1. INFECCION POR
TROYANO OPTIX PRO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTACIA UNAD
ESCUELA DE CIENCIAS BASICAS , TECNOLOGIA E INGENIERIA
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2014
SONIA ELIZABETH ERASO HANRRYR
CODIGO: 59836994
2. QUE ES UNA INFECCION POR VIRUS
TROYANO?
• Programas malintencionados que pueden
provocar daños en el equipo y en la
información del mismo.
• También pueden hacer más lento Internet e
• Pueden utilizar su equipo para difundirse a
toda la comunidad Web.
• Se presentan de manera inofensiva, pero
pueden causar gran daño a un sistema
4. El es un troyano destructivo que deja tu pc a la
merced de otro, cuenta con un cliente que permite
practicamente "jugar" con tu pc. Mediante el cliente se
puede realizar muchas acciones.
Algunas acciones que el atacante puede llevar a cabo en
la máquina infectada:
• Abrir o cerrar la bandeja del CD Rom
• Apagar el sistema
• Atrapar todo lo tecleado por la víctima
• Borrar valores y/o claves del registro
• Borrar y/o renombrar archivos y carpetas
• Cerrar ventanas
• Crear carpetas
• Crear nuevos valores y claves en el registro
• Detener cualquier proceso en ejecución
• Editar el registro
• Ejecutar archivos
5. • Trabaje en ambientes solamente con máquinas
virtuales (configúrelas para que haya conexión
entre las dos máquinas virtuales con S.O
Windows xp.
1
• Documéntese bien del proceso2
• Siga los pasos de este manual3
COMO INFECTAR A UN PC CON OPTIX PRO?
Esta información es educativa, así que únicamente se utiliza para saber cómo se puede Infectar un pc con
este virus.
6. PREPARACION DE MAQUINAS VIRTUALES
MAQUINA CLIENTE
IP: 192.168.1.6
Nombre de la maquina CLIENTE
MAQUINA SERVIDOR
La máquina servidor: IP: 192.168.1.4
Nombre de la maquina SERVIDOR
Verificamos que haya conexión entre las dos maquinas con el comando ping.
Ping 192.168.1.6 desde la maquina servidor
Ping 192.168.1.4 desde la máquina cliente
HERRAMIENTA: VIRTUALBOX
7. DESCARGA E INSTALACION DEL TROYANO OPTIX
PRO
Puede descargar el troyano desde la página: XXXXXXXXXXXXXXXXX
Debe desactivar el antivirus temporalmente a la hora de la prueba
para que no borre el archivo descargado
1. DESCARGAMOS EL ARCHIVO EL CUAL NOS MUESTRA DOS
CARPETAS: CLIENT Y BUILDER
Builder: ES el archivo ejecutable que crea un archivo servidor que
será enviado a la víctima
Client: Es el ejecutable utilizado para obtener el control de la
máquina de la víctima
8. PASO 3. EJECUTAMOS EL ARCHIVO builder.exe DE
LA CARPETA BUILDER PARA CREAR EL TROYANO
3.1 Nos pedirá una contraseña que se encuentra al leer el
reglamento. Para el actual caso es xMs.
9. 3.2 Nos solicita escoger el
idioma para trabajar,
escogemos el idioma
Inglés
3.3 Aparecerá esta pantalla con
varias opciones:
10. 3.4 Una vez escogemos contraseña e icono de instalación nos dirigimos a la pestaña Startup & Instalación,
donde se presentan 2 opciones:
•Ejecutar en el registro de todos los sistemas operativos
•Ejecutar en 2k/xp
•Seleccionar el nombre de la clave de registro que creará el troyano
•Ejecutar en 9x/me en win.ini
•Ejecutar en 9x/me en system.ini
•No hay documentación encontrada
Escogemos que lo ejecute en Windows xp
11. Seleccionamos como se va a llamar el proceso que crea el troyano y (Server File
Name) y en que carpeta se guardará (Windows Directory o System Directory)
En el menú Startup and Installation en la opción File Setup , se escoge el nombre que se
desee que aparezca en el Administrador de Tareas. En este caso, le pondremos
msiexec16.exe. Se escoge el directorio de inicio (Directorio de Windows o del Sistema)
donde se ejecutará el Troyano y se activa la casilla Melt Server para que sea invisible para la
víctima.
12. En las pestañas de abajo
que dicen specific exe's y la
de NT/2k/xp services es
para poner el exe que se
quiera que mate
específicamente, por
ejemplo msnmsngr.exe o
cada vez que se inicie el
programa, aquí se puede
colocar el nombre del
servicio que se quiera
terminar, por ejemplo
podríamos hacer a un
msconfig.
Hacemos click en la pestaña
Build / Create server y lo
guardamos para obtener el
server.
13. 3.5 Penstaña File Startup:
Opcion Enable Killing of in-built firewalls: Mata los firewalls
Opcion Enable Killing of in-built Anti-viruses: Mata los antivirus
Opcion Enable Killing of in-built packages that are both Firewalls &AVS: Mata los
firewalls y antivirus.
En la opción Firewalls & AVS Evasion, se determina si se van a bloquear el
software Antivirus y Firewalls instalados en la computadora de la víctima. En
este caso escogemos que bloquee el firewall.
14. Hacemos click en la pestaña Build / Create server y lo guardamos para
obtener el server.
NOTA: ESTE ARCHIVO NO SE
DEBE NI PUEDE EJECUTAR EN
EL EQUIPO SERVIDOR, PUES
ESO EL QUE CONTIENE EL
TROYANO Y VAMOS A MANDAR A
LA VICTIMA, DE LO CONTRARIO
ESTARIAMOS INFECTANDO AL
SERVIDOR
15. PASO 3. EJECUTAMOS EL ARCHIVO client.exe DE
LA CARPETA CLIENT PARA ATACAR AL CLIENTE
Ahora se ejecuta el que se encuentra en el directorio Client.
Se realiza el mismo proceso que
con el Server, en el cual
aceptamos estamos de acuerdo
con los Términos y
Condiciones, así como la
escogencia del idioma
17. Una vez ejecutado, podemos enviar el archivo ejecutable por cualquier medio,
por ejemplo si el usuario lo descarga y lo ejecuta de un mail, podemos hasta
manipular el pc.
Como en el ejemplo quitamos el servicio firewall vamos a comprobar que
pasa en la máquina del cliente al ejecutar este archivo.
18. Como ya ejecutamos el troyano podemos conectar y tomar control del equipo cliente y hacer
varias acciones como mostrar u ocultar reloj, abrir o cerrar la unidad de cd, habilitar o
deshabilitar el botón inicio, mostrar un mensaje, etc.. En este caso vamos a deshabilitar el
botón inicio
19. MEDIDAS DE
DESINFECCION
• a) Eliminación mediante el uso de un antivirus actualizado.
• b) Eliminación manual:
• Eliminación de las claves añadida al registro, para evitar la ejecución automática
del troyano cada vez que se reinice el sistema.
• Eliminación de las claves añadidas al registro, para evitar la ejecución automática
del troyano cada vez que se ejecute un fichero de extensión .exe .
• Restauración del estado del fichero Win.ini o System.ini ara evitar la ejecución del
troyano cuando se reinicie el sistema
c) Realización de copias de seguridad periódicamente