INFECCION POR TROYANO OPTIX PRO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTACIA UNADESCUELA DE CIENCIAS BASICAS , TECNOLOGIA E INGENIERIA

ESPECIALIZACION EN SEGURIDAD INFORMATICA2014

SONIA ELIZABETH ERASO HANRRYRCODIGO: 59836994

QUE ES UNA INFECCION POR VIRUS TROYANO?

• Programas malintencionados que pueden provocar daños en el equipo y en la información del mismo.

• También pueden hacer más lento Internet e• Pueden utilizar su equipo para difundirse a

toda la comunidad Web.• Se presentan de manera inofensiva, pero

pueden causar gran daño a un sistema

HABLEMOS DE UN TROYANO INTERESANTE

OPTIX PRO

El Optix Pro es un troyano destructivo que deja tu pc a la merced de otro, cuenta con un cliente que permite practicamente "jugar" con tu pc. Mediante el cliente se puede realizar muchas acciones. Algunas acciones que el atacante puede llevar a cabo en la máquina infectada: • Abrir o cerrar la bandeja del CD Rom • Apagar el sistema • Atrapar todo lo tecleado por la víctima • Borrar valores y/o claves del registro • Borrar y/o renombrar archivos y carpetas • Cerrar ventanas • Crear carpetas • Crear nuevos valores y claves en el registro • Detener cualquier proceso en ejecución • Editar el registro • Ejecutar archivos

• Trabaje en ambientes solamente con máquinas virtuales (configúrelas para que haya conexión entre las dos máquinas virtuales con S.O Windows xp.

1

• Documéntese bien del proceso2

• Siga los pasos de este manual3

COMO INFECTAR A UN PC CON OPTIX PRO?Esta información es educativa, así que únicamente se utiliza para saber cómo se puede Infectar un pc con este virus.

REQUISITOS

PREPARACION DE MAQUINAS VIRTUALES1MAQUINA CLIENTEIP: 192.168.1.6Nombre de la maquina CLIENTE

MAQUINA SERVIDORLa máquina servidor: IP: 192.168.1.4Nombre de la maquina SERVIDOR

Verificamos que haya conexión entre las dos maquinas con el comando ping.Ping 192.168.1.6 desde la maquina servidorPing 192.168.1.4 desde la máquina cliente

HERRAMIENTA: VIRTUALBOX

DESCARGA E INSTALACION DEL TROYANO OPTIX PRO2

Puede descargar el troyano desde la página: XXXXXXXXXXXXXXXXX

Debe desactivar el antivirus temporalmente a la hora de la prueba para que no borre el archivo descargado

1. DESCARGAMOS EL ARCHIVO EL CUAL NOS MUESTRA DOS CARPETAS: CLIENT Y BUILDER Builder: ES el archivo ejecutable que crea un archivo servidor que será enviado a la víctima Client: Es el ejecutable utilizado para obtener el control de la máquina de la víctima

PASO 3. EJECUTAMOS EL ARCHIVO builder.exe DE LA CARPETA BUILDER PARA CREAR EL TROYANO3

3.1 Nos pedirá una contraseña que se encuentra al leer el reglamento. Para el actual caso es xMs.

3.2 Nos solicita escoger el idioma para trabajar, escogemos el idioma Inglés

3.3 Aparecerá esta pantalla con varias opciones:

3.4 Una vez escogemos contraseña e icono de instalación nos dirigimos a la pestaña Startup & Instalación, donde se presentan 2 opciones:

1: Startup: Que contiene las siguientes alternativas:

•Ejecutar en el registro de todos los sistemas operativos•Ejecutar en 2k/xp•Seleccionar el nombre de la clave de registro que creará el troyano•Ejecutar en 9x/me en win.ini •Ejecutar en 9x/me en system.ini •No hay documentación encontradaEscogemos que lo ejecute en Windows xp

2. File Setup: Seleccionamos como se va a llamar el proceso que crea el troyano y (Server File Name) y en que carpeta se guardará (Windows Directory o System Directory)

En el menú Startup and Installation en la opción File Setup , se escoge el nombre que se desee que aparezca en el Administrador de Tareas. En este caso, le pondremos msiexec16.exe. Se escoge el directorio de inicio (Directorio de Windows o del Sistema) donde se ejecutará el Troyano y se activa la casilla Melt Server para que sea invisible para la víctima.

En las pestañas de abajo que dicen specific exe\'s y la de NT/2k/xp services es para poner el exe que se quiera que mate específicamente, por ejemplo msnmsngr.exe o cada vez que se inicie el programa, aquí se puede colocar el nombre del servicio que se quiera terminar, por ejemplo podríamos hacer a un msconfig.Hacemos click en la pestaña Build / Create server y lo guardamos para obtener el server.

3.5 Penstaña File Startup:Opcion Enable Killing of in-built firewalls: Mata los firewallsOpcion Enable Killing of in-built Anti-viruses: Mata los antivirusOpcion Enable Killing of in-built packages that are both Firewalls &AVS: Mata los firewalls y antivirus.En la opción Firewalls & AVS Evasion, se determina si se van a bloquear el software Antivirus y Firewalls instalados en la computadora de la víctima. En este caso escogemos que bloquee el firewall.

Hacemos click en la pestaña Build / Create server y lo guardamos para obtener el server.

NOTA: ESTE ARCHIVO NO SE DEBE NI PUEDE EJECUTAR EN EL EQUIPO SERVIDOR, PUES ESO EL QUE CONTIENE EL TROYANO Y VAMOS A MANDAR A LA VICTIMA, DE LO CONTRARIO ESTARIAMOS INFECTANDO AL SERVIDOR

PASO 3. EJECUTAMOS EL ARCHIVO client.exe DE LA CARPETA CLIENT PARA ATACAR AL CLIENTE4

Ahora se ejecuta el Client.exe que se encuentra en el directorio Client.

Se realiza el mismo proceso que con el Server, en el cual aceptamos estamos de acuerdo con los Términos y Condiciones, así como la escogencia del idioma

Nos aparecerá la siguiente pantalla:

Una vez ejecutado, podemos enviar el archivo ejecutable por cualquier medio, por ejemplo si el usuario lo descarga y lo ejecuta de un mail, podemos hasta manipular el pc. Como en el ejemplo quitamos el servicio firewall vamos a comprobar que pasa en la máquina del cliente al ejecutar este archivo.

Como ya ejecutamos el troyano podemos conectar y tomar control del equipo cliente y hacer varias acciones como mostrar u ocultar reloj, abrir o cerrar la unidad de cd, habilitar o deshabilitar el botón inicio, mostrar un mensaje, etc.. En este caso vamos a deshabilitar el botón inicio

MEDIDAS DE DESINFECCION

• a) Eliminación mediante el uso de un antivirus actualizado.

• b) Eliminación manual: • Eliminación de las claves añadida al registro, para evitar la ejecución automática

del troyano cada vez que se reinice el sistema. • Eliminación de las claves añadidas al registro, para evitar la ejecución automática

del troyano cada vez que se ejecute un fichero de extensión .exe . • Restauración del estado del fichero Win.ini o System.ini ara evitar la ejecución del

troyano cuando se reinicie el sistemac) Realización de copias de seguridad periódicamente

GRACIAS