Trabajo Colaborativo No. 2

El Troyano LiTTLe WiTCH

Curso de Seguridad en Bases de Datos

Grupo Colaborativo 233009_9

Universidad Nacional Abierta y a Distancia UNADEscuela de ciencias Básicas, Tecnología e Ingeniería

Especialización en Seguridad Informática2014

¿QUÉ ES UN TROYANO?

Marta López Castellanos, de la compañía Panda Security España, define a un troyano como “un tipo de virus cuyos efectos pueden ser muy peligrosos. Pueden eliminar ficheros o destruir la información del disco duro. Además, son capaces de capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota.

También pueden capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario. Por ello, son muy utilizados por los ciberdelincuentes para robar datos bancario”.

TROYANO LiTTLe WiTCH

Este troyano fue programado en Delphi por Axlito en Argentina en el año 2001, y desde entonces se han publicado varias versiones. Su objetivo primordial es el de permitir el acceso remoto a una computadora, abriendo puertos UDP y permitiendo establecer comunicación con el equipo infectado (CLIENTE-SERVIDOR). El troyano esta compuesto por dos archivos ejecutables, uno de ellos es configurado y enviado a la victima (archivo miniserver.exe), el otro se ejecuta desde el equipo atacante (archivo LWCLIENT.exe).

ARCHIVO CLIENTE

Cuando se ejecuta el archivo Cliente (en el equipo del atacante), podemos observar lo siguiente:

Barra de menús

Ventana registro de eventos

Contraseña configurada en el archivo servidor

Listado de acciones

Opciones para algunas acciones

Activando esta opción, crea un archivo que guarda todos las acciones efectuadas con el troyano

Ítem de acciones

En esta ventana agregamos las direcciones IP de los equipos infectados

Conectar o desconectar de la maquina infectada

FUNCIONAMIENTOCONFIGURACION Y ESCANEO DE LA RED

Para comenzar a utilizar este troyano, primero se debe configurar el archivo Servidor (en este caso llamado miniserver.exe) desde el programa CLIENTE, en la opción SETUP; archivo que será enviado a la víctima.

Una vez configurado el archivo miniserver.exe, se envía a la víctima o se instala si se tiene acceso físico al equipo. Una vez infectado el equipo con el troyano, en la opción SCAN del equipo Cliente (atacante), podemos escanear un segmento de red, en el cual el programa identificará por medio de la dirección IP de la maquina infectada.

SETUP

SCAN

CONEXIÓN CON EL EQUIPO VICTIMAUna vez identificada la dirección IP del equipo infectado, la agregamos al programa y establecemos la comunicación para acceder remotamente.

Una vez conectados al equipo infectado, el troyano permite utilizar las siguientes opciones, ubicadas en la barra de menús:

LWEXPLORER: Con esta opción podemos establecer una conexión FTP con el equipo infectado, permitiendo subir, descargar, crear y eliminar archivos y carpetas.

Dirección IP equipo infectado

Se establece la comunicación

OPCIONES KEYLOG Y LWCHATKEYLOG:Se activa un keylogger, con lo que se puede obtener información de todo lo que se esté tecleando en el equipo infectado. Es posible guardar la información recopilada.

LWCHAT:Introduciendo un nombre (NICKNAME) y seleccionando la IP del equipo infectado en la opción SERVER, es posible establecer una sesión de Chat con la persona del equipo infectado.

OPCIONES DIALOGS E INGLESDIALOGS:Esta opción permite interactuar con la victima enviando mensajes de tipo error, advertencia, información o pregunta.

INGLES:Con esta opción cambiamos el texto del programa Cliente de idioma español a inglés o viceversa.

OPCIONES CONSOLA Y REGISTRYCONSOLA:Permite utilizar la consola de comandos o símbolo del sistema de Windows en el equipo infectado, para explorar y/o modificar el equipo mediante comandos.

REGISTRY:Abre el registro de Windows del equipo infectado.

OPCIONES NETSTATS Y PASSWORDSNETSTATS:Muestra un listado de las conexiones activas del equipo infectado.

