasa nada extraño; si inicias da dos el archivo calc.exe escribiendo así: start ./calc.exe:image_test.jpg o start C:adscalc.exe:immagine_test.jpg (siempre se necesita la ruta completa), se abre primero la imagen elegida y no la calculadora; si se borra el archivo test_image de la carpeta Ads, el resultado no cambia.
Esto significa que el archivo jpg ha sido escondido dentro del archivo calc.exe, ya no es visibleEl tamaño del calc.exe ha permanecido sin cambios y no hay nada que indique la presencia de la corriente de datos.
A diferencia del método utilizado con Winrar, esta vez, no hay ningún archivo y el archivo oculto se activa y se ejecuta cuando se inicia el que alberga de hecho, haciendo clic en el archivo calc.exe de la carpeta abierta, la imagen no aparece.

Puedes… también ocultar los archivos dentro de una carpeta que parecerá erróneamente vacía.
10) Puedes crear una nueva carpeta dentro de Ads y llamarla Ads2, entonces desde Dos, escribe cd Ads2 y escribe el comando “tipo c:c:a.s.c.e.“; el archivo calc.exe está en la carpeta de Ads2 pero no se puede ver, ni con el comando “dir” que muestra los archivos en directorios, ni se va a explorar los recursos con la interfaz gráfica normal.

Estos son trucos bastante viejos, pero mucha gente no los conoce porque, de hecho, no tienen ninguna utilidad real, al menos para los usuarios normales; son los malos hackers que los explotan y, en el pasado, han hecho mucho daño usando los flujos de datos.
Imaginando de hecho que, en nuestro ejemplo anterior, en el punto 8, en lugar de un archivo de imagen normal e inofensivo, si hubiera estado escondido dentro de la calculadora, un verdadero virussería doloroso.
Si entonces el verdadero virus se llama a sí mismo, por ejemplo svchost.exe que está presente varias veces en el jefe de tareas, entonces sería muy difícil de encontrar.
No termina ahí, porque un hacker experimentado sabe que programas como la calculadora o el bloc de notas están siempre en la ruta C:³Windows ³System32 así que, potencialmente, podría ir y corromper ese archivo, sin tener que crear nada nuevo.

Aún así, sin molestar a los virus, podrías esconder un archivo de 10 GB dentro de un archivo de 10 Kbytes y, sin entender por qué, podrías encontrarte con el PC bloqueado y sin más espacio.

Afortunadamente, estos problemas de seguridad son en gran parte obsoletos, los motores antivirus encuentran virus ocultos como este sobre la marcha y es bastante improbable que sufra un ataque de este tipo si está protegido.
La única recomendación que tengo que hacer es que, dada la facilidad con la que se puede crear un archivo malicioso de esta manera, sería apropiado no aceptar ningún archivo de extraños, tal vez enviado por MSN o por correo, incluso si se trata de fotos, imágenes, música, archivos de texto o cualquier otra cosa.

Para que conste, ADS sólo funciona en particiones de disco NTFS y no en FAT32, por lo que para eliminar un archivo ADS puede eliminar el archivo del host borrándolo o moviéndolo a una partición FAT32.
Hay herramientas que pueden detectar los flujos de datosy el mejor es el famoso Hijackthis que nos hemos encontrado varias veces antes en este blog.
En Hijackthis, abriendo las “Misc Tools” encontrarás una utilidad llamada “ADS Spy” que escanea los Streams y, si quieres eliminarlos pero, honestamente, sería un exceso de celo en la seguridad también porque muchos ADS son útiles para Windows y te arriesgarías a hacer daño.