LittleWitch es un troyano que permite acceso remoto no autorizado a una computadora infectada, captura de información personal y control del mouse y teclado. Se propaga a través de archivos compartidos y correos electrónicos sospechosos. Una vez instalado, oculta su presencia y permite al atacante robar contraseñas, ver pantallas y chatear con la víctima de forma anónima.

1. SEGURIDAD EN
BASES DE DATOS
(233009_17)
Ataque Troyano LittleWitch
Presentado por: Miguel Avila Gualdron
Bogotá D.C. 23 Abril 2014
Especialización en Seguridad Informática
UNAD

2. Descripción del virus
Littlewitch es un troyano que también posee
características de backdoor, permite llevar a cabo
intrusiones y ataques contra el ordenador afectado,
como pueden ser: captura de pantallas, recogida de
datos personales, etc. Además, por sus características de
backdoor, permite a los piratas informáticos acceder de
manera remota al ordenador
afectado, para realizar en el
mismo acciones que
comprometen la
confidencialidad del usuario o
dificultan su trabajo.

3. Configurar VirtualBox
Primero procederemos a virtualizar y ejecutar 2 máquinas con
Windows XP.

4. Descargar LittleWitch
Se compone de dos archivos. "servidor" y "cliente".
Servidor: este archivo se le enviara a la persona que se quiera infectar.
Cliente: este archivo es con el que se trabajara, para manipular la
maquina infectada.

5. Ejecutar Cliente
En la casilla Setup, configuramos el Servidor, que será enviado a la
persona que queramos infectar y lo guardamos.
Password: Contraseña de acceso.
Uin: Número de ICQ para alertarnos.
Mensaje de error: Mensaje de confusión.
LWserver: Dirección del archivo Servidor.

6. Método de Propagación
LittleWitch no utiliza ningún método específico para difundirse, puede
utilizar cualquiera de los métodos de propagación (CD-ROM, mensajes
de correo electrónico, descargas de Internet, transferencia de ficheros
a través del FTP, etc.) Para este ejemplo utilizaremos la opción de
documentos compartidos como si fuera un programa normal, (Skype).

7. Infección por Virus
Una vez que la persona a la que vamos a infectar lo ejecute,
observamos que el mensaje de error que le configuramos sale a la luz
con el fin de disimular nuestro ataque.

8. Proceso Oculto
Si observamos, el administrador de procesos ejecuta, Rundll.exe,
nombre con el que nuestro virus se está ejecutando.

9. Averiguando IP
Como en este ejemplo no tenemos ICQ, pero sabemos que el equipo
infectado se encuentra dentro de nuestra Red, procederemos a
ejecutar en el cliente, el rango IP de nuestra red con el fin de encontrar
la maquina infectada.
Resultado: 192.168.42.75 (Estoy infectado, pero con Password).

10. Conectar con el Server
Colocamos la IP 192.168.42.75 y la contraseña en nuestro Cliente y le
damos click en Conectar, ya podemos comenzar nuestro ataque, para
esta práctica utilizamos algunas de las tantas opciones que nos ofrece
este virus.

11. Opción LWExplorer
Escribimos Server: 192.168.42.75 y el Puerto: 31339, (También 31340 -
6711) y pulsamos conectar. Procedemos a crear una carpeta (Driver) y
copiamos una foto (Imagen) con esto podemos: ingresar, sacar, borrar
archivos y carpetas.

12. Opción Keylog
Podemos conectarnos con el PC infectado y observar lo que se esté
digitando en el teclado.

13. Opción LWChat
Introduciendo un nombre y escogiendo el servidor infectado,
podremos chatear con la persona infectada.

14. Opción Dialog
Nos permitirá enviar un cuadro de dialogo en una ventana de alerta.

15. Opción Broma
Tenemos una cantidad de juegos para enloquecer a la persona
infectada, por ejemplo abrir páginas Web, enloquecer el mouse,
cambiar la imagen del papel tapiz, etc…

16. Opción Otros
Encontramos Matar Lw-Server, con el fin de borrar las huellas del
programa.

17. Infección y Efectos
Cuando LittleWitch se ejecuta, realiza las siguientes acciones:
 Se copia a sí mismo como %system%Rundll.exe
 Crea el fichero %windir%Usr.dat. Este archivo almacena las
contraseñas cifradas.
 El troyano localiza el directorio de instalación de Windows
(por defecto C:Windows o C:Winnt ) y copia el fichero en esa
ubicación.
 El troyano localiza el directorio 'System' y se copia a sí mismo
en esa ubicación. Por defecto es C:WindowsSystem
(Windows 95/98/Me), C:WinntSystem32 (Windows
NT/2000), o C:WindowsSystem32 (Windows XP).

18. Infección y Efectos
Para ejecutarse automáticamente cada vez que se reinicia el
sistema, el virus crea el valor:
 Rundll Rundll.exe en la clave del registro:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr
entVersionRun
 En caso de que el Sistema Operativo sea Windows 95/98/Me,
LittleWitch intenta acceder a la caché de contraseñas
almacenada en la máquina. Esta caché incluye contraseñas del
moden y de marcación (dialup), de URL, compartidas, y otras.
 El troyano notifica su instalación a la parte cliente mediante
ICQ pager.
 Una vez instalado, el troyano espera los comandos del cliente
remoto.

19. Infección y Efectos
Estos comandos permiten al atacante realizar cualquiera de estas
estas acciones:
 Recopilar información del sistema y red, incluidos nombres de
usuario y contraseñas de red almacenadas en caché.
 Imprimir textos, ejecutar ficheros multimedia, abrir y cerrar la
bandeja de la unidad de CD-ROM.
 Ocultar iconos, botones y la barra de tareas.
 Encender y apagar el monitor.
 Interceptar información confidencial mediante las pulsaciones
del teclado.
 Conocer todos los procesos activos en el sistema.
 El dialogo entre LittleWitch y el cliente conectado utiliza
mensajes en lenguaje español.

20. Contramedidas y Desinfección
 Uso de antivirus actualizado.
 Eliminar el valor añadido a la entrada del registro indicada,
evitando así la ejecución automática del troyano cada vez que
se reinicie el sistema.
 No confiar de mensajes electrónicos sospechosos
 Siempre tener claro la información que se busca y los sitios
Web que se acceden.
 No confiar en programas que no cuenten con los certificados
mínimos de legitimidad.

21. SEGURIDAD EN
BASES DE DATOS
(233009_17)