presentacion eduin gonzalez

ATAQUE CON VIRUS TROYANO OPTIX PRO

Presentado por:

Ing. EDUIN GONZALEZ TABARES

c.c. 8063967

Tutor- Ing. JESÚS EMIRO VEGA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADMEDELLIN – COLOMBIA

2014

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas tecnología e ingeniería SEGURIDAD EN BASES DE DATOS


ATAQUE CON VIRUS TROYANO

Definición de Virus:

Optix Pro 1.3 es uno de más potentes y destructivos generadores de troyanos/backdoor, liberado el 22 de Abril del 2003 y reportado el 25 de este mismo mes, que por defecto, ingresa a través del puerto 3410 (de Estación Remota), sin embargo puede ser configurado con cualquiera de los 65535 puertos TCP existentes.

Su archivo infectado puede ser renombrado y emplear además cualquier otro servicio de Internet, tal como ICQ, Correo, FTP, HTTP, IRC, MSM, PHP, etc., y permitirá un completo acceso y control remoto de los sistemas al hacker poseedor del software Cliente. Ha sido creado en Alemania por:

http://www.evileyesoftware.com (actualmente clausurada)


Software utilizado en la actividad

• 1. Para este ejercicio se utilizó Vmware para virtualizar dos máquinas con sistema operativo Windows XP, debido al riesgo de hacer estas pruebas en equipos físicos .

• Para este ejercicio, se utilizara el troyano “Optix Pro v1.3.3”, el cual se puede descargar de internet (tener cuidado en la ejecución del mismo)

Descripcion2. El Optix Pro es un troyano destructivo que deja tu pc a la merced de otro, cuenta con

un cliente buenisimo que le permite practicamente "jugar" con tu pc. Mediante el cliente podes realizar muchisimas acciones.

Descargar de: http://dc96.4shared.com/download/LbOBDeHg/Optix_Pro_133_By_XxDaShTixX.rar?tsid=20140429-064946-c9714cb2&lgfp=2000

Algunas acciones que el atacante puede llevar a cabo en la máquina infectada:

* Abrir o cerrar la bandeja del CD Rom* Apagar el sistema* Atrapar todo lo tecleado por la victima* Borrar valores y/o claves del registro* Borrar y/o renombrar archivos y carpetas* Cambiar el titulo de las ventanas* Cargar y descargar archivos* Cerrar la sesión del usuario* Cerrar ventanas* Crear carpetas* Crear nuevos valores y claves en el registro* Detener cualquier proceso en ejecución* Editar el registro* Ejecutar archivos* Ejecutar o detener el salvapantallas* Emitir beeps por el PC Speaker

• Entrar en modo "Suspender"* Enviar pulsaciones de teclas (a la víctima)* Escanear un rango de IP en busca de puertos abiertos*

• Habilitar o deshabilitar el ratón y el teclado• Listar los procesos en ejecución* • Minimizar y/o maximizar ventanas* • Monitorear el estado del sistema remoto* Mostrar u Ocultar el reloj del sistema

* Obtener información del sistema remoto y del usuario* Prender y/o apagar el monitor

* Provocar una pantalla azul de la muerte* Redireccionar conexiones de una computadora/puerto a otra* Reiniciar el sistema

* Robar cache de contraseñas

* Robar contraseñas de accesos a Internet

* Robar contraseñas del AIM

* Usar el PC de la víctima como servidor FTP

* Ver imágenes de la Web-Cam de la victima

3. Optix pro consta de dos carpetas Builder y Client Primero que todo Vamos a la carpeta Builder, veran dos zips y dos exes. El único que deben abrir es el 'Builder.exe'.

Bueno, una ves adentro, les pedira otra ves que tecleen un código, luego de eso, veran 6 opciones. (restenle importancia a About Optix Pro)Builder Settings Language

Main Settings General Information Server Icon

Startup & Installation Startup File Setup

Notifications ICQ Notification CGI Notification IRC Notification PHP Notification

SMTP Notification MSN Notification

Firewall & AVS Evansion Specific .EXE's NT/2K/XP Services

en la siguiente un resumen de lo que es cada cosa, sino que tienen que poner en cada una. Empecemos. Y luego paso a paso grafico

Notification String Info Separators (Lo dejamos asi por las dudas)Ip Address Separator (lo dejamos tambien asi)Identification Name (Pongan algun nombre del sistema como rundll32.exe o svchost.exe)Server Port (Lo dejamos en 3401)Server Password (Poganla si quieren, pero es en vano)Fake error (Recomendable, tira un error cuando ejecutan el server)

En server icon no hay nada que explicar, es solo seleccionar el icono que quieren.

