El documento describe un ataque troyano realizado con Optix Pro 1.3. Se instalaron dos máquinas virtuales, una como atacante y otra como víctima. El atacante descargó y configuró Optix Pro para parecer un archivo legítimo, lo envió a la víctima a través de Skype y la infectó. Luego el atacante pudo monitorear y controlar la máquina de la víctima a través de la interfaz de Optix Pro, incluyendo mostrar mensajes en la pantalla de la víctima. Se ofrec

1. Practica 2
Ataque troyano (Optix Pro)
Grupo: 17
Carolina Villamil Diaz
cc 1121205639
tutor: Jesus Emirio Vega
Universidad Nacional Abierta y a Distancia
Seguridad en Bases de Datos 233009
Seguridad informática (Posgrado)
2014

2. Área de Trabajo
En virtualbox, se instalaron dos maquina virtuales con el S.O Windows xp
Atacante (Servidor) Victima (Cliente)

3. Descarga del troyano (Optix Pro)
Optix Pro 1.3 es uno de más potentes y destructivos generadores de
troyanos/backdoor, liberado el 22 de Abril del 2003 y reportado el 25 de
este mismo mes, que por defecto, ingresa a través del puerto 3410 (de
Estación Remota), sin embargo puede ser configurado con cualquiera de
los 65535 puertos TCP existentes.

4. Descarga y Ejecución
Al descargar el archivo .rar, se descomprime en la ubicación de
preferencia. Seguidamente se descomprime.
• La carpeta contendrá la carpeta Builder (Servidor) donde se creara y
configurara el virus.
• La carpeta Cliente (Victima) donde se contralora el equipo de la victima
cuando este infectado.
Interfaz de Optix pro

5. Creación y configuración del Troyano
De acuerdo a los objetivos del ataque se configurara el troyano, en este caso
Será para atacar equipos con Windows xp.
Dentro de la carpeta Builder esta el ejecutador, para la
creación del troyano, Se le da doble clic y aparece la
interfaz.
Vamos a la pestaña de (Main
Settings): Y en general infomation
dejamos todas la opción establecidas
por defecto, y solo modificamos
(Server password) con la contraseña
que desee.
En Fake error es por si se quiere que
cuando la victima ejecute el archivo le
aparezca un pop up diciendo en
nuestro caso “ Ataque con troyano" o
el que se quiere.

6. Apariencia del Troyano
En la opción de server icon, escogemos la
apariencia que tendrá el troyano en nuestro
caso será un archivo .rar de un supuesto
trabajo.
En la pestaña, startup and installation, esta parte
generalmente se deja por defecto.
opción 1 : que corra en el registro de todos los
sistemas operativos.
opcion2 : que corra en 2k/XP (Elejida).
opción 3 : puedes seleccionar el nombre de la clave
de registro que creara el troyano (GLSetIT32).
opción 4 : que corra en 9x/Me en win.ini.
opción 5 : que corra en 9x/Me pero en system.ini.

7. En la pestaña a file startup :
- En el primer campo escogemos como se va
a llamar el proceso que crea el troyano
(msiexec32.exe).
- Ahora seleccionamos si queremos que se
guarde en la carpeta de system
(Seleccionada) o en la de windows.
- (Melt server after installation) significa que
después que se instalo desaparezca de la
carpeta donde se instalo.
Las demás opciones se dejan por defecto en nuestro caso, ahora se va
(Build/create server) para crear el troyano darle un nombre y escoger la
ruta donde se guardara:

8. Envió y ejecución del virus
Por medio de skype se hace el envió del virus, simulando que es un
trabajo la victima posteriormente lo recibirá y ejecuta, dando así ya el
Total control al atacante. El archivo se nombra unad2014.rar
Atacante Victima

9. Monitoreo y manejo del troyano
En las carpetas descomprimidas, en la carpeta client, damos doble clic
al ejecutador en forma de calavera, nos aparecerá una interfaz similar al
de la configuración del virus, en la cual ingresamos la Ip de la victima, el
puerto viene por defecto y conectamos con el icono verde. En las
siguientes pestañas aparecen el sin numero de opciones de monitoreo y
control de la maquina victima. Eso depende de los objetivos del ataque

10. La victima al intentar abrir el archivo .rar
Le aparece el mensaje que había
establecido en la configuración (Ataque
de troyano).
Entre las opciones de manipulación, podemos insertar un mensaje
en la pantalla de la victima como se ve. Y un sin numero de pciones
que queda a preferencia del atacante.
Victima

11. ¿Cómo protegerse de Optix.Pro.13? Para mantenerse protegido, tenga en
cuenta los siguientes consejos:
- Instale un buen antivirus en su ordenador.
- Mantenga su antivirus actualizado. Si su antivirus admite las actualizaciones
automáticas, configúrelas para que funcionen siempre así.
- Tenga activada la protección permanente de su antivirus en todo momento.
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de
Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas conexiones disponibles
para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione
Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red
limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.

12. WEBGRAFIA
http://www.forospyware.com/t20370.html
http://www.pandasecurity.com/spain/homeusers/security-
info/40716/remove/Optix.Pro.13
http://www.vsantivirus.com/optixpro-13.htm
http://hackers-0.es.tl/OPTIX-PRO-V1-.-32.htm