1. CONFIGURACIÓN Y EJECUCIÓN
DEL TROYANO LITTLE WITCH EN
UN ENTORNO VIRTUAL
Troyano o caballo de Troya es un software
malicioso que se presenta al usuario como un
programa aparentemente legítimo e
inofensivo, pero que, al ejecutarlo, le brinda a
un atacante acceso remoto al equipo infectado
4. Entorno virtual
• Es necesario para
evitar la propagación
del troyano a nuestro
equipo anfitrión
limitar la red. Para
ello ingresamos a la
configuración de la
máquina virtual
(cliente y servidor) y
seleccionamos
Conectado a Red
Interna.
5. Ejecución de Little Witch
El troyano LittleWitch se
compone de dos archivos
• Cliente: Nos permite tener
control de la maquina
infectada
• Servidor. Es el archivo que
se envía al equipo que se
desea infectar
6. Ejecución de Little Witch
• Cuando el usuario ejecuta el archivo troyano, en
el equipo servidor se agrega un nuevo proceso al
sistema llamado RunDll.exe
7. Ejecución de Little Witch
• Cuando el troyano se ejecuta, se copia a sí mismo
en c:windowssystemrundll.exe.
• En c:windowsusr.dat se guardan los password
capturados.
• Además se crea una entrada de registro en el
sistema
Hkey_local_machinesoftwareMicrosoftwindowscurre
ntversionrun
Rundll=c:windowssystemrundll.exe
8. Ejecución de Little Witch
• En el cliente se ejecuta el archivo cliente del
virus troyano.
9. Ejecución de Little Witch
• En el cliente se ejecuta el archivo cliente del
virus troyano.
Dentro de las opciones que tenemos disponibles tenemos:
Broma / Config / Otros.
10. Ejecución de Little Witch
• Ingresamos
la dirección
IP de la
máquina
que
queremos
atacar.
• Probamos la
conexión
con el
equipo
infectado
mediante la
opción PING
Una vez establecida la conexión, podemos utilizar los
diferentes procesos establecidos para obtener
información del sistema o realizar un ataque al mismo.
12. Ejecución de Little Witch
Ejemplo de la opción Ventana de dialogo
Resultado de la
operación en el
equipo infectado
13. Ejecución de Little Witch
Ejemplo de la opción Escribir en escritorio
Resultado de la
operación en el
equipo infectado
14. Desinfección
• Uso de antivirus
actualizado
• Eliminar el valor
añadido a la
entrada de
registro, para
evitar la
propagación del
troyano cuando
se reinicia el
sistema