Seguridad en Bases de DatosInforme Ataque troyano – Net Devil 1.5

Henry Alfonso GarzónJavier Andrés Acosta IzarizaRafael Orlando Dominguez Sierra

Para esta práctica es necesario tener 2 maquinas virtuales en xp, un servidor y un cliente

A la máquina servidor que para el ejemplo se llama Colossus, le pasamos los archivos descargados para poder ejecutar la actividad, para ello descargamos Net Devil 1.5 de la página: http://connect-trojan.blogspot.com/2009/10/trojan-net-devil-15-download-baixar.html Seguido a esto debemos modificar el virus, esto lo vamos a realizar en la máquina virtual del servidor luego de tener los archivos modificables.

Como primera medida debemos ejecutar el archivo llamado Edit-Server de la carpeta Net Devil

Esta es la interfaz del programa para modificar el virus

Damos clic sobre el ícono de la carpeta y buscamos el archivo Server para modificarlo, allí encontraremos la configuración que tiene inicialmente el archivo

Ahora pasamos a modificarlo a nuestro gustoPrimero: Cambiamos el nombre con el cual le va a aparecer al usuario, en este caso vamos a dejar: “Estas infectado”, por otro lado podemos establecer una contraseña para que en el futuro sea necesario para modificar el archivo server

Segundo: Podemos configurar el método de inicio en el equipo cliente si en el registro en el Run o por el contrario en el registro como un servicio de Windows, además podemos darle el nombre con el que se va a identificar en el registro, en este caso lo renombrare como “mik”

Tercero: Modificar si queremos activar las notificaciones por cgi, para lo cual es necesario llenar los campos indicados, si no se desea utilizar este método lo podemos dejar sin seleccionar

Cuarto: Ahora podemos configurar el correo electrónico al cual queremos que lleguen las notificaciones de nuestro ataque, el servidor SMTP que vamos a utilizar y el nombre particular que vamos a dejarle al cliente infectado

Quinto: Ahora configuramos el aspecto del falso error, mensaje que le aparecerá al cliente cuando se haya ejecutado

Sexto: Pasamos a configurar las opciones de desactivar el firewall y antivirus, activar el puerto cuando la víctima se encuentre en línea, y proteger el server con una contraseña, el tipo de extensión que se utiliza para proteger la aplicación, en este caso la extensión que vamos a utilizar será “.dll”

Séptimo: Podemos cambiar el icono con el que quedará nuestra aplicación, para nuestro caso dejaremos el mismo de WordPad, el cual lo cargamos de la librería de Windows xp que se encuentra en el archivo C:\Windows\system32\shell32.dll

Con esto, hemos configurado satisfactoriamente el server del virus troyano, ahora damos clic en “save and compress server” y nos guarda el archivo, para el ejercicio lo guardamos con el nombre de “preguntas resueltas” en la carpeta “troyano”

Ahora vemos como quedo el archivo

La segunda parte consiste en ejecutar el virus en el equipo cliente, para ello renombramos la carpeta con el nombre “Evaluación” con el archivo dentro y la copiamos en el equipo del cliente

El incauto usuario del equipo cliente, ejecutará el archivo pensando que son las respuestas a un examen y mostrará lo siguiente:

Tal cual como lo habíamos programado anteriormente

Vemos como se ha desactivado el firewall de Windows

En el administrador de tareas podemos observar que se encuentran en ejecución 2 procesos, uno con el nombre de “preguntas resueltas.exe” y el otro “estas infectado jeje”

Vemos como se ha agregado al inicio del equipo que se ejecute la aplicación

Y en el editor de registro vemos que se ha agregado satisfactoriamente en el Run del computador

Por último podemos darnos cuenta que la aplicación se encuentra guardada en la carpeta del sistema C:\Windows\System32 con el nombre “estas infectado jeje”

Muchas Gracias