Sie sind auf Seite 1von 29

Presentado por:

Karol Martin Cordoba Cuaycal

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA
SEGURIDAD EN BASES DE DATOS

Definicin de Virus:
Optix Pro 1.3 es uno de ms potentes y destructivos generadores de
troyanos/backdoor liberado el 22 de Abril del 2003 reportado el 25 de
este mismo mes, por defecto ingresa a travs del puerto 3410 (de
Estacin Remota) sin embargo puede ser configurado con cualquiera de
los 65535 puertos TCP existentes.
Su archivo infectado puede ser renombrado y emplear adems
cualquier otro servicio de Internet, tal como ICQ, Correo, FTP, HTTP, IRC,
MSM, PHP, etc, y permitir un completo acceso y control remoto de los
sistemas al hacker poseedor del software Cliente.

Elementos a Utilizar

Se utiliz Vmware para virtualizar dos mquinas con sistema operativo Windows
XP, debido al riesgo de hacer estas pruebas en equipos fsicos .
Para este ejercicio, se utilizara el troyano Optix Pro v1.3.3, el cual se puede
descargar de internet (tener cuidado en la ejecucin del mismo).

Descripcin
El Optix Pro es un troyano destructivo que deja tu pc al mando de otro, cuenta con un cliente que le permite
prcticamente "jugar" con tu pc.
Acciones Realizadas por el Virus

Abrir o cerrar la bandeja del CD Rom* Apagar el sistema* Atrapar todo lo tecleado por la victima* Borrar valores
y/o claves del registro* Borrar y/o renombrar archivos y carpetas* Cambiar el titulo de las ventanas* Cargar y
descargar archivos* Cerrar la sesin del usuario* Cerrar ventanas* Crear carpetas* Crear nuevos valores y
claves en el registro* Detener cualquier proceso en ejecucin* Editar el registro* Ejecutar archivos* Ejecutar o
detener el salvapantallas* Emitir beeps por el PC Speaker.

*
*
*
*
*
*
*

Entrar en modo "Suspender"* Enviar pulsaciones de teclas (a la vctima)* Escanear un rango de IP en busca de
puertos abiertos*
Habilitar o deshabilitar el ratn y el teclado
Listar los procesos en ejecucin*
Minimizar y/o maximizar ventanas*
Monitorear el estado del sistema remoto* Mostrar u Ocultar el reloj del sistema
Obtener informacin del sistema remoto y del usuario* Prender y/o apagar el monitor
Provocar una pantalla azul de la muerte* Redireccionar conexiones de una computadora/puerto a otra*
Reiniciar el sistema
Robar cache de contraseas
Robar contraseas de accesos a Internet
Robar contraseas del AIM
Usar el PC de la vctima como servidor FTP
Ver imgenes de la Web-Cam de la victima

ICQ Notification
CGI Notification
Optix pro consta de dos carpetas Builder y Client IRC Notification
Primero que todo Vamos a la carpeta Builder,
PHP Notification
veran dos zips y dos exes. El nico que deben abrir
SMTP Notification
es el 'Builder.exe'.
MSN Notification

Instalacin del Virus

una ves se les pedir otra ves que tecleen un


cdigo, luego de eso, veran 6 opciones
Language
Main Settings
General Information
Server Icon
Startup & Installation
Startup
File Setup
Notifications

Firewall & AVS Evansion


Specific .EXE's
NT/2K/XP Services

Opciones de Optix Pro v1.3.3

decir, se auto destruye, no existe mas, caput, se


borra, asi no dejamos huella de el archivo, pero
el server seguira funcionando)

Notification String Info Separators


Ip Address Separator
Identification Name (se debe colocar un nombre

Notifications
del sistema como rundll32.exe o svchost.exe)
Server Port (puerto por defecto 3401)
Firewall & AVG Evasion
Server Password

