UNIVERSIDAD NACIONAL DE SAN CRISTBAL DE HUAMANGA

FACULTAD DE INGENIERA DE MINAS, GEOLOGA Y CIVIL

ESCUELA DE FORMACIN PROFESIONAL DE INGENIERA DE SISTEMAS

SEGURIDAD DE COMPUTADORAS PERSONALES

INTEGRANTES

:
AUCCAPUCLLA CCARHUAYPIA, Alexander
AYME QUIPE, Luis

CURSO

SEGURIDAD INFORMTICA

SIGLA

IS - 444

INFORME

LABORATORIO N 07

PROFESOR

ING. LAGOS BARZOLA, Manuel

LABORATORIO

Mircoles de 6:00 8:00pm

AYACUCHO PER
2015

1.

OBJETIVOS

Comprender el funcionamiento de algunos malwares.

Identificar algunas formas de proteccin de la PC.

2.-

DESARROLLO DEL LABORATORIO

2.1. INSTALACIN DE UN KEYLOGGER

2.1.1. Antes de iniciar la prctica, deshabilita el antivirus existente en su PC de trabajo
anlisis en tiempo real.

Clic derecho sobre el icono del antivirus.

Clic en desactivar proteccin antivirus y firewall por ejemplo.

Verificar que el antivirus quede desactivado.

2.1.2. Desactivar el Firewall por defecto del Sistema Operativo.

2.1.3. Instale el programa BlazingTool Perfect Keylogger (BPK) con las opciones por
defecto.

2.1.4. Utilice algn keygen o cdigo de activacin para habilitar la funcionalidad

completa del instalado anteriormente.

2.1.5. Presione doble clic izquierdo sobre el icono que se encuentra en la barra de tareas.
Podr visualizar los ingresos que haya realizado con su teclado.

2.1.6. Qu resultados hubiese tenido si no deshabilitaba el antivirus?

Al no haber deshabilitado nuestro antivirus no se hubiera podido realizarse la instalacin del
software BlazingTool Perfect Keylogger (BPK) debido a que nuestro antivirus hubiese
detectado como un software malicioso y no hubiese llegado a instalar correctamente.
2.1.7. Qu resultados hubiese tenido si no deshabilitaba el Firewall?
Si no deshabilitbamos nuestro firewall, este protector de la seguridad lgica no nos permitia
la instalacin del software malicio y para poder instalarlo tenemos que deshabilitar nuestro
antivirus y el Firewall de Windows.
2.1.8. Examine la configuracin disponible, especialmente E-Mail, este te permite
configurarlo para que puedas recibir los log de la computadora atacada a travs
de tu mail.

2.2. INSTALACIN REMOTA DEL KEYLOGGER

2.2.1. Presione clic derecho sobre el icono que se encuentra en la barra de tareas. Luego
presione el clic izquierdo en Remote installation, para iniciar el asistente de
instalacin.
2.2.2. Lea las indicaciones del asistente y luego presione el botn siguiente
2.2.3. Elija Install new or update existing keylogger on the remote computery clic en
botn siguiente.
2.2.4. Ingrese la ruta del programa que desea combinar con el spyware keylogger. En
este ejercicio ingrese: C:\windows\notepad.exe y presione el botn siguiente.
2.2.5. El archivo c:\windows\inst_notepad.exe se crear automticamente.
2.2.6. Para analizar el paquete, debe iniciar su WMware Workstation e inicie en la
mquina virtual Windows XP Profesional.
2.2.7. Transfiera el archivo a la mquina virtual y ejectelo. Verifique que la aplicacin
Notepad funcione y el spyware sea instalado.
2.2.8. Con qu otros formatos de archivo pudo haber creado el troyano? Para qu
cambiara la extensin del archivo?

