1. UNIVERSIDAD NACIONAL ABIERTA Y A
DISTANCIA
Escuela de Ciencias Básicas
Tecnologías e Ingeniería
Curso Seguridad en Bases de Datos
Trabajo Intelectual Individual
ATAQUE CON VIRUS TROYANOS
Presentado por:
NEVARDO ALONSO AYALA ROJAS
c.c. 7161218
Ing. JESÚS EMIRO VEGA
Director - Tutor
2. ATAQUE CON VIRUS TROYANO
Definición de Virus:
Entendemos por virus informático aquel malware que tiene por
objeto perturbar el funcionamiento normal de un sistema de
computación sin adjudicarle el debido permiso o por
desconocimiento del usuario. Éstos pueden destruir de manera
intencional los datos almacenados en un
ordenador, remplazando archivos con extensión punto exe (.exe) o
llamados ejecutables, por archivos infectados que pueden consistir
desde una simple broma que puede llegar a ocasionar daños muy
relevantes en los sistemas y en los mismos archivos.
Los virus informáticos tienen la propiedad de propagarse, solo que
no se repiten a sí mismos por que no tienen la propiedad como la
que posee el gusano informático, que depende de un software para
propagarse.
3. Software utilizado en la actividad
1. En la actividad se utilizaron las aplicaciones Virtual
box para la creación de dos máquinas
virtuales, evitando así daño en los equipos físicos
reales.
4. Software utilizado en la actividad
2. En la actividad se empleó el virus Optix Pro
versión 1.32 Builder, el cual será el encargado
del ataque como virus informático descargado de
la dirección:
http://hackers-0.es.tl/OPTIX-PRO-V1-.-32.htm
5. Software utilizado en la actividad
3. Una vez realizada la descarga de la
aplicación, aparecerá la siguiente
presentación, donde se puede observar la interfaz
en la que se realizará la configuración del troyano.
6. Software utilizado en la actividad
En apoyo a ésta aplicación se
deben descargar los siguientes
complementos de seguridad
como lo son: Optix Pro 3.1:
Software para configuración del
Virus Troyano; Dropper Gen:
llamado como Binder que es el
que cambiará nombre al archivo
generado; lccwin32: compilador
utilizado para que sirva el Binder;
ProcDump: para ser utilizado en
línea de comandos para
supervisar la aplicación en
búsqueda de parásitos y Modifica
el código hexadecimal.
7. Configuración de la aplicación
4. Se realiza la configuración inicial: vamos a la
pestaña de Main settings donde se dará un nombre
asignado, la contraseña para mantener el control
del servidor.
8. Configuración de la aplicación
5. El procedimiento se realiza desde el equipo del
hacker donde se descargarán los archivos antes
mencionados, donde se generará el archivo
CLAVE, el cual se estará utilizando como mensaje
al equipo de la víctima, agregándole el ícono que lo
acompañará y el cual ayudará a generar la
curiosidad de la víctima.
9. Configuración de la aplicación
6. Se realizará la configuración de Startup and Installation,
esta sección de la aplicación se dejará por default, es
decir se dejará como lo arroja la misma aplicación. En la
Opción 1: se marcará la casilla para que corra en el
registro de todos los sistemas operativos; En la opción
2: se marcará la casilla para que corra en 2k/XP
10. Configuración de la aplicación
En la opción 3: se seleccionará el nombre de la clave de
registro que creará el troyano para generar la curiosidad;
En la opción 4: se marcará la casilla para que el archivo
creado corra en 9x/Me en win.ini; y por último en la
opción 5: se marcará la casilla para que el archivo corra
en 9x/Me pero en system.ini.
11. Configuración de la aplicación
7. Seguimos con la opción de File Startup: donde en
el primer campo seleccionamos y escribimos el
nombre de cómo se va a llamar el proceso que
creará el troyano, una vez realizado esto ahora se
selecciona si se desea que se guarde en la carpeta
de System o en la de Windows, siendo lo mismo y
sin causar dificultad si se
guarda en uno o en el
otro.
12. Configuración de la aplicación
8. Realizadas las acciones anteriores pasamos a la
siguiente pestaña denominada Firewall and AVS, donde
en las opciones se marcarán de la siguiente forma: en la
primera opción, al marcarla, ésta se encargará de
acabar con los Firewalls. En la segunda opción al
marcarla, ésta se encargará de mata los antivirus que
encuentre. En la siguiente opción: se encargará de
matar los combos que hayan
entre los AV y firewall.
13. Configuración de la aplicación
9. Teniendo en cuenta las pestañas siguientes donde
dicen Specific Exe's y la de NT/2k Specific, ésta
opción es para asignarle la extensión .exe, para
acabar muy específicamente los archivos como por
ejemplo msnmsngr.exe, por lo tanto cuando se
ejecute éste va a matar ese proceso y también cada
vez que se inicie el programa
el de NT/2k realizará las
mismas acciones solo que
se suministra el nombre del
servicio prestado.
14. Configuración de la aplicación
10. En el siguiente paso se seleccionará la casilla
Enable File and Registre Value Cloaking, el
archivo clave.exe se volverá invisible en el registro y
en la carpeta donde se guardo, posteriormente se
dará click en Built/Creat Server el cual lo guardará y
por último se dará un click en ok all done, para
obtener al final el
archivo clave.
15. Configuración de la aplicación
11. Una vez se haya generado el archivo, tal y como
se expresó con anterioridad el archivo
clave.exe, éste será entregado para que la víctima
lo ejecute en su equipo, de tal forma que tengamos
la forma de poder penetrar la seguridad y realizarle
los cambios o borrados de archivos que deseemos
hacerle a su equipo.
16. Validación del archivo virus
12. Realizado y creado el archivo, se procede a
comprimir el "clave" con UPX, donde simplemente
será arrastrado al icono de UPX, se espera a que
finalice el proceso en la ventana del ms-dos y una
vez finalizado se tendrán compreso.
17. Validación del archivo virus
13. Realizada la acción anterior se procede a abril la
aplicación Dropper Gen, abriendo el que se quiere
que se ejecute "visualmente" y posteriormente
quede "oculto" como se muestra en la imagen
donde se marcará la casilla “Include Icon and
resourse file with generated code” para que se
incluya y sea tenido en cuenta el icono asignado
con anterioridad.
18. Comprobación del archivo virus
14. Desde el equipo de hacker se ejecuta la aplicación
para realizar la conexión y poder tener el control del
otro equipo, para lograr identificar la dirección IP del
computador de la víctima y así poder realizar la
exploración de éste equipo.
19. Comprobación del archivo virus
15. Por último se realiza la exploración del contenido
del equipo de la víctima, para comprobar su acceso
y poderle enviar el archivo que contiene el virus
troyano y el cual pueda ser ejecutado por éste.