Net Devil es un caballo de Troya que permite el acceso remoto a una máquina infectada. Un atacante puede editar el archivo del troyano para controlar la máquina de una víctima y recibir notificaciones por correo electrónico u otros métodos cuando se infecta la máquina. La víctima descarga el archivo adjunto malicioso y permite que el troyano se copie automáticamente y se ejecute cada vez que se reinicia el sistema, dando al atacante acceso remoto. Es importante usar cortafuegos, mantener actual
1. ATAQUE TROYANO
NET DEVIL
Por:
RAMIRO ANDRES DELVASTO RAMIREZ Código: 11324611
JUAN ANDRES QUICAZAQUE FRANCO Código: 11257930
JACKSON ARIEL URRUTIA Código: 11.803.820
Seguridad en Bases de Datos Grupo: 233009_3
2. NET DEVIL
Caballo de Troya de acceso remoto que permite a un atacante el acceso al
equipo infectado por una puerta trasera (backdoor).Cuando se ejecuta, se
copia a si mismo dentro de la carpeta del sistema. La misma puede ser
"c:windowssystem32" en Windows XP y Windows Server 2003,
"c:winntsystem32" en Windows NT y 2000 y "c:windowssystem" en Windows
9x y ME.El nombre del archivo puede variar ya que es elegido al azar por el
atacante.
7. 4. EN LA PESTAÑA CGI NOTIFY SE ACTIVARA LA CASILLA DE VERIFICACIÓN
ENABLE CGI NOTIFY SI SE QUIERE ACTIVAR LA NOTIFICACIÓN POR CGI,
CUANDO LA VÍCTIMA HAYA CAÍDO EN LA TRAMPA:
8. 5. EN LA PESTAÑA MAIL NOTIFY SE ACTIVARA LA CASILLA DE VERIFICACIÓN
ENABLE MAIL NOTIFY SI SE QUIERE ACTIVAR LA NOTIFICACIÓN POR CORREO,
CUANDO LA VÍCTIMA HAYA CAÍDO EN LA TRAMPA, ES LA FORMA DE
NOTIFICACIÓN QUE MÁS SE UTILIZA:
9. 6. EN LA PESTAÑA ICQ NOTIFY SE ACTIVARA LA CASILLA DE VERIFICACIÓN
ENABLE ICQ NOTIFY SI SE QUIERE ACTIVAR LA NOTIFICACIÓN POR
INTERRUPCIONES ICQ, CUANDO LA VÍCTIMA HAYA CAÍDO EN LA TRAMPA:
10. 7. AHORA SE CONFIGURA EL MENSAJE DE ERROR QUE ES LO QUE LE
SALDRÁ A LA VÍCTIMA PARA QUE NO SOSPECHE PARA CUÁNDO HABRÁ EL
ARCHIVO
11. 8. EN LA PESTAÑA MISCELANEOUS SE REALIZA LA SIGUIENTE
CONFIGURACIÓN
12. 9. POR ULTIMO REALIZAMOS LA SIGUIENTE CONFIGURACIÓN:
13. 10. El atacante envía el troyano generalmente mediante un mensaje de
correo electrónico con algún archivo adjunto con un tema que le interese a
la víctima.
11. La victima al dar clic sobre este archivo adjunto hace que el troyano
automáticamente se copie a si mismo dentro de la carpeta del sistema. La
misma puede ser "c:windowssystem32" en Windows XP y Windows Server
2003, "c:winntsystem32" en Windows NT y 2000 y "c:windowssystem" en
Windows 9x y ME.
12. Cada vez que la víctima reinicie el sistema operativo también se
autoejecuta el troyano agregándose en las siguientes entradas del Registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
[nombre] = [camino y nombre del ejecutable]
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
[nombre] = [camino y nombre del ejecutable
14. FORMAS DE PREVENIR INFECCIÓN
POR NET DEVIL
1. Utilizar un programa tipo firewall (cortafuego) el cuál detendrá y advertirá
la conexión de este troyano con Internet, así como cualquier intento de
acceder a nuestro sistema y también impedir la ejecución de cualquier
adjunto con posibilidades de poseer virus.
2. Actualizar antivirus si es posible diariamente con las últimas definiciones.
3. En Windows Vaciar la papelera de reciclaje.
4. Borrar archivos temporales, mediante un programa de eliminación de
archivos temporales. Si se recibe un mensaje de que no se puede borrar
todo, reinicie Windows en modo a prueba de fallos,
15. REFERENCIAS
Dark Devil. (06 de Diciembre de 2005). Manual del Net Devil ( troyano ).
Recuperado el 02 de Diciembre de 2013, de Blog de sitio web de
portalhaceker.net:
http://www.portalhacker.net/index.php?topic=6621.0
VSantivirus. (11 de Julio de 2010). NetDevil.11.D. Caballo de Troya de acceso
remoto. Recuperado el 02 de Diciembre de 2013, de Articulo de
seguridad de sitio web de vsantivirus.com:
http://www.vsantivirus.com/netdevil-11-d.htm