2.2.9. Anote algunas observaciones adicionales sobre la experiencia.

La experiencia en este laboratorio pudimos demostrar que el software KEYLOGGER
permite capturar en tiempo real todos nuestros registros o lo que tecleamos en nuestra
maquina lo cual es visualizado por un atacante para poder vulnerar nuestra informacin, para
no sufrir estos ataques necesario tener activado nuestro antivirus y Firewall de nuestro
sistema.
2.3. INSTALACIN DE BACKORIFICE
2.3.1. En esta actividad se utilizar la herramienta troyana Back Orifice, recuerde que
como el caso anterior tiene que deshabilitar el antivirus y el Firewall por defecto.
Primeramente realizamos la rehabilitacin del antivirus y el Firewall de nuestra mquina, tal
como se muestra en la siguiente imagen y luego procedemos con la instalacin.

2.3.2. Ejecute el archivo bo2k_1_0_full.exe. Te aparecer la siguiente pantalla.

2.3.3. En el asistente presione el botn siguiente

2.3.4. Elija bo2k.exe como el B02K server file.

2.3.5. Elija TCPIO Networkingpara correr la herramienta sobre el protocolo

TCP/IP.

2.3.6. Ingrese 80 como el nmero de puerto que se usara para comunicarse con la
computadora atacada.

2.3.7. Escoge XORcomo el mtodo de encriptacin para la comunicacin.

2.3.8. Ingrese el password que te gustara usar para iniciar la comunicacin.

2.3.9. Clic finalizar para acabar la configuracin inicial. Este cargar la herramienta
de configuracin del servidor para su configuracin.

2.3.10. Clic al botn de Open Servery escoge el archivo de bo2k.exe (ver diagrama).

2.3.11. Verificar que el archivo sea ejecutado en la computadora infectada durante el

inicio del sistema, para esto selecciona el flder Stealthen la parte inferior
izquierda y habilita la opcin Run at startup.

2.3.12. Click al botn Save Serverpara grabar la configuracin al archivo.

2.4. BACKORIFICE SEGUNDA PARTE

2.4.1. Inicia tu estacin de trabajo VMware.

2.4.2. Transfiere el archivo bo2k.exea la computadora infectada.

2.4.3. Ejecuta el archivo bo2k.exeen la computadora infectada.

2.4.4. Par confirmar que el servidor est corriendo y la puerta trasera ha sido abierto,
sigue los siguientes pasos en la computadora infectada

netstat anpara observar los puertos activos.

Como muestra el diagrama, el puerto 80 es el que est abierto y listo para la
comunicacin.

2.5. BACKORIFICE TERCERA PARTE

El objetivo de esta parte es ilustrar cmo un atacante puede hacer uso de la puerta trasera
para hacer daos en la computadora infectada.
2.5.1. En la computadora del atacante, inicia el bo2kgui.exe

2.5.2. Ir a File y luego a new server

2.5.3. Sobre el Edit Server Settings, ingresa el nombre y la direccin IP de la

computadora que se est atacando. Para esto verifique el numero IP de dicha PC. (En
este ejercicio, ingresa el IP 192.168.5.128 para ambas entradas).

2.5.4. Clic OK para proceder.

2.5.5. Sobre el Server Comand Client, haz click en Click to connect. Una vez que
la conexin se ha establecido, el botn cambiar a Disconect (Ver diagrama).

2.5.6. Sobre el panel de la derecha, hay una lista de comando que puedes usar para
generar problemas en la computadora infectada.

2.5.7. Para programar actividades:

2.5.8. Click en System (Ver diagrama)

2.5.9. Elige cualquier de las acciones de sistema y presiona el botn de Send command

2.5.10. Para programar actividades de teclado:

2.5.11. Clic en Key logging

2.5.12. Clic en Log Keystrokes
2.5.13. Ingresa la ruta y el nombre del archivo donde t deseas almacenar el keystrokes
(Por ejemplo, c:\keystrokes, el cual creara un archivo keystrokesen el disco
duro C de la computadora infectada)

2.5.14. Clic en Send command

2.5.15. Usted ver el mensaje key logging starteden el panel de Server response (ver
diagrama).

2.5.16. Para finalizar la captura, presiona End keystroke logseguido por Send
command

2.5.17. Para ver el log, click en View keystroke logseguido de Send command
2.5.18. Tu veras el log en el panel de Server Response.

