ATAQUE TROYANO NET DEVIL

Por:

RAMIRO ANDRES DELVASTO RAMIREZ Código: 11324611

JUAN ANDRES QUICAZAQUE FRANCO Código: 11257930

JACKSON ARIEL URRUTIA Código: 11.803.820

Seguridad en Bases de Datos Grupo: 233009_3

NET DEVIL

Caballo de Troya de acceso remoto que permite a un atacante el acceso alequipo infectado por una puerta trasera (backdoor).Cuando se ejecuta, secopia a si mismo dentro de la carpeta del sistema. La misma puede ser"c:\windows\system32" en Windows XP y Windows Server 2003,"c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows9x y ME.El nombre del archivo puede variar ya que es elegido al azar por elatacante.

PASOS PARA LA REALIZACIÓNDE UN ATAQUE POR

NET DEVIL

1. EL ATACANTE EDITA EL ARCHIVO DEL TROYANO QUE VA A UTILIZAR PARA CONTROLAR LA MÁQUINA DE LA VICTIMA

2. EN LA PESTAÑA GENERAL SE RELLENA ASÍ:

3. EN LA PESTAÑA START-UP SE RELLENA ASÍ:

4. EN LA PESTAÑA CGI NOTIFY SE ACTIVARA LA CASILLA DE VERIFICACIÓN ENABLE CGI NOTIFY SI SE QUIERE ACTIVAR LA NOTIFICACIÓN POR CGI, CUANDO LA VÍCTIMA HAYA CAÍDO EN LA TRAMPA:

5. EN LA PESTAÑA MAIL NOTIFY SE ACTIVARA LA CASILLA DE VERIFICACIÓN ENABLE MAIL NOTIFY SI SE QUIERE ACTIVAR LA NOTIFICACIÓN POR CORREO, CUANDO LA VÍCTIMA HAYA CAÍDO EN LA TRAMPA, ES LA FORMA DE NOTIFICACIÓN QUE MÁS SE UTILIZA:

6. EN LA PESTAÑA ICQ NOTIFY SE ACTIVARA LA CASILLA DE VERIFICACIÓN ENABLE ICQ NOTIFY SI SE QUIERE ACTIVAR LA NOTIFICACIÓN POR INTERRUPCIONES ICQ, CUANDO LA VÍCTIMA HAYA CAÍDO EN LA TRAMPA:

7. AHORA SE CONFIGURA EL MENSAJE DE ERROR QUE ES LO QUE LE SALDRÁ A LA VÍCTIMA PARA QUE NO SOSPECHE PARA CUÁNDO HABRÁ EL ARCHIVO

8. EN LA PESTAÑA MISCELANEOUS SE REALIZA LA SIGUIENTE CONFIGURACIÓN

9. POR ULTIMO REALIZAMOS LA SIGUIENTE CONFIGURACIÓN:

10. El atacante envía el troyano generalmente mediante un mensaje de correo electrónico con algún archivo adjunto con un tema que le interese a la víctima.

11. La victima al dar clic sobre este archivo adjunto hace que el troyano automáticamente se copie a si mismo dentro de la carpeta del sistema. La misma puede ser "c:\windows\system32" en Windows XP y Windows Server 2003, "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME.

12. Cada vez que la víctima reinicie el sistema operativo también se autoejecuta el troyano agregándose en las siguientes entradas del Registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run[nombre] = [camino y nombre del ejecutable]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices[nombre] = [camino y nombre del ejecutable

FORMAS DE PREVENIR INFECCIÓNPOR NET DEVIL

1. Utilizar un programa tipo firewall (cortafuego) el cuál detendrá y advertirála conexión de este troyano con Internet, así como cualquier intento deacceder a nuestro sistema y también impedir la ejecución de cualquieradjunto con posibilidades de poseer virus.

2. Actualizar antivirus si es posible diariamente con las últimas definiciones.

3. En Windows Vaciar la papelera de reciclaje.

4. Borrar archivos temporales, mediante un programa de eliminación dearchivos temporales. Si se recibe un mensaje de que no se puede borrartodo, reinicie Windows en modo a prueba de fallos,

REFERENCIAS

Dark Devil. (06 de Diciembre de 2005). Manual del Net Devil ( troyano ).Recuperado el 02 de Diciembre de 2013, de Blog de sitio web de portalhaceker.net: http://www.portalhacker.net/index.php?topic=6621.0

VSantivirus. (11 de Julio de 2010). NetDevil.11.D. Caballo de Troya de acceso remoto. Recuperado el 02 de Diciembre de 2013, de Articulo de seguridad de sitio web de vsantivirus.com: http://www.vsantivirus.com/netdevil-11-d.htm