1. ATAQUE CON VIRUS TROYANO OPTIX PRO
Presentado por:
Ing. EDUIN GONZALEZ TABARES
c.c. 8063967
Tutor- Ing. JESÚS EMIRO VEGA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
MEDELLIN – COLOMBIA
2014
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas tecnología e ingeniería
SEGURIDAD EN BASES DE DATOS
2. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas tecnología e ingeniería
SEGURIDAD EN BASES DE DATOS
ATAQUE CON VIRUS TROYANO
Definición de Virus:
Optix Pro 1.3 es uno de más potentes y destructivos generadores de
troyanos/backdoor, liberado el 22 de Abril del 2003 y reportado el
25 de este mismo mes, que por defecto, ingresa a través del puerto
3410 (de Estación Remota), sin embargo puede ser configurado con
cualquiera de los 65535 puertos TCP existentes.
Su archivo infectado puede ser renombrado y emplear además
cualquier otro servicio de Internet, tal como
ICQ, Correo, FTP, HTTP, IRC, MSM, PHP, etc., y permitirá un
completo acceso y control remoto de los sistemas al hacker
poseedor del software Cliente. Ha sido creado en Alemania por:
http://www.evileyesoftware.com (actualmente clausurada)
3. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas tecnología e ingeniería
SEGURIDAD EN BASES DE DATOS
Software utilizado en la actividad
• 1. Para este ejercicio se utilizó Vmware para virtualizar dos máquinas con sistema operativo
Windows XP, debido al riesgo de hacer estas pruebas en equipos físicos .
• Para este ejercicio, se utilizara el troyano “Optix Pro v1.3.3”, el cual se puede descargar de
internet (tener cuidado en la ejecución del mismo)
4. Descripcion
2. El Optix Pro es un troyano destructivo que deja tu pc a la merced de otro, cuenta con
un cliente buenisimo que le permite practicamente "jugar" con tu pc. Mediante el
cliente podes realizar muchisimas acciones.
Descargar de:
http://dc96.4shared.com/download/LbOBDeHg/Optix_Pro_133_By_XxDaShTixX.
rar?tsid=20140429-064946-c9714cb2&lgfp=2000
Algunas acciones que el atacante puede llevar a cabo en la máquina infectada:
* Abrir o cerrar la bandeja del CD Rom* Apagar el sistema* Atrapar todo lo tecleado por la victima* Borrar
valores y/o claves del registro* Borrar y/o renombrar archivos y carpetas* Cambiar el titulo de las ventanas*
Cargar y descargar archivos* Cerrar la sesión del usuario* Cerrar ventanas* Crear carpetas* Crear nuevos
valores y claves en el registro* Detener cualquier proceso en ejecución* Editar el registro* Ejecutar
archivos* Ejecutar o detener el salvapantallas* Emitir beeps por el PC Speaker
• Entrar en modo "Suspender"* Enviar pulsaciones de teclas (a la víctima)* Escanear un rango de IP en
busca de puertos abiertos*
• Habilitar o deshabilitar el ratón y el teclado
• Listar los procesos en ejecución*
• Minimizar y/o maximizar ventanas*
• Monitorear el estado del sistema remoto* Mostrar u Ocultar el reloj del sistema
* Obtener información del sistema remoto y del usuario* Prender y/o apagar el monitor
* Provocar una pantalla azul de la muerte* Redireccionar conexiones de una computadora/puerto a otra*
Reiniciar el sistema
* Robar cache de contraseñas
* Robar contraseñas de accesos a Internet
* Robar contraseñas del AIM
* Usar el PC de la víctima como servidor FTP
* Ver imágenes de la Web-Cam de la victima
5. 3. Optix pro consta de dos carpetas Builder y
Client Primero que todo Vamos a la carpeta
Builder, veran dos zips y dos exes. El único que
deben abrir es el 'Builder.exe'.
Bueno, una ves adentro, les pedira otra ves
que tecleen un código, luego de eso, veran 6
opciones. (restenle importancia a About Optix
Pro)
Builder Settings
Language
Main Settings
General Information
Server Icon
Startup & Installation
Startup
File Setup
Notifications
ICQ Notification
CGI Notification
IRC Notification
PHP Notification
SMTP Notification
MSN Notification
Firewall & AVS Evansion
Specific .EXE's
NT/2K/XP Services
en la siguiente un resumen de lo que es cada
cosa, sino que tienen que poner en cada una.
Empecemos. Y luego paso a paso grafico
6. Notification String Info Separators (Lo
dejamos asi por las dudas)
Ip Address Separator (lo dejamos tambien asi)
Identification Name (Pongan algun nombre del
sistema como rundll32.exe o svchost.exe)
Server Port (Lo dejamos en 3401)
Server Password (Poganla si quieren, pero es
en vano)
Fake error (Recomendable, tira un error
cuando ejecutan el server)
En server icon no hay nada que explicar, es
solo seleccionar el icono que quieren.
