configuracion y uso del troyano littlewitch
DESCRIPTION
TRANSCRIPT
Instrumento de explicación de la configuración y uso del Troyano
LittleWitch
Seguridad en Bases de Datos.Grupo 13.
Universidad Nacional Abierta y a Distancia
Configuración LittleWitchEl troyano LittleWitch se compone de 2
archivos: “Servidor” y “Cliente”.Servidor: Este es el archivo de infección y el
que se le debe enviar a la persona que quieras infectar.
Cliente: Este es el archivo que utiliza el hacker para poder controlar la máquina infectada de la víctima.
Configuración LittleWitchEn primer lugar antes de
poder usar el troyano “LittleWitch” se debe realizar la configuración del Servidor de la siguiente manera:
Damos click en la opción “SETUP” y allí configuramos el password, el UIN, el mensaje de error y por el ultimo el servidor del LW que será el archivo infectante.
Configuración LittleWitchUna vez configurado el
servidor, se debe enviar este archivo a la victima y esperar que este lo ejecute(En la figura podrán ver un ejemplo del mensaje que le saldría a la victima luego de ejecutar el archivo).
A continuación utilizando otra serie de artimañas o programas de escaneo de redes se obtendrá la dirección IP de la victima.
Configuración LittleWitch En la parte derecha del cliente tenemos
la configuración de IP, la cual es necesaria para poder iniciar el ataque. Le damos click derecho y nos genera un menú con las siguientes opciones:
Agregar IP: Para agregar una nueva dirección IP.
Borrar IP: Nos permite eliminar una dirección IP que se tenga agregada.
Vaciar Lista: Borra todas las direcciones IP que se tengan almacenadas.
Ping IP: Nos permite realizar un ping para validar si el equipo de cómputo está en línea.
Conectar : Nos permite conectarnos al equipo de computo infectado y así poder utilizar todas las opciones que nos da LittleWitch.
Configuración LittleWitchA continuación se hará una
breve descripción de todas las opciones que nos da LW para usar contra nuestra victima.
Esta opción llamada LWEXPLORER es más que toda una conexión FTP para poder manipular los archivos que se tengan en el equipo infectado, podemos copiar, crear, eliminar archivos.
Configuración LittleWitchLa opción de KEYLOG que nos permite
abrir o cerrar puertos, obtener información de lo que este tecleando la persona que utilice el equipo infectado.
La opción de SCAN que como se observa permite escanear la red de la IP que se coloque para validar si hay mas equipos de computo que estén online y puedan estar infectados con el troyano.
La opción de LWCHAT esta opción nos permite de forma cómica comunicarnos con la victima del equipo infectado para tener una plática por chat. Cabe anotar que utilizarla es directamente demostrar que el equipo esta infectado.
Configuración LittleWitchLa siguiente opción es la
de DIALOGS que igual que la del chat nos permite interactuar con la victima del equipo infectado. Con ella podemos enviarle mensajes de tipo error para divertirnos un rato.
La opción INGLES nada mas nos permite cambiar el idioma del CLIENTE a ingles.
Configuración LittleWitchLa opción CONSOLA que
nos permite utilizar una consola de comandos al estilo de la de Windows para explorar el equipo infectado utilizando los comandos básicos.
La opción de BROMA que nos permite divertirnos haciendo diversas travesuras en el equipo de cómputo infectado.
Configuración LittleWitchLa opción de CONFIG que
igual que la de BROMA nos permite manipular más opciones para molestar a la víctima.
La opción de OTROS que igual que las dos anteriores nos permiten realizar pilatunas en el equipo de cómputo infectado de la victima pero en este caso un poco más serias y con algunas consecuencias más altas.
Configuración LittleWitch A continuación se procederá a hacer
la conexión con el equipo de cómputo infectado y se mostraran capturas de las opciones que se pueden aplicar en dicho equipo de cómputo.
En este ejercicio didáctico ya se tiene la dirección IP de la víctima y el Sistema Operativo ya fue contaminado con el troyano. Como se podrá observar se utiliza una maquina virtual como el equipo de la victima por motivos de seguridad.
En primer lugar nos conectamos al equipo de cómputo infectado con el troyano, seleccionamos la dirección IP (que ya se había obtenido anteriormente) y le damos al botón de conectar.
Uso de LittleWitchA continuación se utilizaran una serie de
opciones que tiene el LW a la mano para darlos como ejemplo de lo que se podría hacer al tener el control de un equipo de computo infectado.
Hay que tener en cuenta que todo lo realizado se hace de manera didáctica y para fines de aprendizaje básico, así que no debe ser tomado como intento de daño o manual para el daño a terceros.
Uso de LittleWitchCambio de la fecha del
equipo: Utilizamos el comando de cambio de fecha que trae LW en el menú de CONFIG.
Ingresamos la hora que se desea colocar y le damos enter.
En la parte de la izquierda en la mini consola del LW nos saldrá si el comando se ejecuto correctamente.