Start up & InstalationRegistry - Run (ALL OS) (Marquenlo, le va a romper la cabeza a la victima tratando de sacar el troyanoRegistry - RunServices (Tambien marquenlo, pero ponganle algun nombre mas creativoServer File (Obviamente es con el nombre que va a ser nuestro serversito)

Start Directory (Pueden elegir windows o system, da lo mismo, en mi caso elegí system porque svchost se encuentra ahi)Melt Server after Installation (Recomendado, cuando la victima ejecuta el server, se derrite, es decir, se auto destruye, no existe mas, caput, se borra, asi no dejamos huella de el archivo, pero el server seguira funcionando)NotificationsNo es necesario marcar niguna de estas opciones, asi que lo saltearemos.

Firewall & AVG EvasionLes recomiendo dejar tal como esta todo, asi pueden saltear todo con más facilidad.Specific EXE's (aca podes marcar los archivos especificos que queres saltar, por ejemplo avp.exe del kaspersky)Bueno, ya tenemos configurado el servidor, lo uncio que necesitamos hacer es apretar el boton de arriba donde dice. 'Build/Create Server'.

Recuerden que es de conexión DIRECTA, por lo tanto se tendrán que conectar a sus victimas.

1. Al abrirlo nos tendra que salir esto : 2.Para empezar a configurarlo :

3. EL idioma ( no esta en español. ) 4. Main settings :

Se realiza la configuración inicial: vamos a la pestaña de Main settings donde se dará un nombre asignado, la contraseña para mantener el control del servidor.

El procedimiento se realiza desde el equipo del hacker donde se descargarán los archivos antes mencionados, donde se generará el archivo CLAVE, el cual se estará

utilizando como mensaje al equipo de la víctima, agregándole el ícono que lo acompañará y el cual ayudará a generar la curiosidad de la víctima.

5. Main settings/ general information 6. Main settings/ server icon

7. Startup

8. File Setup 9. Notificaciones ( SMTP , MSN , PHP , IRC, etc )

10. Killing AV/ firewalls 11. Specific EXE.

12. NT/2K/ XP services : 13 Build server :

4. Una ves descomprimido (recordar hacerlo sin el anti virus abierto), ejecutamos el 'client.exe'. Una ves hecho eso, les pedirá que tipeen un código, lo tipean y podrán acceder al troyano, luego de eso, les pedirá que introduzcan su idioma, en este caso como no tenemos español, ponemos ingles. Bien, una ves hecho eso encontraran 7 opciones.

En apoyo a ésta aplicación se deben descargar los siguientes complementos de seguridad como lo son: Optix Pro 3.1: Software para configuración del Virus Troyano; Dropper Gen: llamado como Binder que es el que cambiará nombre al archivo generado; lccwin32: compilador utilizado para que sirva el Binder; ProcDump: para ser utilizado en línea de comandos para supervisar la aplicación en búsqueda de parásitos y Modifica el código hexadecimal.

Software utilizado en la actividad

12. Realizado y creado el archivo, se procede a comprimir el "clave" con UPX, donde simplemente será arrastrado al icono de UPX, se espera a que finalice el proceso en la ventana del ms-dos y una vez finalizado se tendrán compreso.

Validación del archivo virus

13. Realizada la acción anterior se procede a abril la aplicación Dropper Gen, abriendo el que se quiere que se ejecute "visualmente" y posteriormente quede "oculto" como se muestra en la imagen donde se marcará la casilla “Include Icon and resourse file with generated code” para que se incluya y sea tenido en cuenta el icono asignado con anterioridad.

Validación del archivo virus

14. Desde el equipo de hacker se ejecuta la aplicación para realizar la conexión y poder tener el control del otro equipo, para lograr identificar la dirección IP del computador de la víctima y así poder realizar la exploración de éste equipo.

Comprobación del archivo virus

**Supongamos que se envió el archivo por correo electrónico y que la victima lo va abrir, creyendo que es una foto de su marido

Como podemos ver en la parte de abajo nos aparece connected succesfully, esto quiere decir que tenemos control total de la maquina

Vamos a probar con un reboot

Obtener la información del equipo victima

Visualizar el sistema de archivos de la victima matar procesos

Visualizar las aplicaciones que ejecuta la victima

Enviar mensajes al equipo victima extorciones etc

Opción de Keylogger, con esta opción podemos ver lo que se digita con el teclado, lo cual es muy peligroso

Visualización remota de pantalla de la victima

Opciones para jugar bromas al equipo victima

RECOMENDACIONESSer precavido con los archivos que ingresan a nuestros equipos, sean recibidos por correo electrónico, descargados de internet, ejecutados desde memorias USB, etc.La mayoría de antivirus ya detectan el troyano que se uso para el ejemplo, pero a medida que evolucionan las medidas de protección, también la forma de hacer los ataques así que debemos mantener actualizados nuestras aplicaciones antivirusAplicar políticas de restricción para la instalación de software y/o ejecución de aplicaciones


presentacion eduin gonzalez

Documents