Les recomiendo dejar tal como esta todo, asi


Fake error
pueden saltear todo con ms facilidad.
Specific EXE's (ac podes marcar los archivos
Start up & Instalation
especificos que queres saltar, por ejemplo
Registry - Run (ALL OS) (seleccione, le va a
avp.exe del kaspersky)
romper la cabeza a la victima tratando de sacar
Bueno, ya tenemos configurado el servidor, lo
el troyano
unico que necesitamos hacer es apretar el boton
Registry - RunServices (seleccione, pero debe
de arriba donde dice. 'Build/Create Server'.
pornerle algun nombre.
Server File (Obviamente es con el nombre que
va a ser nuestro arhivo
Start Directory
Melt Server after Installation (Recomendado,
cuando la victima ejecuta el server, se derrite, es

Archivo de ejecucin

Se ejecuta estas
opciones

Se realiza la configuracin inicial: vamos a la pestaa de Main


settings donde se dar un nombre asignado, la contrasea
para mantener el control del servidor.

El procedimiento se realiza desde el equipo del hacker donde se


descargarn los archivos antes mencionados, se genera el archivo
CLAVE, el cual se estar utilizando como mensaje al equipo de la
vctima, agregndole el cono que lo acompaar y el cual ayudar
a generar la curiosidad de la vctima.

1 para todos los Windows


Y 2 para los registros

Se registra el nombre
que deseamos escribir

Seleccionamos estas opciones si


el caso de un Windows en
versin anterior

Es un mtodo para especial


desde el arranque de
Windows

Notificaciones ICQ, CGI,


IRC, PHP, SMTP,MSN

Seleccionamos IRC
y damos clic en
ADD NEW

Se desplegara una ventana donde


introduciremos nuestros datos

Para borrar una


opcin de ADD
NEW

Damos clic y creara el servidor

Una ves descomprimido, ejecutamos el 'client.exe'. Una ves hecho


eso se les pedir que tipeen un cdigo, lo tipean y podrn acceder
al troyano, luego de eso, les pedir que introduzcan su idioma, en
este caso como no tenemos espaol, ponemos ingles.

En apoyo a sta aplicacin se deben descargar los siguientes


complementos de seguridad como lo son: Optix Pro 3.1:
Software para configuracin del Virus Troyano; Dropper Gen:
llamado como Binder que es el que cambiar nombre al archivo
generado; lccwin32: compilador utilizado para que sirva el
Binder; ProcDump: para ser utilizado en lnea de comandos
para supervisar la aplicacin en bsqueda de parsitos y
Modifica el cdigo hexadecimal.

Realizado y creado el archivo, se procede a comprimir el "clave"


con UPX, donde simplemente ser arrastrado al icono de
UPX, se espera a que finalice el proceso en la ventana del msdos y una vez finalizado se tendrn compreso.

Realizada la accin anterior se procede a abrir la aplicacin


Dropper Gen, abriendo el que se quiere que se ejecute
"visualmente" y posteriormente quede "oculto" como se muestra
en la imagen donde se marcar la casilla Include Icon and
resourse file with generated code para que se incluya y sea
tenido en cuenta el icono asignado con anterioridad.

Desde el equipo de hacker se ejecuta la aplicacin para realizar la


conexin y poder tener el control del otro equipo, para lograr identificar la
direccin IP del computador de la vctima y as poder realizar la exploracin
de ste equipo.
Supongamos que se envi el archivo por correo electrnico y que la
victima lo va abrir, creyendo que es una foto de su marido

Como podemos ver en la parte de abajo nos aparece connected succesfully, esto quiere
decir que tenemos control total de la maquina

Prueba con un reboot

Informacin del equipo victima

Sistema de archivos de la victima eliminar procesos

Visualizar las aplicaciones de la victima

Enviar mensajes al equipo victima

Opcin de Keylogger, con esta opcin podemos ver lo que se digita con el teclado.

Visualizacin remota de pantalla de la victima