1. Seguridad en Bases de Datos.
Grupo 13.
Universidad Nacional Abierta y a Distancia
2. Configuración LittleWitch
El troyano LittleWitch se compone de 2 archivos:
“Servidor” y “Cliente”.
Servidor: Este es el archivo de infección y el que se le
debe enviar a la persona que quieras infectar.
Cliente: Este es el archivo que utiliza el hacker para
poder controlar la máquina infectada de la víctima.
3. Configuración LittleWitch
En primer lugar antes de poder
usar el troyano “LittleWitch” se
debe realizar la configuración
del Servidor de la siguiente
manera:
Damos click en la opción
“SETUP” y allí configuramos el
password, el UIN, el mensaje de
error y por el ultimo el servidor
del LW que será el archivo
infectante.
4. Configuración LittleWitch
Una vez configurado el servidor,
se debe enviar este archivo a la
victima y esperar que este lo
ejecute(En la figura podrán ver
un ejemplo del mensaje que le
saldría a la victima luego de
ejecutar el archivo).
A continuación utilizando otra
serie de artimañas o programas
de escaneo de redes se obtendrá
la dirección IP de la victima.
5. Configuración LittleWitch
En la parte derecha del cliente tenemos
la configuración de IP, la cual es
necesaria para poder iniciar el ataque. Le
damos click derecho y nos genera un
menú con las siguientes opciones:
Agregar IP: Para agregar una nueva
dirección IP.
Borrar IP: Nos permite eliminar una
dirección IP que se tenga agregada.
Vaciar Lista: Borra todas las direcciones
IP que se tengan almacenadas.
Ping IP: Nos permite realizar un ping
para validar si el equipo de cómputo está
en línea.
Conectar : Nos permite conectarnos al
equipo de computo infectado y así poder
utilizar todas las opciones que nos da
LittleWitch.
6. Configuración LittleWitch
A continuación se hará una breve
descripción de todas las opciones
que nos da LW para usar contra
nuestra victima.
Esta
opción
llamada
LWEXPLORER es más que toda
una conexión FTP para poder
manipular los archivos que se
tengan en el equipo infectado,
podemos copiar, crear, eliminar
archivos.
7. Configuración LittleWitch
La opción de KEYLOG que nos permite
abrir o cerrar puertos, obtener
información de lo que este tecleando la
persona que utilice el equipo infectado.
La opción de SCAN que como se
observa permite escanear la red de la IP
que se coloque para validar si hay mas
equipos de computo que estén online y
puedan estar infectados con el troyano.
La opción de LWCHAT esta opción nos
permite de forma cómica comunicarnos
con la victima del equipo infectado para
tener una plática por chat. Cabe anotar
que
utilizarla
es
directamente
demostrar que el equipo esta infectado.
8. Configuración LittleWitch
La siguiente opción es la de
DIALOGS que igual que la
del chat nos permite
interactuar con la victima
del equipo infectado. Con
ella
podemos
enviarle
mensajes de tipo error para
divertirnos un rato.
La opción INGLES nada
mas nos permite cambiar el
idioma del CLIENTE a
ingles.
9. Configuración LittleWitch
La opción CONSOLA que
nos permite utilizar una
consola de comandos al
estilo de la de Windows
para explorar el equipo
infectado utilizando los
comandos básicos.
La opción de BROMA que
nos permite divertirnos
haciendo
diversas
travesuras en el equipo de
cómputo infectado.
10. Configuración LittleWitch
La opción de CONFIG que
igual que la de BROMA nos
permite manipular más
opciones para molestar a la
víctima.
La opción de OTROS que
igual que las dos anteriores
nos
permiten
realizar
pilatunas en el equipo de
cómputo infectado de la
victima pero en este caso un
poco más serias y con
algunas consecuencias más
altas.
11. Configuración LittleWitch
A continuación se procederá a hacer
la conexión con el equipo de
cómputo infectado y se mostraran
capturas de las opciones que se
pueden aplicar en dicho equipo de
cómputo.
En este ejercicio didáctico ya se tiene
la dirección IP de la víctima y el
Sistema
Operativo
ya
fue
contaminado con el troyano. Como
se podrá observar se utiliza una
maquina virtual como el equipo de
la victima por motivos de seguridad.
En primer lugar nos conectamos al
equipo de cómputo infectado con el
troyano, seleccionamos la dirección
IP (que ya se había obtenido
anteriormente) y le damos al botón
de conectar.
12. Uso de LittleWitch
A continuación se utilizaran una serie de opciones que
tiene el LW a la mano para darlos como ejemplo de lo
que se podría hacer al tener el control de un equipo de
computo infectado.
Hay que tener en cuenta que todo lo realizado se hace
de manera didáctica y para fines de aprendizaje básico,
así que no debe ser tomado como intento de daño o
manual para el daño a terceros.
13. Uso de LittleWitch
Cambio de la fecha del
equipo: Utilizamos el
comando de cambio de
fecha que trae LW en el
menú de CONFIG.
Ingresamos la hora que
se desea colocar y le
damos enter.
En la parte de la
izquierda en la mini
consola del LW nos
saldrá si el comando se
ejecuto correctamente.