Start up & Instalation
Registry - Run (ALL OS) (Marquenlo, le va a
romper la cabeza a la victima tratando de sacar
el troyano
Registry - RunServices (Tambien
marquenlo, pero ponganle algun nombre mas
creativo
Server File (Obviamente es con el nombre que
va a ser nuestro serversito)
Start Directory (Pueden elegir windows o
system, da lo mismo, en mi caso elegí system
porque svchost se encuentra ahi)
Melt Server after Installation
(Recomendado, cuando la victima ejecuta el
server, se derrite, es decir, se auto destruye, no
existe mas, caput, se borra, asi no dejamos
huella de el archivo, pero el server seguira
funcionando)
Notifications
No es necesario marcar niguna de estas
opciones, asi que lo saltearemos.
Firewall & AVG Evasion
Les recomiendo dejar tal como esta todo, asi
pueden saltear todo con más facilidad.
Specific EXE's (aca podes marcar los archivos
especificos que queres saltar, por ejemplo
avp.exe del kaspersky)
Bueno, ya tenemos configurado el servidor, lo
uncio que necesitamos hacer es apretar el
boton de arriba donde dice. 'Build/Create
Server'.
Recuerden que es de conexión DIRECTA, por lo tanto se tendrán que conectar a sus victimas.
7. 1. Al abrirlo nos tendra que salir esto :
2.Para empezar a configurarlo :
8. 3. EL idioma ( no esta en español. )
4. Main settings :
Se realiza la configuración inicial: vamos a la pestaña de Main settings donde
se dará un nombre asignado, la contraseña para mantener el control del
servidor.
9. El procedimiento se realiza desde el equipo del hacker donde se descargarán los
archivos antes mencionados, donde se generará el archivo CLAVE, el cual se estará
utilizando como mensaje al equipo de la víctima, agregándole el ícono que lo
acompañará y el cual ayudará a generar la curiosidad de la víctima.
10. 5. Main settings/ general information
6. Main settings/ server icon
7. Startup
16. 4. Una ves descomprimido (recordar hacerlo sin el anti
virus abierto), ejecutamos el 'client.exe'. Una ves
hecho eso, les pedirá que tipeen un código, lo tipean
y podrán acceder al troyano, luego de eso, les pedirá
que introduzcan su idioma, en este caso como no
tenemos español, ponemos ingles. Bien, una ves
hecho eso encontraran 7 opciones.
17.
18. En apoyo a ésta aplicación se
deben descargar los siguientes
complementos de seguridad
como lo son: Optix Pro 3.1:
Software para configuración del
Virus Troyano; Dropper Gen:
llamado como Binder que es el
que cambiará nombre al archivo
generado; lccwin32: compilador
utilizado para que sirva el Binder;
ProcDump: para ser utilizado en
línea de comandos para
supervisar la aplicación en
búsqueda de parásitos y Modifica
el código hexadecimal.
Software utilizado en la actividad
19. 12. Realizado y creado el archivo, se procede a
comprimir el "clave" con UPX, donde simplemente
será arrastrado al icono de UPX, se espera a que
finalice el proceso en la ventana del ms-dos y una
vez finalizado se tendrán compreso.
Validación del archivo virus
20. 13. Realizada la acción anterior se procede a abril la
aplicación Dropper Gen, abriendo el que se quiere
que se ejecute "visualmente" y posteriormente
quede "oculto" como se muestra en la imagen
donde se marcará la casilla “Include Icon and
resourse file with generated code” para que se
incluya y sea tenido en cuenta el icono asignado
con anterioridad.
Validación del archivo virus
21. 14. Desde el equipo de hacker se ejecuta la aplicación
para realizar la conexión y poder tener el control del
otro equipo, para lograr identificar la dirección IP del
computador de la víctima y así poder realizar la
exploración de éste equipo.
Comprobación del archivo virus
**Supongamos que se
envió el archivo por
correo electrónico y
que la victima lo va
abrir, creyendo que es
una foto de su marido
22. Como podemos ver en la parte de abajo nos aparece connected succesfully, esto quiere
decir que tenemos control total de la maquina
31. RECOMENDACIONES
Ser precavido con los archivos que ingresan a
nuestros equipos, sean recibidos por correo
electrónico, descargados de
internet, ejecutados desde memorias USB, etc.
La mayoría de antivirus ya detectan el troyano
que se uso para el ejemplo, pero a medida que
evolucionan las medidas de
protección, también la forma de hacer los
ataques así que debemos mantener
actualizados nuestras aplicaciones antivirus
Aplicar políticas de restricción para la
instalación de software y/o ejecución de
aplicaciones
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas tecnología e ingeniería
SEGURIDAD EN BASES DE DATOS