2.5.19. Explora el resto de comandos para que veas que otros daos puedes causar.
salos con cuidado!
La opcin GWI permite enviar mesajes distorcionadores tal como se muestra en la
siguiente imagen.

2.5.20. Qu tipo de cdigo malicioso clasificara a BackOrifice?

Es un programa de control remoto de ordenadores que funciona bajo un servidor y un cliente.
Si colocamos el servidor a otro ordenador remoto, es posible desde el cliente, gobernar
cualquier funcin del ordenador remoto, entre los que destaca abrir y cerrar programas,
controlar el CD-ROM, leer y modificar ficheros o borrar parte del disco duro. Para ello el
servidor se autoejecuta y se borra cada vez que el ordenador ajeno se enciende, nuestro cliente
escanea el puerto elegido y cuando ste est abierto acta a travs de l, desde un men
repleto de pestaas y opciones de control remoto. El sistema es bueno para controlar un
ordenador u ordenadores dentro de nuestra red LAN, aunque dejar esta puerta abierta para
Windows es toda una amenaza.
2.5.21. Describa los daos que puedes causar sobre la PC objetivo.
De acuerdo a los comandos que enviamos a la maquina infectada nos podemos aprovechar
sobre el control del PC, lo cual nosotros podemos gestionar mandando mensajes o reiniciando

su PC, tambin podemos mandar mensajes maliciosos y podemos borrar ficheros de la

maquina infectada logrando asi nuestro objetivo.
2.5.22. Una PC con sistema operativo totalmente actualizado es vulnerable a este
cdigo malicioso?
Siempre va tener vulnerabilidades no necesariamente tendra que estar actualizado el sistema
operativo para que pueda sufrir algn ataque por cualquier cdigo malicioso, porque tambin
los codicos maliciosos estn siendo programados en diferentes lenguajes que utilizamos
actualmente y son compatibles con varios tipos de sistemas operativos.
2.5.23. Qu se requiere para estar protegidos ante el programa BackOrifice?
Las utilidades VNC y Back Orifice no son las nicas que permiten administrar mquinas de
forma remota. Tambin se pueden utilizar otros programas como pcAnywhere de Symantec
o Carbon Copy de Compaq, previo pago de la correspondiente licencia ya que son
herramientas comerciales. Las primeras se destacan por ser gratuitas y tener un cdigo libre
(licencia GNU). Es decir, cualquiera puede modificar su cdigo para adaptarlo a sus
necesidades particulares.
2.5.24. Observaciones adicionales sobre su experiencia
Pero las modificaciones pueden ser maliciosas, hasta tal punto que llegan a convertir una
utilidad de administracin en un programa espa que "capture" todas las contraseas de algn
ingenuo usuario. Estos programas troyanos suponen actualmente uno de los mayores riesgos
de seguridad en una conexin a Internet, est diseado para una Arquitectura Cliente
Servidor, lo cual nos permiti el control remoto de las PCs, al colocar el servidor a otra PC
pudimos manipular o Gobernar desde el PC cliente cualquier funcin del ordenador remoto;
en el cual pudimos abrir y cerrar programas tambin modificar los ficheros o borrar parte del
disco duro.