PASSWORDS:Permite conocer las contraseñas obtenidas por el troyano.

OPCIONES ESCRITORIO REMOTO Y NEWSESCRITORIO REMOTO: Accede a la computadora infectada a través de un escritorio gráfico.

NEWS:Abre una página nueva en el explorador de internet del equipo victima.

ACCIONES PREESTABLECIDASEl troyano LiTTLe WiTCH, trae preestablecidas algunas acciones, relacionadas en tres ítems denominados BROMA, CONFIG y OTROS.

Ítems

Listado de acciones preestablecidas

ACCIONES PREESTABLECIDASPara ejecutar estas acciones, debemos seleccionar la acción a ejecutar y dar clic en enviar. En la ventana de la izquierda, podemos observar como el troyano registra las acciones realizadas.

1Selección del ítem

2Selección de la

acción a realizar

3Dar clic

en ENVIAR

4Acción realizada, en este caso lista de procesos equipo victima.

Este tipo de virus, es llamado troyano o caballo de Troya en relación a la historia del caballo de Troya mencionado en la Odisea de Homero. Su función principal en la mayoría de los casos es crear una puerta trasera conocida como BACKDOOR, que permite la administración remota a un usuario no autorizado.

El troyano LiTTLe WiTCH hoy en día es detectado por los programas de seguridad instalados en los equipos (Antivirus, Antispyware, etc…), inclusive los sistemas operativos en sus actualizaciones han corregido problemas de seguridad aprovechados por este programa, por lo que para la realización de este trabajo se virtualizaron dos sistemas operativos sin ningún tipo de protección.

De igual manera, al ser un troyano de conexión directa, esta en desuso con el uso de los Firewalls, que no permiten conexiones entrantes al equipo.

Los troyanos modernos utilizan conexión indirecta, la cual a diferencia de la directa, permite que el equipo victima solicite constantemente conexión al equipo atacante hasta lograrla, traspasando la seguridad de muchos Firewalls que no analizan los paquetes que salen de la maquina.

MEDIDAS DE SEGURIDAD Instalar periódicamente actualizaciones de los sistemas operativos

y programas instalados en el equipo. Instalar y configurar un programa Antivirus y mantenerlo

actualizado. Mantener activo el firewall. No instalar aplicaciones de dudosa procedencia. Utilizar con frecuencia un programa contra malware o realizar

escaneo en línea. No abrir correos sospechosos ni sus adjuntos. No instalar programas pirateados, cracks, modificaciones, entre

otros. Evitar navegar en páginas de internet de poca confianza. Tener cuidado con la configuración de la red y de los programas de

seguridad de los equipos de cómputo. Escanear con el Antivirus los discos extraíbles con frecuencia. Realizar auditorias periódicas a los equipos informáticos y a sus

configuraciones (en organizaciones). Establecer políticas de seguridad y asegurar su cumplimiento (en

organizaciones).

REFERENCIAS

López, M. (2013). ¿Qué es un troyano?. Obtenido de: http://soporte.pandasecurity.com/blog/malware/que- es- un-troyano/

Díaz, V. (sin fecha). Seguridad en bases de datos y aplicaciones web.Universitat Oberta de Catalunya.

Silva, L. (2011). Análisis comparativo de las principales técnicas de hacking empresarial. Obtenido de: http://repositorio.utp.edu.co/dspace/bitstream/11059/2518/1/0 058S586.pdf

Segu.Info. (1997). Amenazas Lógicas - Tipos de Ataques - Ataques de Monitorización. Obtenido de: http://www.segu-info.com.ar/ataques/ataques_monitorizacion.htm

Maulini, M. (2010). Las diez (10) vulnerabilidades más comunes de las bases de datos. Obtenido de: http://www.e- securing.com/novedad.aspx?id=58

Oocities.org. (sin fecha). Troyano Little Witch. Obtenido de: http://www.oocities.org/ar/sub_team_arg/Secciones/download. htm#troyanos

WIKIPEDIA (2014). Troyano. Obtenido de: http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)#Prop.C3.B3sitos_d e_los_troyanos