14
CONFIGURACIÓN Y EJECUCIÓN DEL TROYANO LITTLE WITCH EN UN ENTORNO VIRTUAL Troyano o caballo de Troya es un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado

Troyano little witch

Embed Size (px)

Citation preview

CONFIGURACIÓN Y EJECUCIÓN DEL TROYANO LITTLE WITCH EN UN

ENTORNO VIRTUAL

Troyano o caballo de Troya es un software malicioso que se presenta al

usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un

atacante acceso remoto al equipo infectado

Agenda• Preparación del entorno virtual• Ejecución de Little Witch• Desinfección

Entorno virtual

• Inicialmente se crean dos máquinas virtuales, para el ejemplo se utilizó el sistema Windows XP

Entorno virtual

• Es necesario para evitar la propagación del troyano a nuestro equipo anfitrión limitar la red. Para ello ingresamos a la configuración de la máquina virtual (cliente y servidor) y seleccionamos Conectado a Red Interna.

Ejecución de Little WitchEl troyano LittleWitch se compone de dos archivos• Cliente: Nos permite tener

control de la maquina infectada

• Servidor. Es el archivo que se envía al equipo que se desea infectar

Ejecución de Little Witch

• Cuando el usuario ejecuta el archivo troyano, en el equipo servidor se agrega un nuevo proceso al sistema llamado RunDll.exe

Ejecución de Little Witch

• Cuando el troyano se ejecuta, se copia a sí mismo en c:\windows\system\rundll.exe.

• En c:\windows\usr.dat se guardan los password capturados.

• Además se crea una entrada de registro en el sistemaHkey_local_machine\software\Microsoft\windows\currentversion\runRundll=c:\windows\system\rundll.exe

Ejecución de Little Witch• En el cliente se ejecuta el archivo cliente del virus

troyano.

Ejecución de Little Witch• En el cliente se ejecuta el archivo cliente del virus

troyano.

Dentro de las opciones que tenemos disponibles tenemos:Broma / Config / Otros.

Ejecución de Little Witch• Ingresamos

la dirección IP de la máquina que queremos atacar.

• Probamos la conexión con el equipo infectado mediante la opción PING

Una vez establecida la conexión, podemos utilizar los diferentes procesos establecidos para obtener información del sistema o realizar un ataque al mismo.

Ejecución de Little Witch

Ejemplo de la opción Info Sistema

Ejecución de Little Witch

Ejemplo de la opción Ventana de dialogo

Resultado de la operación en el

equipo infectado

Ejecución de Little Witch

Ejemplo de la opción Escribir en escritorio

Resultado de la operación en el

equipo infectado

Desinfección

• Uso de antivirus actualizado

• Eliminar el valor añadido a la entrada de registro, para evitar la propagación del troyano cuando se reinicia el sistema