Download - Troyano little witch
Trabajo Colaborativo No. 2
El Troyano LiTTLe WiTCH
Curso de Seguridad en Bases de Datos
Grupo Colaborativo 233009_9
Universidad Nacional Abierta y a Distancia UNADEscuela de ciencias Básicas, Tecnología e Ingeniería
Especialización en Seguridad Informática2014
¿QUÉ ES UN TROYANO?
Marta López Castellanos, de la compañía Panda Security España, define a un troyano como “un tipo de virus cuyos efectos pueden ser muy peligrosos. Pueden eliminar ficheros o destruir la información del disco duro. Además, son capaces de capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota.
También pueden capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario. Por ello, son muy utilizados por los ciberdelincuentes para robar datos bancario”.
TROYANO LiTTLe WiTCH
Este troyano fue programado en Delphi por Axlito en Argentina en el año 2001, y desde entonces se han publicado varias versiones. Su objetivo primordial es el de permitir el acceso remoto a una computadora, abriendo puertos UDP y permitiendo establecer comunicación con el equipo infectado (CLIENTE-SERVIDOR). El troyano esta compuesto por dos archivos ejecutables, uno de ellos es configurado y enviado a la victima (archivo miniserver.exe), el otro se ejecuta desde el equipo atacante (archivo LWCLIENT.exe).
ARCHIVO CLIENTE
Cuando se ejecuta el archivo Cliente (en el equipo del atacante), podemos observar lo siguiente:
Barra de menús
Ventana registro de eventos
Contraseña configurada en el archivo servidor
Listado de acciones
Opciones para algunas acciones
Activando esta opción, crea un archivo que guarda todos las acciones efectuadas con el troyano
Ítem de acciones
En esta ventana agregamos las direcciones IP de los equipos infectados
Conectar o desconectar de la maquina infectada
FUNCIONAMIENTOCONFIGURACION Y ESCANEO DE LA RED
Para comenzar a utilizar este troyano, primero se debe configurar el archivo Servidor (en este caso llamado miniserver.exe) desde el programa CLIENTE, en la opción SETUP; archivo que será enviado a la víctima.
Una vez configurado el archivo miniserver.exe, se envía a la víctima o se instala si se tiene acceso físico al equipo. Una vez infectado el equipo con el troyano, en la opción SCAN del equipo Cliente (atacante), podemos escanear un segmento de red, en el cual el programa identificará por medio de la dirección IP de la maquina infectada.
SETUP
SCAN
CONEXIÓN CON EL EQUIPO VICTIMAUna vez identificada la dirección IP del equipo infectado, la agregamos al programa y establecemos la comunicación para acceder remotamente.
Una vez conectados al equipo infectado, el troyano permite utilizar las siguientes opciones, ubicadas en la barra de menús:
LWEXPLORER: Con esta opción podemos establecer una conexión FTP con el equipo infectado, permitiendo subir, descargar, crear y eliminar archivos y carpetas.
Dirección IP equipo infectado
Se establece la comunicación
OPCIONES KEYLOG Y LWCHATKEYLOG:Se activa un keylogger, con lo que se puede obtener información de todo lo que se esté tecleando en el equipo infectado. Es posible guardar la información recopilada.
LWCHAT:Introduciendo un nombre (NICKNAME) y seleccionando la IP del equipo infectado en la opción SERVER, es posible establecer una sesión de Chat con la persona del equipo infectado.
OPCIONES DIALOGS E INGLESDIALOGS:Esta opción permite interactuar con la victima enviando mensajes de tipo error, advertencia, información o pregunta.
INGLES:Con esta opción cambiamos el texto del programa Cliente de idioma español a inglés o viceversa.
OPCIONES CONSOLA Y REGISTRYCONSOLA:Permite utilizar la consola de comandos o símbolo del sistema de Windows en el equipo infectado, para explorar y/o modificar el equipo mediante comandos.
REGISTRY:Abre el registro de Windows del equipo infectado.
OPCIONES NETSTATS Y PASSWORDSNETSTATS:Muestra un listado de las conexiones activas del equipo infectado.
