TROJANO LITTE WITCH

(DOCUMENTO CON FINES EDUCATIVOS)

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

SEGURIDAD EN BASES DE DATOS

jcherreramarin@gmail.com

Funcionamiento:

Componentes:

Este trojano se forma de archivos uno cliente llamada “ LWCLIENT” con este archivo el atacante tomara el

control de de la maquina a infectar

LWSERVER: Este es el archivo que se ejecutara en el equipo infectado

Metodo de infeccion:

Primero debemos tener en cuenta que este trojano es antiguo y por lo mismo ya casi todos los sistemas de

antivirus lo detectan y eliminan, ahora suponiendo que es una maquina sin metodos de defensa ya depende

de camuflar este trojano en algun otro archivo, enlace, pagina web, correo electronico.

Ademas este trojano puede ser muy efectivo en redes conocidas, con direccionamieto conocido ya que

como tal debo saber la direccion IP de la victima o en que rango de direcciones se mueve para poder hacer

un escaneo y encontrar la maquina infectada.

Despues de haber logrado que en el equipo victima se ejecute el SERVER.EXE y sabiendo la direccion IP o el

rango podremos conectarnos a esta maquina victima.

A traves del boton SCAN de la parte cliente o LWCLIENT podemos darle un rango de IPS o le damos la

direccion de red de broadcast para que le pregunte a todas las maquinas y vea quien tiene el trojano

Ahora ya habiendo identificado cual o cuales son las maquinas clientes que tiene el trojano ejecutándose y

habiendo identificado las dirección IP de las mismas procedemos a agregar esta dirección IP al Software

Cliente.

Ya con la dirección IP agregada al software cliente y atraves del mismo procedemos a utilizar las diveras

opciones que tiene el trojano y que están en esta interfaz grafica

Ventana para configurar aspectos del cliente

Con LWExplorer podemos hacer las conexiones necesarias hacia el cliente, para esto tenemos que tener

claro cual es la IP a atacar

Servidor en MAQUINA A ATACAR

Validando que en el equipo 2 está corriendo el troyano

Agregando la IP atacada

Utilizando el KEYLOGGER

Para ejecutar el KeyLogger abrimos en el menú principal KeyLog, esta opción me despliega las maquinas que

eh agregado con anterioridad, le damos abrir puerto y conectar

En la maquina atacada abrimos un block de notas

En la maquina donde tengo instalado el cliente del virus veo que están escribiendo a través de un Key Logger

Con LWexplorer se puede hacer una conexión con el equipo y hacer diferentes procesos como copias

archivos, borrar archivos, crear carpetas.

Voy a crear un carpeta en la maquina atacada

Carpeta en la maquina atacada, se le coloca un nombre que no sea sospechoso, en esta carpeta se pueden

pegar archivos para ejecutar otro tipo de ataque

El mismo programa permite matar el proceso del servidor, que puede ser útil para eliminar evidencia de que

algún programa o proceso estuvo en la maquina

PREVENCION Y RECOMENDACIONES

Este Troyano es muy poderoso y permite hacer muchas y variadas opciones y ataques en las maquinas

afectadas , este troyano es perfecto para redes o pc no protegidas por ningún sistema antivirus, ya que como

mencione en un principio la gran mayoría de sistemas antivirus tienen registrada en sus BD de firmas este

troyano.

Las recomendaciones principales:

Tener siempre antivirus actualizado en el PC

No confiar de mensajes electrónicos sospechosos

Siempre tener claro donde se da clic

Ser precavido con los sitios web que se visita

No confiar en nada de lo cual no se tenga certeza