Este documento describe el funcionamiento del troyano "Little Witch", el cual se compone de dos archivos, LWCLIENT y LWSERVER. LWSERVER se ejecuta en la máquina infectada y permite al atacante controlarla a través de LWCLIENT. El troyano se puede propagar oculto en otros archivos y se aprovecha de redes conocidas para encontrar las máquinas infectadas mediante escaneos de IP. Una vez conectado, el software cliente permite al atacante utilizar funciones como keylogging, copiar/borrar archivos, y más. Se

1. TROJANO LITTE WITCH
(DOCUMENTO CON FINES EDUCATIVOS)
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
SEGURIDAD EN BASES DE DATOS
jcherreramarin@gmail.com
Funcionamiento:
Componentes:
Este trojano se forma de archivos uno cliente llamada “ LWCLIENT” con este archivo el atacante tomara el
control de de la maquina a infectar
LWSERVER: Este es el archivo que se ejecutara en el equipo infectado
Metodo de infeccion:
Primero debemos tener en cuenta que este trojano es antiguo y por lo mismo ya casi todos los sistemas de
antivirus lo detectan y eliminan, ahora suponiendo que es una maquina sin metodos de defensa ya depende
de camuflar este trojano en algun otro archivo, enlace, pagina web, correo electronico.

2. Ademas este trojano puede ser muy efectivo en redes conocidas, con direccionamieto conocido ya que
como tal debo saber la direccion IP de la victima o en que rango de direcciones se mueve para poder hacer
un escaneo y encontrar la maquina infectada.
Despues de haber logrado que en el equipo victima se ejecute el SERVER.EXE y sabiendo la direccion IP o el
rango podremos conectarnos a esta maquina victima.
A traves del boton SCAN de la parte cliente o LWCLIENT podemos darle un rango de IPS o le damos la
direccion de red de broadcast para que le pregunte a todas las maquinas y vea quien tiene el trojano

3. Ahora ya habiendo identificado cual o cuales son las maquinas clientes que tiene el trojano ejecutándose y
habiendo identificado las dirección IP de las mismas procedemos a agregar esta dirección IP al Software
Cliente.

4. Ya con la dirección IP agregada al software cliente y atraves del mismo procedemos a utilizar las diveras
opciones que tiene el trojano y que están en esta interfaz grafica

5. Ventana para configurar aspectos del cliente
Con LWExplorer podemos hacer las conexiones necesarias hacia el cliente, para esto tenemos que tener
claro cual es la IP a atacar

6. Servidor en MAQUINA A ATACAR
Validando que en el equipo 2 está corriendo el troyano

7. Agregando la IP atacada
Utilizando el KEYLOGGER

8. Para ejecutar el KeyLogger abrimos en el menú principal KeyLog, esta opción me despliega las maquinas que
eh agregado con anterioridad, le damos abrir puerto y conectar
En la maquina atacada abrimos un block de notas

9. En la maquina donde tengo instalado el cliente del virus veo que están escribiendo a través de un Key Logger

10. Con LWexplorer se puede hacer una conexión con el equipo y hacer diferentes procesos como copias
archivos, borrar archivos, crear carpetas.
Voy a crear un carpeta en la maquina atacada

11. Carpeta en la maquina atacada, se le coloca un nombre que no sea sospechoso, en esta carpeta se pueden
pegar archivos para ejecutar otro tipo de ataque
El mismo programa permite matar el proceso del servidor, que puede ser útil para eliminar evidencia de que
algún programa o proceso estuvo en la maquina
PREVENCION Y RECOMENDACIONES
Este Troyano es muy poderoso y permite hacer muchas y variadas opciones y ataques en las maquinas
afectadas , este troyano es perfecto para redes o pc no protegidas por ningún sistema antivirus, ya que como

12. mencione en un principio la gran mayoría de sistemas antivirus tienen registrada en sus BD de firmas este
troyano.
Las recomendaciones principales:





Tener siempre antivirus actualizado en el PC
No confiar de mensajes electrónicos sospechosos
Siempre tener claro donde se da clic
Ser precavido con los sitios web que se visita
No confiar en nada de lo cual no se tenga certeza