practica troyano littlewitch

SEGURIDAD EN BASES DE DATOS

(233009_17)

Ataque Troyano LittleWitch

Presentado por: Miguel Avila GualdronLeyda Liliana Cordoba AraujoDennis Carolina Villamil Diaz

Especialización en Seguridad Informática

UNAD - 2014

Descripción del virus

Littlewitch es un troyano que también poseecaracterísticas de backdoor, permite llevar a cabointrusiones y ataques contra el ordenador afectado,como pueden ser: captura de pantallas, recogida dedatos personales, etc. Además, por sus características debackdoor, permite a los piratas informáticos acceder de

manera remota al ordenadorafectado, para realizar en elmismo acciones quecomprometen laconfidencialidad del usuario odificultan su trabajo.

Configurar VirtualBox

Primero procederemos a virtualizar y ejecutar 2 máquinas conWindows XP.

Descargar LittleWitchSe compone de dos archivos. "servidor" y "cliente".Servidor: este archivo se le enviara a la persona que se quiera infectar.Cliente: este archivo es con el que se trabajara, para manipular lamaquina infectada.

Ejecutar ClienteEn la casilla Setup, configuramos el Servidor, que será enviado a lapersona que queramos infectar y lo guardamos.Password: Contraseña de acceso.Uin: Número de ICQ para alertarnos.Mensaje de error: Mensaje de confusión.LWserver: Dirección del archivo Servidor.

Método de PropagaciónLittleWitch no utiliza ningún método específico para difundirse, puedeutilizar cualquiera de los métodos de propagación (CD-ROM, mensajesde correo electrónico, descargas de Internet, transferencia de ficherosa través del FTP, etc.) Para este ejemplo utilizaremos la opción dedocumentos compartidos como si fuera un programa normal, (Skype).

Infección por VirusUna vez que la persona a la que vamos a infectar lo ejecute,observamos que el mensaje de error que le configuramos sale a la luzcon el fin de disimular nuestro ataque.

Proceso OcultoSi observamos, el administrador de procesos ejecuta, Rundll.exe,nombre con el que nuestro virus se está ejecutando.

Averiguando IPComo en este ejemplo no tenemos ICQ, pero sabemos que el equipoinfectado se encuentra dentro de nuestra Red, procederemos aejecutar en el cliente, el rango IP de nuestra red con el fin de encontrarla maquina infectada.Resultado: 192.168.42.75 (Estoy infectado, pero con Password).

Conectar con el ServerColocamos la IP 192.168.42.75 y la contraseña en nuestro Cliente y ledamos click en Conectar, ya podemos comenzar nuestro ataque, paraesta práctica utilizamos algunas de las tantas opciones que nos ofreceeste virus.

Opción LWExplorerEscribimos Server: 192.168.42.75 y el Puerto: 31339, (También 31340 -6711) y pulsamos conectar. Procedemos a crear una carpeta (Driver) ycopiamos una foto (Imagen) con esto podemos: ingresar, sacar, borrararchivos y carpetas.

Opción KeylogPodemos conectarnos con el PC infectado y observar lo que se estédigitando en el teclado.

Opción LWChatIntroduciendo un nombre y escogiendo el servidor infectado,podremos chatear con la persona infectada.

Opción DialogNos permitirá enviar un cuadro de dialogo en una ventana de alerta.

Opción BromaTenemos una cantidad de juegos para enloquecer a la personainfectada, por ejemplo abrir páginas Web, enloquecer el mouse,cambiar la imagen del papel tapiz, etc…

Opción OtrosEncontramos Matar Lw-Server, con el fin de borrar las huellas delprograma.

Infección y Efectos

Cuando LittleWitch se ejecuta, realiza las siguientes acciones:

Se copia a sí mismo como %system%\Rundll.exe Crea el fichero %windir%\Usr.dat. Este archivo almacena las

contraseñas cifradas. El troyano localiza el directorio de instalación de Windows

(por defecto C:\Windows o C:\Winnt ) y copia el fichero en esaubicación.

El troyano localiza el directorio 'System' y se copia a sí mismoen esa ubicación. Por defecto es C:\Windows\System(Windows 95/98/Me), C:\Winnt\System32 (WindowsNT/2000), o C:\Windows\System32 (Windows XP).

Infección y Efectos

Para ejecutarse automáticamente cada vez que se reinicia elsistema, el virus crea el valor:

Rundll Rundll.exe en la clave del registro:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

En caso de que el Sistema Operativo sea Windows 95/98/Me,LittleWitch intenta acceder a la caché de contraseñasalmacenada en la máquina. Esta caché incluye contraseñas delmoden y de marcación (dialup), de URL, compartidas, y otras.

El troyano notifica su instalación a la parte cliente medianteICQ pager.

Una vez instalado, el troyano espera los comandos del clienteremoto.

Infección y Efectos

Estos comandos permiten al atacante realizar cualquiera de estasestas acciones:

Recopilar información del sistema y red, incluidos nombres deusuario y contraseñas de red almacenadas en caché.

Imprimir textos, ejecutar ficheros multimedia, abrir y cerrar labandeja de la unidad de CD-ROM.

Ocultar iconos, botones y la barra de tareas. Encender y apagar el monitor. Interceptar información confidencial mediante las pulsaciones

del teclado. Conocer todos los procesos activos en el sistema. El dialogo entre LittleWitch y el cliente conectado utiliza

mensajes en lenguaje español.

Contramedidas y Desinfección

Uso de antivirus actualizado. Eliminar el valor añadido a la entrada del registro indicada,

evitando así la ejecución automática del troyano cada vez quese reinicie el sistema.

No confiar de mensajes electrónicos sospechosos Siempre tener claro la información que se busca y los sitios

Web que se acceden. No confiar en programas que no cuenten con los certificados

mínimos de legitimidad.

SEGURIDAD EN BASES DE DATOS

(233009_17)