3.-

CUESTIONARIO

3.1. Investigue sobre el funcionamiento y uso del: WinTrinoo

Es una herramienta DDoS que se ha hecho muy popular; a travs suyo un atacante que haya
sido capaz de infectar un nmero suficiente de usuarios ADSL es capaz de hacer caer
importantes sitios de Internet; los primeros ejemplos de estos ataques datan de Febrero de
2000, cuando un nmero de destacados sitios de comercio electrnico como Amazon, CNN,
Yahoo y eBay fueron atacados por dicho software, cuyo principal objetivo es infectar tantos
equipos como sea posible y simultneamente atacar direcciones de correo concretas con
asuntos aleatorios y contenidos que no pueden ser filtrados.
3.2. Investigue sobre el funcionamiento y uso del: Netbus
NetBus es un software malicioso para el control de una forma remota de sistemas
informticos Microsoft Windows a travs de una red. El servidor debe ser instalado y
ejecutado en el equipo que quiere ser controlado a distancia, el tamao de archivo es de casi
500 KB. El nombre y el icono han variado mucho de versin a versin. Nombres comunes
eran "Patch.exe" y "SysEdit.exe". Cuando se inicia por primera vez, el servidor se instala en
el ordenador host, incluyendo la modificacin de Windows del Registro para que se inicie
automticamente en cada inicio del sistema.
3.3. Genere un documento que establezca las polticas de seguridad para un
computador personal frente a los malwares.
Las polticas de seguridad a emplearse deben ser de acuerdo a las restricciones que se dan a
nuestra informacin, la solucin es tener instalado un buen Antimalware, que se actualice
diariamente y que cuente con excelentes servicios de soporte tcnico para solucionar
cualquier ataque malicioso, para protegernos algunas polticas de seguridad de nuestros
equipos personales.

Programas automticos que mantengan actualizado nuestro Sistema Operativo.

Firewall del computador debe estar activado.

Contar con una buen Anti Malware (antivirus, antispyware, etc). Estos protectores
debern ser instalados por un conocedor en el rea de Sistemas o tcnicos especialistas.

Las Actualizaciones del software Anti-Malware se deben realizar de manera peridica

para prevenir y eliminar las consecuencias de la accin de los malware o virus
informticos.

Utilizar antivirus con licencia pagada.

Para archivos enviados y recibidos, los software Anti-Malware (Antivirus,

Antispyware, etc), deben permitir la deteccin de estos en todos su niveles va el
servicio de correo electrnico y deteccin sobre aplicaciones HTTP, FTP, SMTP y
POP3 desde otras redes de datos / internet o tener instalado el servidor proxy.

Evitar descargas de lugares no seguros.

Recomendaciones adicionales:

No abrir correos de remitentes desconocidos.

No tratar de abrir archivos ejecutables que vengan anexados a nuestro correo.

Realizar escaneos de malware en las computadoras por lo menos una vez por semana.

Tener una herramienta adicional de Anti-Malware, con la cual se debe realizar una
verificacin, de las computadoras de los usuarios, por lo menos una vez cada 6 meses.

3.4. Investigue acerca de los malwares que en la actualidad han causado daos
perceptibles, describa sus caractersticas y las prdidas causadas por estos.
Es importante mencionar que un virus informtico no es otra cosa que un software daino
que ha sido diseado para que sea capaz de auto ejecutarse y replicarse. Si bien se considera
que ya desde la dcada de los sesenta existe la presencia de malware, lo cierto es que el
trmino "virus informtico" fue acuado en el ao 1983 por Fred Cohen.
A continuacin mostraremos los 5 malware ms peligrosos en la actualidad:
1.-Virus CHI o Chernobyl: Apareci en 1998 y puso en el punto de mira a los sistemas
equipados con Windows 95, 98 y Me. Se estima que infect a un total de 60 millones de
equipos, provocando unas prdidas totales que rondaban los 1.000 millones de dlares,
debido especialmente al valor de la informacin que destrua. Una vez dentro del equipo
infectado CHI eliminaba la informacin del equipo, pero tambin poda llegar a suprimir la
BIOS, de forma que haca imposible el arranque.

2.- I Love You: Uno de los ms conocidos, lleg all por el ao 2000, disfrazado de correo
electrnico con tintes de romanticismo. En un tiempo donde los usuarios eran mucho ms
ingenuos y los filtros anti-spam claramente mejorables consigui infectar a ms de 50
millones de equipos con gran rapidez. El virus del amor gener 5.500 millones de dlares en
prdidas, afectando a entidades tan importantes como el Pentgono o el Parlamento
Britnico, adems de a numerosas empresas espaolas.
3-SQL Slammer: Este gusano no se instalaba en el disco duro de los equipos, sino en la
memoria RAM. As, desapareca con un simple reinicio pero eso fue suficiente para infectar
a medio mundo en solo 15 minutos. SQL Slammer afecto a compaas areas, cajeros
automticos y dej sin intener a Corea del Sur y Portugal, provocando una situacin de serio
riesgo para millones de personas.
4.-MyDOOM: Tuvo el honor de ser calificado por la propia Microsoft como el virus
informtico que ms destruccin ha provocado en toda la historia y surgi en 2004. No se
extendi con la misma rapidez que SQL Slammer, pero tuvo un impacto mucho mayor, ya
que afectaba a los sectores 0 de los discos duros, tambin conocidos como sector de arranque
principal o MBR, un problema que en su momento no tena solucin y que por tanto los
dejaba totalmente inutilizados. Se llegaron a ofrecer hasta 250.000 dlares de recompensa a
quien diera informacin sobre el creador de este virus, que nunca lleg a ser identificado.
Durante su existencia gener daos por casi 40.000 millones de dlares.

