Trabajo Colaborativo No. 2
El Troyano LiTTLe WiTCH
Curso de Seguridad en Bases de Datos
Grupo Colaborativo 233009_9
Univer...
¿QUÉ ES UN TROYANO?
Marta López Castellanos, de la compañía Panda Security
España, define a un troyano como “un tipo de vi...
TROYANO LiTTLe WiTCH
Este troyano fue programado en Delphi por Axlito en
Argentina en el año 2001, y desde entonces se han...
ARCHIVO CLIENTE
Cuando se ejecuta el archivo Cliente (en el equipo del
atacante), podemos observar lo siguiente:
Barra de ...
FUNCIONAMIENTO
CONFIGURACION Y ESCANEO DE LA RED
Para comenzar a utilizar este
troyano, primero se debe
configurar el arch...
CONEXIÓN CON EL EQUIPO VICTIMA
Una vez identificada la
dirección IP del equipo
infectado, la agregamos al
programa y estab...
OPCIONES KEYLOG Y LWCHAT
KEYLOG:
Se activa un keylogger, con lo que
se puede obtener información de
todo lo que se esté te...
OPCIONES DIALOGS E INGLES
DIALOGS:
Esta opción permite interactuar con la
victima enviando mensajes de tipo error,
adverte...
OPCIONES CONSOLA Y REGISTRY
CONSOLA:
Permite utilizar la consola de
comandos o símbolo del sistema
de Windows en el equipo...
OPCIONES NETSTATS Y PASSWORDS
NETSTATS:
Muestra un listado de las
conexiones activas del
equipo infectado.
PASSWORDS:
Perm...
OPCIONES ESCRITORIO REMOTO Y NEWS
ESCRITORIO REMOTO:
Accede a la computadora
infectada a través de un
escritorio gráfico.
...
ACCIONES PREESTABLECIDAS
El troyano LiTTLe WiTCH, trae preestablecidas algunas acciones,
relacionadas en tres ítems denomi...
ACCIONES PREESTABLECIDAS
Para ejecutar estas acciones, debemos seleccionar la acción a
ejecutar y dar clic en enviar. En l...
Este tipo de virus, es llamado troyano o caballo de Troya en relación
a la historia del caballo de Troya mencionado en la ...
MEDIDAS DE SEGURIDAD
 Instalar periódicamente actualizaciones de los sistemas operativos
y programas instalados en el equ...
REFERENCIAS
López, M. (2013). ¿Qué es un troyano?. Obtenido de:
http://soporte.pandasecurity.com/blog/malware/que- es- un-...
Upcoming SlideShare
Loading in …5
×

Troyano little witch

526 views

Published on

Descripción y funcionamiento del Troyano LiTTLe WiTCH.

Published in: Software
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
526
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Troyano little witch