Uso de LittleWitch
Uso de LittleWitchEscritura en el escritorio
de la victima: En esta seleccionamos del menú de BROMA la opción de Escribir en el Escritorio.
Luego abajo colocamos el texto que se desee que aparezca en el escritorio victima y le damos enter.
De nuevo en la consola podemos observar si se llevo a cabo el comando satisfactoriamente.
Uso de LittleWitch
Uso de LittleWitchUso de keylogger para ver
que están escribiendo y ejecutando en el equipo: para este caso utilizaremos la opción de KEYLOG del menú superior.
En la ventana emergente colocamos en el campo del Server la IP de la victima y le damos click a conectar.
Inmediatamente todo lo que la victima teclee será almacenado en la pantalla del KEYLOG.
Uso de LittleWitch
Uso de LittleWitchUso del chat con la víctima:
En este caso usaremos la opción LWCHAT del menú superior.
En la pantalla configuramos el Nick a usar y el SERVER que es la IP de la victima.
En la parte de abajo escribimos lo que queramos que vea la victima y le damos a a enviar.
Uso de LittleWitchComo cualquier chat
es en ambos sentidos así que podremos tener una interesante charla con nuestra querida victima.
Prácticamente usar el chat da por hecho a la victima que su equipo fue infectado así que pensarlo dos veces antes de usarlo.
Uso de LittleWitchEnvió de mensajes de
alerta al equipo de cómputo víctima: En esta utilizaremos la opción DIALOGS del menú superior.
En la pantalla que se nos habilita colocamos el mensaje que se enviara y el símbolo que le aparecerá a la victima en el mensaje.
Medidas de seguridad para prevenir la infección de LittleWitchAunque por lo visto en el trabajo el troyano es de
alta prioridad y su manejo debe hacerse con cuidado se denota que ya los antivirus tienen un alto nivel de seguridad frente a este troyano y en su gran mayoría los archivos son detectados y eliminados y si aun se llega a logra ejecutar la aplicación de infección son eliminadas de inmediato y no se ejecutan.
Adicionalmente el mismo firewall de Windows ya está en la capacidad de detectar el troyano y advierte sobre su uso así que las medidas que se tienen actualmente ayudan mucho a mitigar la propagación de la infección.
Medidas de seguridad para prevenir la infección de LittleWitchComo conclusión las medidas viables, lógicas y a la mano de cualquier
usuario que se deben de tener en cuenta para evitar contaminaciones de nuestros equipos de computo con este troyano son:
Mantener activo el firewall de Windows.Mantener las actualizaciones actualizadas de las definiciones de
virus para Windows.Mantener un buen antivirus activo y actualizado para la detección
del troyano.Evitar darle click a archivos adjuntos o enlaces de correos
electrónicos de que no sean de personas conocidas, de publicidad o de redención de premios.
Evitar instalar aplicaciones de dudosa procedencia en los equipos de cómputo.
Medidas de seguridad para prevenir la infección de LittleWitch
Por último en caso de infecciones y que el antivirus no haya sido capaz de detectar se pueden seguir procedimientos básicos para la erradicación del troyano.
De manera manual puede eliminar la infección parando los procesos que esta activa, entre los nombres que pueden estos procesos tener encontramos los siguientes:
backdoor.littlewitch.61.o.exe, lwclient.exe, lwclient5.1.exe, lwclient5.2.exe, lwclient5.3.exe, lwserver.exe, lwserver_base.exe, lwserver_full.exe, lwserver_full5.1.exe, lwserver_full5.2.exe, lwserver_full5.3.exe, miniserver.exe, miniserver10.exe, miniserver12.exe, miniserver17.exe, miniserver18.exe, miniserver2.exe, miniserver20.exe, miniserver22.exe, miniserver3.exe, miniserver4.exe, miniserver6.exe, miniserver7.exe, remover2.0.exe
Utilizando la consola de comandos buscar los directorios que tengan los mismos nombres antes mencionado y eliminarlos.
Utilizar Anti-Spyware para eliminar toda la infección del equipo de cómputo. Hacer revisiones semanales del equipo con un antivirus actualizado y activo.
ConclusionesLa verdad disfrute de manera amplia la realización de esta
actividad, fue muy interesante ver que con una aplicación que podría ser muy simple se puede hacer tanto daño en el equipo de computo de un desconocido.
Se puede determinar que los sistemas de computo son muy frágiles y pueden estar de manera muy fácil bajo el control de cualquier hacker que tenga los conocimientos básicos para el uso o creación de troyanos.
Como siempre la mayor amenaza y debilidad que se tienen en todos los sistemas de computo seria el ser humano y son ellos a los cuales van enfocados los esfuerzos del hacker para poder lograr acceder y tener el control de los sistemas de computo, es por ello que educar al usuario es en mayor medida uno de los mejores métodos de prevención para evitar los ataques informáticos.