5.-Stuxnet: No tuvo el impacto econmico ni de propagacin que los anteriores, pero merece
estar en esta lista por una razn muy sencilla, y es que ha sido el primero que buscaba
extender el dao ms all del equipo que infectaba. S, Stuxnet es capaz de espiar y
reprogramar sistemas industriales SCADA de control y monitorizacin de procesos, siendo
considerado en su momento como un arma ciberntica aterradora, ya que poda causar
daos en el mundo real. Su extensin fue limitada pero implicaba un riesgo enorme, ya que
se detect por ejemplo en la central nuclear de Bushehr y el Complejo Nuclear de Natanz,

situadas en Irn, provocando que unidades de centrifugacin para enriquecer uranio se

volvieran locas y se autodestruyeran.
Por fortuna no produjo consecuencias graves que podran haber derivado en una catstrofe
nuclear, pero como decimos tena potencial para hacerlo.
3.5. Si usted hace uso de un computador pblico como se protegera de los programas
espa que graban y/o monitorean nuestras actividades en el computador.
Como sabemos las redes wifi pblicas disponibles en tiendas, bibliotecas, aeropuertos,
hoteles, universidades y otros sitios pblicos son convenientes e importantes, pero muchas
veces no son seguras. Si usamos una red wifi pblica y esta enva informacin a travs de
sitios web o aplicaciones mviles, sta puede ser accesada por otra persona que utiliza
programas espa que permiten graban y monitorean nuestras actividades.
Para poder protegernos de estos ataques a nuestra informacin cuando usamos redes
inalmbricas o cableadas, lo recomendable es enviar informacin nicamente a sitios
completamente codificados y seguros, fijarse que aparezcan las letras https en todas las
pginas que visita, no solamente cuando ingresa su nombre de usuario y contrasea, y evite
aplicaciones mviles que requieran informacin personal o financiera que pueda
comprometer nuestra informacin personal.

4.-

CONCLUSIONES

Que al tener deshabilitado nuestro Antivirus y Firewall nuestra informacin pueda ser
fcilmente vulnerada por un espa o una persona malintencionada; quien pueda instalar
software malicioso como un troyano en nuestra PC sin autorizacin de nosotros y pueda
acceder y obtener informacin con facilidad.
Los daos pueden ser graves en la computadora infectada porque pueden borrar archivos del
sistema y causar fallo del sistema operativo.
Que acceder a pginas no recomendadas se pueda descargar software malicioso y este se
pueda instalar en nuestro PC.

5.-

RECOMENDACIONES

Si se desea descargar archivos y software este deben ser de pginas reconocidas y seguras
que poseen el procolo HTTPS.
Mantener actualizado nuestro sistema operativo, lo cual ayuda a proteger nuestra informacin
y no ser atacado por un malware o por una persona mal intencionado.
Descargar y utilizar software original o de open sourse.
No descargar software desconocido.

6.-

BIBLIOGRAFA

Libro Electrnico de Seguridad Informtica y Criptografa v4.1, Dr. Jorge Rami

Aguirre.
Hacking Etico - Carlos Tori.
Seguridad Informtica. Cesar Seoani Ruano.
La enciclopedia de la Seguridad Informtica, Vieites.
Criptografa y Seguridad en Computadoras, Manuel Jos Lucena Lpez.
Cryptography and Network Security - William Stallings - 4ed.