15. Uso de LittleWitch
Escritura en el escritorio de
la
victima:
En
esta
seleccionamos del menú
de BROMA la opción de
Escribir en el Escritorio.
Luego abajo colocamos el
texto que se desee que
aparezca en el escritorio
victima y le damos enter.
De nuevo en la consola
podemos observar si se
llevo a cabo el comando
satisfactoriamente.
17. Uso de LittleWitch
Uso de keylogger para ver
que están escribiendo y
ejecutando en el equipo:
para este caso utilizaremos
la opción de KEYLOG del
menú superior.
En la ventana emergente
colocamos en el campo del
Server la IP de la victima y
le damos click a conectar.
Inmediatamente todo lo
que la victima teclee será
almacenado en la pantalla
del KEYLOG.
19. Uso de LittleWitch
Uso del chat con la víctima:
En este caso usaremos la
opción LWCHAT del menú
superior.
En
la
pantalla
configuramos el Nick a
usar y el SERVER que es la
IP de la victima.
En la parte de abajo
escribimos
lo
que
queramos que vea la
victima y le damos a a
enviar.
20. Uso de LittleWitch
Como cualquier chat es
en ambos sentidos así
que podremos tener una
interesante charla con
nuestra querida victima.
Prácticamente usar el
chat da por hecho a la
victima que su equipo fue
infectado
así
que
pensarlo dos veces antes
de usarlo.
21. Uso de LittleWitch
Envió de mensajes de alerta
al equipo de cómputo
víctima:
En
esta
utilizaremos la opción
DIALOGS
del
menú
superior.
En la pantalla que se nos
habilita
colocamos
el
mensaje que se enviara y el
símbolo que le aparecerá a
la victima en el mensaje.
22. Medidas de seguridad para
prevenir la infección de LittleWitch
Aunque por lo visto en el trabajo el troyano es de alta
prioridad y su manejo debe hacerse con cuidado se denota
que ya los antivirus tienen un alto nivel de seguridad frente
a este troyano y en su gran mayoría los archivos son
detectados y eliminados y si aun se llega a logra ejecutar la
aplicación de infección son eliminadas de inmediato y no
se ejecutan.
Adicionalmente el mismo firewall de Windows ya está en la
capacidad de detectar el troyano y advierte sobre su uso así
que las medidas que se tienen actualmente ayudan mucho
a mitigar la propagación de la infección.
23. Medidas de seguridad para
prevenir la infección de LittleWitch
Como conclusión las medidas viables, lógicas y a la mano de cualquier
usuario que se deben de tener en cuenta para evitar contaminaciones
de nuestros equipos de computo con este troyano son:
Mantener activo el firewall de Windows.
Mantener las actualizaciones actualizadas de las definiciones de virus
para Windows.
Mantener un buen antivirus activo y actualizado para la detección del
troyano.
Evitar darle click a archivos adjuntos o enlaces de correos electrónicos
de que no sean de personas conocidas, de publicidad o de redención de
premios.
Evitar instalar aplicaciones de dudosa procedencia en los equipos de
cómputo.
24. Medidas de seguridad para
prevenir la infección de LittleWitch
Por último en caso de infecciones y que el antivirus no haya sido capaz de detectar
se pueden seguir procedimientos básicos para la erradicación del troyano.
De manera manual puede eliminar la infección parando los procesos que esta
activa, entre los nombres que pueden estos procesos tener encontramos los
siguientes:
backdoor.littlewitch.61.o.exe, lwclient.exe, lwclient5.1.exe, lwclient5.2.exe,
lwclient5.3.exe,
lwserver.exe,
lwserver_base.exe,
lwserver_full.exe,
lwserver_full5.1.exe, lwserver_full5.2.exe, lwserver_full5.3.exe, miniserver.exe,
miniserver10.exe, miniserver12.exe, miniserver17.exe, miniserver18.exe,
miniserver2.exe,
miniserver20.exe,
miniserver22.exe,
miniserver3.exe,
miniserver4.exe, miniserver6.exe, miniserver7.exe, remover2.0.exe
Utilizando la consola de comandos buscar los directorios que tengan los
mismos nombres antes mencionado y eliminarlos.
Utilizar Anti-Spyware para eliminar toda la infección del equipo de cómputo.
Hacer revisiones semanales del equipo con un antivirus actualizado y activo.
25. Conclusiones
La verdad disfrute de manera amplia la realización de esta
actividad, fue muy interesante ver que con una aplicación que
podría ser muy simple se puede hacer tanto daño en el equipo de
computo de un desconocido.
Se puede determinar que los sistemas de computo son muy
frágiles y pueden estar de manera muy fácil bajo el control de
cualquier hacker que tenga los conocimientos básicos para el uso
o creación de troyanos.
Como siempre la mayor amenaza y debilidad que se tienen en
todos los sistemas de computo seria el ser humano y son ellos a
los cuales van enfocados los esfuerzos del hacker para poder
lograr acceder y tener el control de los sistemas de computo, es
por ello que educar al usuario es en mayor medida uno de los
mejores métodos de prevención para evitar
los ataques
informáticos.