Este es un informe de una actividad colaborativa desarrollada dentro del modulo Seguridad en Base de Datos, de la especialización en Seguridad Informática de la Universidad Nacional Abierta y a Distancia UNAD.

1. INFORME TROYANO
GRUPO 233009_16
JESUS EMIRO VEGA
TUTOR
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
SEGURIDAD EN BASE DE DATOS
DICIEMBRE DE 2013

2. TROYANO
Caballo de Troya (Virus Informático) “Programa
creado y que opera bajo un aspecto
inofensivo y útil para el usuario, afecta
negativamente al sistema al incluir un
módulo capaz de destruir datos. Junto con los
demás virus es uno de los tipos de programas
dañinos más conocidos y utilizados”. EcuRed
Enciclopedia Cubana en la Red.

3. Optix PRO v1.33
 La arquitectura de este programa esta
compuesto por:
 Creador
 Cliente
 Troyano

4. Builder
El programa Builder Se utiliza para crear y configurar el troyano.

5. Build - Opciones
Una de las opciones que se puede configurar es el icono del archivo, para
aparentar ser otro programa y engañar mas fácil a la victima, en un ataque
de Ingeniería Social.

6. Build - Resultado
El Resultado es un archivo ejecutable con otra apariencia, el cual
hay que enviárselo a la victima por cualquier medio: correo, FTP,
USB, etc.

7. Ambiente de Prueba
 Para realizar esta practica se virtualizó dos
maquinas con Windows XP mediante
VirtualBox.
 La maquina del Atacante tiene la Dirección IP
192.168.1.11
 La maquina victima tiene la Dirección IP
192.168.1.12
(EnVirtualBox se recomienda utilizar el tipo de
Red como Red Local, para impedir cualquier
propagación del Troyano )

8. Maquina del Atacante

9. Maquina de la Victima

10. Análisis del Troyano
Como se puede ver en la imagen anterior, la victima a
recibido el archivo por algún medio, para analizar la
actividad del Troyano se utilizaron los siguientes
programas:
 Process Explorer: Es un programa que permite ver en
tiempo real todos los programas que se están ejecutando,
los recursos de CPU, memoria, archivos, etc.
 Process Monitor: Es un complemento del anterior,
permite registrar todos las acciones o eventos generados
por un proceso, como creación de hilos, acceso a archivos,
bibliotecas, manipulación del registro, etc.
 TCPView: Permite observar la actividad de la red.

11. Troyano - Ejecución
La imagen muestra el momento en el que se ejecuta el troyano.

12. Troyano –Creación de Archivos
El programa original Crea otro archivo llamado msiexec16.exe en
C:WindowsSystem32

13. Troyano –Ejecución Proceso
El programa Informe.exe inicia el proceso msiexec16.exe y ahora toma el
protagonismo.

14. Troyano –Modificando Registro
Entre las principales acciones de msiexec16.exe es crear una entrada al registro de
arranque, de tal manera que cuando se reinicie el PC se ejecute nuevamente.

15. Troyano – Puertos Abiertos
msiexec16.exe abre el puerto 3410 por el cual escucha las conexiones y
recibe ordenes.

16. Cliente – Información del PC
El programa Cliente permite conectarse a una maquina infectada. Si el proceso es
exitoso se puede obtener información del equipo, control total sobre archivos,
procesos, inclusive capturar el teclado, la pantalla y la WebCam.

17. Cliente – Descarga de Archivos
Se tiene acceso total al sistema de archivos de la victima, permitiendo descargar y
subir un archivo.

18. Resumen
Al lado izquierdo se puede observar el Atacante ejecutando el programa Cliente,
al lado Derecho la victima, quien ha recibido y ejecutado el Troyano. En este slide
se observa la capacidad de tomar una captura de la pantalla de la victima.

19. Recomendaciones 1
 Tener un Antivirus Actualizado en todas las
Maquinas.
 Tener el Sistema Operativo Actualizado en
Todas las maquinas.
 Los usuarios deben ejecutar las aplicaciones
con un perfil de mínimo privilegio.
 Establecer Políticas de prohibición Envió y
Recepción de archivos ejecutables mediante
Correo, FTP, HTTP, etc.

20. Recomendaciones 2
 En los servidores (p.ej. de Base de Datos)
Instalar sensores ante cambios en los
archivos, registro, ancho de banda, etc.
 Revisar constantemente el log de eventos del
Servidor para detectar comportamiento
inusual.
 Tener mucho cuidado con la manipulación de
estos programas.

21. Referencias Bibliográficas 1
 Process Explorer. Disponible en:
http://technet.microsoft.com/esco/sysinternals/bb896653.aspx
 Process Monitor, Disponible en:
http://technet.microsoft.com/esco/sysinternals/bb896645.aspx
 TCPView, Disponible en:
http://technet.microsoft.com/enus/sysinternals/bb897437.aspx

22. Referencias Bibliográficas 2
 Enciclopedia Cubana en Red. Disponible en:
http://www.ecured.cu/index.php/Caballo_de_
Troya_(Inform%C3%A1tica)
 Malware Analisys . Disponible en
http://www.youtube.com/watch?v=fqf5LfPw
mm4