PASSWORDS:Permite conocer las contraseñas obtenidas por el troyano.
OPCIONES ESCRITORIO REMOTO Y NEWSESCRITORIO REMOTO: Accede a la computadora infectada a través de un escritorio gráfico.
NEWS:Abre una página nueva en el explorador de internet del equipo victima.
ACCIONES PREESTABLECIDASEl troyano LiTTLe WiTCH, trae preestablecidas algunas acciones, relacionadas en tres ítems denominados BROMA, CONFIG y OTROS.
Ítems
Listado de acciones preestablecidas
ACCIONES PREESTABLECIDASPara ejecutar estas acciones, debemos seleccionar la acción a ejecutar y dar clic en enviar. En la ventana de la izquierda, podemos observar como el troyano registra las acciones realizadas.
1Selección del ítem
2Selección de la
acción a realizar
3Dar clic
en ENVIAR
4Acción realizada, en este caso lista de procesos equipo victima.
Este tipo de virus, es llamado troyano o caballo de Troya en relación a la historia del caballo de Troya mencionado en la Odisea de Homero. Su función principal en la mayoría de los casos es crear una puerta trasera conocida como BACKDOOR, que permite la administración remota a un usuario no autorizado.
El troyano LiTTLe WiTCH hoy en día es detectado por los programas de seguridad instalados en los equipos (Antivirus, Antispyware, etc…), inclusive los sistemas operativos en sus actualizaciones han corregido problemas de seguridad aprovechados por este programa, por lo que para la realización de este trabajo se virtualizaron dos sistemas operativos sin ningún tipo de protección.
De igual manera, al ser un troyano de conexión directa, esta en desuso con el uso de los Firewalls, que no permiten conexiones entrantes al equipo.
Los troyanos modernos utilizan conexión indirecta, la cual a diferencia de la directa, permite que el equipo victima solicite constantemente conexión al equipo atacante hasta lograrla, traspasando la seguridad de muchos Firewalls que no analizan los paquetes que salen de la maquina.
MEDIDAS DE SEGURIDAD Instalar periódicamente actualizaciones de los sistemas operativos
y programas instalados en el equipo. Instalar y configurar un programa Antivirus y mantenerlo
actualizado. Mantener activo el firewall. No instalar aplicaciones de dudosa procedencia. Utilizar con frecuencia un programa contra malware o realizar
escaneo en línea. No abrir correos sospechosos ni sus adjuntos. No instalar programas pirateados, cracks, modificaciones, entre
otros. Evitar navegar en páginas de internet de poca confianza. Tener cuidado con la configuración de la red y de los programas de
seguridad de los equipos de cómputo. Escanear con el Antivirus los discos extraíbles con frecuencia. Realizar auditorias periódicas a los equipos informáticos y a sus
configuraciones (en organizaciones). Establecer políticas de seguridad y asegurar su cumplimiento (en
organizaciones).
REFERENCIAS
López, M. (2013). ¿Qué es un troyano?. Obtenido de: http://soporte.pandasecurity.com/blog/malware/que- es- un-troyano/
Díaz, V. (sin fecha). Seguridad en bases de datos y aplicaciones web.Universitat Oberta de Catalunya.
Silva, L. (2011). Análisis comparativo de las principales técnicas de hacking empresarial. Obtenido de: http://repositorio.utp.edu.co/dspace/bitstream/11059/2518/1/0 058S586.pdf
Segu.Info. (1997). Amenazas Lógicas - Tipos de Ataques - Ataques de Monitorización. Obtenido de: http://www.segu-info.com.ar/ataques/ataques_monitorizacion.htm
Maulini, M. (2010). Las diez (10) vulnerabilidades más comunes de las bases de datos. Obtenido de: http://www.e- securing.com/novedad.aspx?id=58
Oocities.org. (sin fecha). Troyano Little Witch. Obtenido de: http://www.oocities.org/ar/sub_team_arg/Secciones/download. htm#troyanos
WIKIPEDIA (2014). Troyano. Obtenido de: http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)#Prop.C3.B3sitos_d e_los_troyanos