Upload
leonav22
View
53
Download
2
Tags:
Embed Size (px)
Citation preview
CONFIGURACIÓN Y EJECUCIÓN DEL TROYANO LITTLE WITCH EN UN
ENTORNO VIRTUAL
Troyano o caballo de Troya es un software malicioso que se presenta al
usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un
atacante acceso remoto al equipo infectado
Entorno virtual
• Inicialmente se crean dos máquinas virtuales, para el ejemplo se utilizó el sistema Windows XP
Entorno virtual
• Es necesario para evitar la propagación del troyano a nuestro equipo anfitrión limitar la red. Para ello ingresamos a la configuración de la máquina virtual (cliente y servidor) y seleccionamos Conectado a Red Interna.
Ejecución de Little WitchEl troyano LittleWitch se compone de dos archivos• Cliente: Nos permite tener
control de la maquina infectada
• Servidor. Es el archivo que se envía al equipo que se desea infectar
Ejecución de Little Witch
• Cuando el usuario ejecuta el archivo troyano, en el equipo servidor se agrega un nuevo proceso al sistema llamado RunDll.exe
Ejecución de Little Witch
• Cuando el troyano se ejecuta, se copia a sí mismo en c:\windows\system\rundll.exe.
• En c:\windows\usr.dat se guardan los password capturados.
• Además se crea una entrada de registro en el sistemaHkey_local_machine\software\Microsoft\windows\currentversion\runRundll=c:\windows\system\rundll.exe
Ejecución de Little Witch• En el cliente se ejecuta el archivo cliente del virus
troyano.
Dentro de las opciones que tenemos disponibles tenemos:Broma / Config / Otros.
Ejecución de Little Witch• Ingresamos
la dirección IP de la máquina que queremos atacar.
• Probamos la conexión con el equipo infectado mediante la opción PING
Una vez establecida la conexión, podemos utilizar los diferentes procesos establecidos para obtener información del sistema o realizar un ataque al mismo.
Ejecución de Little Witch
Ejemplo de la opción Ventana de dialogo
Resultado de la operación en el
equipo infectado
Ejecución de Little Witch
Ejemplo de la opción Escribir en escritorio
Resultado de la operación en el
equipo infectado