INSTALACIN,CONTROL,INFECCINYDESINFECCIN

DEUNMALWARE(TROYANO)

POR:

JUANCAMILOGMEZPINEDA

PROFESOR:

FERNANDOQUINTERO

SENA

MEDELLN

2010

1
 INDICE

INTRODUCCION

I. TARGET,INFECCIN

II. CONTROLANDOLAMQUINA(TARGET)

III. DESINFECCINDELAMQUINA(TARGET)

CONCLUSIONES

2
Licenciadeldocumento

3
 INTRODUCCIN

Acontinuacinlesdescribirelambiente:
Tengodosmquinas,elservidorelcualleenviareltroyanoal
Target y el target el cual no tiene nada de seguridad, no
firewalls,noantivirus,nonada.

Lo que quiero mostrar en este documento es lo fcil que es que

cualquieratengainformacinsobretodoloqueseesthaciendoen
el equipo, ya que el malicioso, controla un software que le
permite muchas cosas, como activar un keylogger, capturar
pantallazos, descargar archivos y ficheros desde el Target,
redireccionarpuertos,hacerbromaspesadas,capturarvideo...s
videosiesqueelTargettieneunaWebCam,enviarScripts,entre
otros.

Meproducecomomiedosialguienpudierahacerestoamimquinay
sabertodamivida.

Para esto mostrar cmohacenloshackersnoticospararobar

informacindeunamquina,ytambinmostrarcmopoderaislar
elvirusoeliminarlo.

4
I. TARGET,INFECCIN

1. Enmicaso,utilicuntroyanoNetDevilquedatadelao
2003, lo cul es demasiado viejo y que muchos antivirus lo
podrndetectarydesinfectarrpidamente.
En el Target, antes de empezar con la infeccin mir los
puertosparaverculesseactivanpordefectoaliniciaruna
mquinaenWindows.

2. Desdeelotrocomputador,elcullanzarelvirus,iniciola
conexin.Comopodremosver,laconexinseestableceporel
puerto901,perosiunodesea,lopuedecambiarparacualquier
puerto.

5
II.CONTROLANDOELTARGET

1.Ahorasloquedacacharrearestesoftwaremalintencionado.
Vemostodaslasherramientasquetienen,comoelcapturadorde
pantalla,elcualpuedetomarcualquierpantallazoyenviarlo.

2. Podemos activar un keylogger, el cual mostrar todo lo

digitado

6
3. PodemosverlosprocesosqueseestnejecutandoenelTARGET,
matarcualquierprocesooborrarlodeldiscoduro.

4. Me di por curiosear en el TARGET y adivinen que... se

estableci una conexin con un host remoto por un puerto
misterioso.

7
5. Podemosverloqueesthaciendo,comolasventanasqueest
ejecutando:

6. He aqu las bromas pesadas, sera de verdad molesto que

alguienhicieracosascomoapagarelmonitor,abrirlaunidad
de CDROM (no es un espanto), esconder la barra de tareas o
esconder los conos del escritorio y cosas as realmente
molestas.

8
7. Quesesto????ydondeestelinicio?????

8. Tambin para los que estn ms metidos en el cuento de

scripting, podemos ejecutar lo que queramos desde esta
pequeaconsola,bastaconintroducirelscriptyejecutarlo
comodiceenlaventana.

9
9. Aqu es donde podemos ver, con permisos de lectura y
escritura,entrareneldiscodurodelTARGET,crearficheros,
transferir archivos, descargar o subir, podemos correr los
archivos.bat o.exe, sonidos,imageneso hastacolocar una
imagendefondo.(Miedoso,no?)

10. Quinpusoestoah???

10
 11. Cuando vean conos, archivos o imgenes extraas,
preocpensen.Esonoseponeslo!!!!!!!

Despusdeverloterriblequepuedeserunmalware,todoloque
pueden hacer remotamente, es hora de tomar medidas contra esto.
Vamosainstalarunantivirus.

11
 III. DESINFECCINDELAMQUINA(TARGET)

1. Amiprimerintento,quiseinstalarunantivirus,enmicaso
mediporinstalarelNOD32enelTARGETparaagregarleal
finalgodeseguridad.
Al iniciar la mquina con el antivirus instalado, de una
localizelTroyano.

2. Lasmedidasquetomfueladedesinfectarahoralamquina.

Lasopcionesmeobliganaescoger!eliminar!

12
3. Nosmuestraqueseeliminsatisfactoriamenteeltroyano.

4. Yahoraalquerervolveraconectarmeparahacermaldades,
mesaleerror(!Rayos!).

13
 CONCLUSIONES

A medida que realizaba este trabajo, yo mismo me sorprenda con

todoloquealcanzabaunatacanteconunpequeosoftwarequepesa
menosde5MegaBytes.

Despus de reflexionar sobre estos ataques, me puse un poco ms

paranicoyaque...imagnense,!WebCamSpy!,keylogger,Capturade
Pantallazos;esunagranviolacinanuestraprivacidad.

Esmejordeahoraenadelanteempezaratomarmedidasmsfuerteso
superiores que permitan defendernos al menos de la mayora de
virus,gusanos,troyanos,etc.

14