  1. 1. Trabajo Colaborativo No. 2 El Troyano LiTTLe WiTCH Curso de Seguridad en Bases de Datos Grupo Colaborativo 233009_9 Universidad Nacional Abierta y a Distancia UNAD Escuela de ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática 2014
  2. 2. ¿QUÉ ES UN TROYANO? Marta López Castellanos, de la compañía Panda Security España, define a un troyano como “un tipo de virus cuyos efectos pueden ser muy peligrosos. Pueden eliminar ficheros o destruir la información del disco duro. Además, son capaces de capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota. También pueden capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario. Por ello, son muy utilizados por los ciberdelincuentes para robar datos bancario”.
  3. 3. TROYANO LiTTLe WiTCH Este troyano fue programado en Delphi por Axlito en Argentina en el año 2001, y desde entonces se han publicado varias versiones. Su objetivo primordial es el de permitir el acceso remoto a una computadora, abriendo puertos UDP y permitiendo establecer comunicación con el equipo infectado (CLIENTE-SERVIDOR). El troyano esta compuesto por dos archivos ejecutables, uno de ellos es configurado y enviado a la victima (archivo miniserver.exe), el otro se ejecuta desde el equipo atacante (archivo LWCLIENT.exe).
  4. 4. ARCHIVO CLIENTE Cuando se ejecuta el archivo Cliente (en el equipo del atacante), podemos observar lo siguiente: Barra de menús Ventana registro de eventos Contraseña configurada en el archivo servidor Listado de acciones Opciones para algunas acciones Activando esta opción, crea un archivo que guarda todos las acciones efectuadas con el troyano Ítem de acciones En esta ventana agregamos las direcciones IP de los equipos infectados Conectar o desconectar de la maquina infectada
  5. 5. FUNCIONAMIENTO CONFIGURACION Y ESCANEO DE LA RED Para comenzar a utilizar este troyano, primero se debe configurar el archivo Servidor (en este caso llamado miniserver.exe) desde el programa CLIENTE, en la opción SETUP; archivo que será enviado a la víctima. Una vez configurado el archivo miniserver.exe, se envía a la víctima o se instala si se tiene acceso físico al equipo. Una vez infectado el equipo con el troyano, en la opción SCAN del equipo Cliente (atacante), podemos escanear un segmento de red, en el cual el programa identificará por medio de la dirección IP de la maquina infectada. SETUP SCAN
  6. 6. CONEXIÓN CON EL EQUIPO VICTIMA Una vez identificada la dirección IP del equipo infectado, la agregamos al programa y establecemos la comunicación para acceder remotamente. Una vez conectados al equipo infectado, el troyano permite utilizar las siguientes opciones, ubicadas en la barra de menús: LWEXPLORER: Con esta opción podemos establecer una conexión FTP con el equipo infectado, permitiendo subir, descargar, crear y eliminar archivos y carpetas. Dirección IP equipo infectado Se establece la comunicación
  7. 7. OPCIONES KEYLOG Y LWCHAT KEYLOG: Se activa un keylogger, con lo que se puede obtener información de todo lo que se esté tecleando en el equipo infectado. Es posible guardar la información recopilada. LWCHAT: Introduciendo un nombre (NICKNAME) y seleccionando la IP del equipo infectado en la opción SERVER, es posible establecer una sesión de Chat con la persona del equipo infectado.
  8. 8. OPCIONES DIALOGS E INGLES DIALOGS: Esta opción permite interactuar con la victima enviando mensajes de tipo error, advertencia, información o pregunta. INGLES: Con esta opción cambiamos el texto del programa Cliente de idioma español a inglés o viceversa.
  9. 9. OPCIONES CONSOLA Y REGISTRY CONSOLA: Permite utilizar la consola de comandos o símbolo del sistema de Windows en el equipo infectado, para explorar y/o modificar el equipo mediante comandos. REGISTRY: Abre el registro de Windows del equipo infectado.
  10. 10. OPCIONES NETSTATS Y PASSWORDS NETSTATS: Muestra un listado de las conexiones activas del equipo infectado. PASSWORDS: Permite conocer las contraseñas obtenidas por el troyano.
  11. 11. OPCIONES ESCRITORIO REMOTO Y NEWS ESCRITORIO REMOTO: Accede a la computadora infectada a través de un escritorio gráfico. NEWS: Abre una página nueva en el explorador de internet del equipo victima.
  12. 12. ACCIONES PREESTABLECIDAS El troyano LiTTLe WiTCH, trae preestablecidas algunas acciones, relacionadas en tres ítems denominados BROMA, CONFIG y OTROS. Ítems Listado de acciones preestablecidas
  13. 13. ACCIONES PREESTABLECIDAS Para ejecutar estas acciones, debemos seleccionar la acción a ejecutar y dar clic en enviar. En la ventana de la izquierda, podemos observar como el troyano registra las acciones realizadas. 1 Selección del ítem 2 Selección de la acción a realizar 3 Dar clic en ENVIAR 4 Acción realizada, en este caso lista de procesos equipo victima.
  14. 14. Este tipo de virus, es llamado troyano o caballo de Troya en relación a la historia del caballo de Troya mencionado en la Odisea de Homero. Su función principal en la mayoría de los casos es crear una puerta trasera conocida como BACKDOOR, que permite la administración remota a un usuario no autorizado. El troyano LiTTLe WiTCH hoy en día es detectado por los programas de seguridad instalados en los equipos (Antivirus, Antispyware, etc…), inclusive los sistemas operativos en sus actualizaciones han corregido problemas de seguridad aprovechados por este programa, por lo que para la realización de este trabajo se virtualizaron dos sistemas operativos sin ningún tipo de protección. De igual manera, al ser un troyano de conexión directa, esta en desuso con el uso de los Firewalls, que no permiten conexiones entrantes al equipo. Los troyanos modernos utilizan conexión indirecta, la cual a diferencia de la directa, permite que el equipo victima solicite constantemente conexión al equipo atacante hasta lograrla, traspasando la seguridad de muchos Firewalls que no analizan los paquetes que salen de la maquina.
  15. 15. MEDIDAS DE SEGURIDAD  Instalar periódicamente actualizaciones de los sistemas operativos y programas instalados en el equipo.  Instalar y configurar un programa Antivirus y mantenerlo actualizado.  Mantener activo el firewall.  No instalar aplicaciones de dudosa procedencia.  Utilizar con frecuencia un programa contra malware o realizar escaneo en línea.  No abrir correos sospechosos ni sus adjuntos.  No instalar programas pirateados, cracks, modificaciones, entre otros.  Evitar navegar en páginas de internet de poca confianza.  Tener cuidado con la configuración de la red y de los programas de seguridad de los equipos de cómputo.  Escanear con el Antivirus los discos extraíbles con frecuencia.  Realizar auditorias periódicas a los equipos informáticos y a sus configuraciones (en organizaciones).  Establecer políticas de seguridad y asegurar su cumplimiento (en organizaciones).
  16. 16. REFERENCIAS López, M. (2013). ¿Qué es un troyano?. Obtenido de: http://soporte.pandasecurity.com/blog/malware/que- es- un- troyano/ Díaz, V. (sin fecha). Seguridad en bases de datos y aplicaciones web. Universitat Oberta de Catalunya. Silva, L. (2011). Análisis comparativo de las principales técnicas de hacking empresarial. Obtenido de: http://repositorio.utp.edu.co/dspace/bitstream/11059/2518/1/0 058S586.pdf Segu.Info. (1997). Amenazas Lógicas - Tipos de Ataques - Ataques de Monitorización. Obtenido de: http://www.segu- info.com.ar/ataques/ataques_monitorizacion.htm Maulini, M. (2010). Las diez (10) vulnerabilidades más comunes de las bases de datos. Obtenido de: http://www.e- securing.com/novedad.aspx?id=58 Oocities.org. (sin fecha). Troyano Little Witch. Obtenido de: http://www.oocities.org/ar/sub_team_arg/Secciones/download. htm#troyanos WIKIPEDIA (2014). Troyano. Obtenido de: http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)#Prop.C3.B3sitos_d e_los_troyanos

×