Little Witch es un troyano para Windows XP y versiones anteriores que permite al atacante ver información del equipo infectado. Activa el puerto 31320 y se ejecuta como rundll.exe en C:\windows\system32\. El documento describe los pasos para descargar e instalar el cliente y servidor de Little Witch, configurarlos, ejecutar el virus en la víctima, observar el puerto activado, realizar un ataque de mensaje y ver información del sistema de la víctima.

2. Little Witch
Es usado para Windows XP y versiones anterior
a este sistema, este troyano permite a quien lo
use ver información de ese equipo en cual se
encuentre ejecutando, activa para este ataque el
puerto 31320 y lo deja en ejecución en el
destino C:windowssystem32 con nombre
rundll.exe.

3. 1) IP del equipo atacado
Como prioridad es necesario tener la Ip del equipo al cual se desea atacar ya
que por medio de esta se hará el ataque, en caso de no conocerce hay diversos
programas en la web los cuales se pueden usar para informarse, en este caso se
hará con el comando “ipconfig” del símbolo del sistema de Windows.

4. 2) Descargar cliente y servidor del LW
Tener servidor y cliente descargados para poder utilizarse en el equipo el cual
se manipulara el troyano, en este caso será en el servidor como lo vemos en la
imagen siguiente.

5. 3) Configuración cliente y servidor del LW
En este paso procederemos a ejecutar el “LWCLIENT” luego presionar el botón
“SETUP” para dejar configurado el virus con este cliente y se configura una
contraseña para el mismo, también se configurara un mensaje para cuando se ejecute
el virus en esta práctica configuraremos como mensaje “HOLA!!!!!” y por ultimo se
configura el “lmserver” que es el virus que se pasara a la victima.

6. 4) Ejecución virus en el equipo victima.
Cuando se ejecute el virus saldrá el mensaje que se ha configurado desde el
“LWCLIENT”.

7. 5) Observación del virus en equipo victima.
Hay 2 formas de observar el puerto que crea este virus, la primera forma es
desde el centro de seguridad de Windows y la segunda usando el símbolo del
sistema con el comando “netstat –anP tcp –b”, este puerto como lo muestra la
imagen es el “Rundll” “TCP=31320”

8. 6) Configuración LW atacante.
Ahora se procederá desde el atacante a verificar el escaneo de toda la direccione
Ip para comprobar si ya se encuentra infectada. Esto lo hacemos desde el botón
“SCAN” de la parte superior, luego seleccionamos la ip infectada, la agregamos y
configuramos contraseña y conectar.
1 2

9. 7) Ataque LW atacante.
Ahora procederemos hacerle un ataque a la victima para esto solo se hará un
ataque de mensaje de dialogo y a continuación se mostrara el mensaje que fue
enviado a la víctima.

10. 8) Mensaje LW victima.
Mensaje que se muestra del ataque en el equipo de la victima.

11. 9) Ataque de “Info Sistema” LW atacante.
Por último se procederá a ver la información del sistema de la víctima, para esto
se ubicara en “info sistema”.

12. Ataques con Little Witch.
En este troyano podemos encontrar otro tipo de ataques de configuración
como se ve en la imagen anterior en la parte superior derecha la cual
dice “BROMA”, “CONFIG” y “OTROS”.

13. Bibliografía
http://www.angelfire.com/zine2/hackingpark/deskargas.htm
http://www.dopmail.com/web/xavi/Littlewitch.pdf
http://piratasweb.tripod.com/id10.html