Delitos Informáticos

LABORATORIO N° 01

Delitos Informáticos

CODIGO DEL CURSO:

Oscar PEZO LOPEZ

Alumno(s): Nota

Grupo: Programa:

DELITOS INFORMÁTICOS
PROGRAMA DE CAPACITACIÓN CONTINUA
Delitos Informáticos

Laboratorio N°01: Delitos Informáticos

Objetivos:

 Establecer un proceso de políticas a seguir de protección contra virus.

 Conocer los datos técnicos de los antivirus.
 Reconocer medidas de seguridad para hardware y software.

Seguridad:

 Ubicar maletines y/o mochilas en el gabinete al final de aula de Laboratorio o en los casilleros
asignados al estudiante.
 No ingresar con líquidos, ni comida al aula de Laboratorio.
 Al culminar la sesión de laboratorio apagar correctamente la computadora y la pantalla, y
ordenar las sillas utilizadas.

Equipos y Materiales:

 Una PC con acceso a internet

 01 Máquina Virtual con Windows XP

Guía de Laboratorio Pág. 2

Delitos Informáticos

Procedimiento:
LECTURAS DE ANÁLISIS: DELITOS INFORMÁTICOS

1. Lee el siguiente artículo

Trend Micro asegura haber descubierto una nueva variante de ZBOT que, de momento, está
actuando principalmente en los sistemas bancarios de cuatro países europeos: Italia, Inglaterra,
Alemania y Francia.

ZBOT consiste en una variante de crimeware, software malicioso específicamente diseñado para
realizar delitos financieros basándose en el phishing y robo de identidades, creado mediante el toolkit
Zeus. El equipo infectado pasa a formar parte de la red criminal botnet Zeus.

Básicamente, Zeus es conocida por su vinculación con actividades delictivas como los negocios
criminales online donde colaboran diferentes organizaciones para perpetrar robos y fraudes por
Internet.

En el caso de ZBOT, se trata de un troyano que llega como un archivo descargado de una URL
remota y está configurado para dirigirse a las páginas webs de entidades bancarias, desde las que
después roba y envía información, generalmente datos bancarios sensibles, como son nombres de
usuario y contraseñas.

Trend Micro señala que los dominios utilizados por TROJ_ZBOT.BYP están alojados en el mismo
servidor, localizado en Serbia bajo un nombre registrado, y la dirección IP y nombre son conocidos ya
como parte de los dominios alojados de FAKEAV (antivirus falsos) usados con anterioridad en
campañas de spam de farmacias canadienses.

2. De acuerdo a la noticia leída analice y conteste las siguientes interrogantes:

 ¿Crees que la seguridad informática es un concepto local o globalizado a nivel
internacional?

Es un concepto local y globalizado a nivel internacional

 ¿Crees que te puedes llegar a infectar de una botnet?

si

 Explica el mecanismo de infección y propagación de ZBOT.

ZBOT, se trata de un troyano que llega como un archivo descargado de una URL
remota y está configurado para dirigirse a las páginas webs de entidades
bancarias, desde las que después roba y envía información, generalmente datos
bancarios sensibles, como son nombres de usuario y contraseñas

 ¿Qué peligro conlleva ZBOT?

Guía de Laboratorio Pág. 3

Delitos Informáticos

ZBOT es un software malicioso diseñado para realizar delitos financieros

basándose en el phishing y robo de identidades.

 ¿Qué o quién es Trend Micro? ¿Qué es una FAKEAV?

Trend Micro desarrolla soluciones de seguridad de contenidos de Internet y de

gestión de amenazas que crean un entorno seguro donde empresas y particulares
pueden intercambiar su información digital; FAKEAV es un (antivirus falso) usado
con anterioridad en campañas de spam de farmacias canadienses.

ANÁLISIS DE CASOS: CORREO BASURA

1. Lee el artículo y en vista de su contenido

MADRID, CAPITAL DEL SPAM

La capital española emite casi el 20% de todo el correo basura que se genera en España, según el
último análisis de Panda Security. Nuestro país ocupa la decimoctava posición en el ranking mundial.
Con el 19.74%, Madrid ostenta el “honor” de ser la ciudad de España desde la que más spam se
envió durante los dos primeros meses del año; le siguen Barcelona (10,53%) y Vigo (4.04%).

Así lo recoge el último informe de Panda Security, para el que la firma de seguridad ha analizado casi
cinco millones de mensajes de correo basura, generados durante enero y febrero de 2010. El informe
recoge también que España ocupa el puesto número 18 en el ranking mundial por emisión de correo
basura, con el 1,6% del total.

A nivel internacional, Brasil se sitúa en cabeza de la lista de países emisores de spam, seguido por
India, Corea, Vietnam y Estados Unidos. Por ciudades, el primer puesto del ranking lo ocupa Seúl,
seguido de cerca por Hanoi, Nueva Delhi, Bogotá, Sao Paulo y Bombay.

Uno de los hallazgos significativos del análisis de Panda es que los cinco millones de correos basura
sometidos a estudio fueron enviados desde un millón de direcciones IP únicas y diferentes. Esta
circunstancia revela que “el spam se envía principalmente desde ordenadores zombies que
pertenecen a una botnet”, tal y como explican los expertos de PandaLabs en su blog.

2. Analiza la noticia leída y responda las siguientes preguntas:

 ¿Cómo se denomina al correo basura y por qué?

spam porque son correos no deseados generalmente son de publicidad

 ¿Cuál es el país con el mayor emisión de correo basura?

Brasil

 ¿En qué posición se encuentra España?

Guía de Laboratorio Pág. 4

Delitos Informáticos

puesto número 18 en el ranking mundial por emisión de correo basura, con el 1,6% del
total

 Comenta algún caso en el que hayas recibido correo basura y cómo lo detectaste.
Colocar una imagen de algún correo basura recibido.

Bueno sin solicitar ningún tipo de información recibí en ni correo este mensaje

ANÁLISIS DE CASOS: PREVENCIÓN DE INFECCIONES

1. Lee el artículo y en vista de su contenido

Panda USB Vaccine es una sencilla herramienta de Panda Security que tiene como objetivo evitar
que nuestro ordenador se infecte por culpa de un CD/DVD o USB infectados. En primer lugar, Panda
USB Vaccine desactiva la opción de autoarranque de un disco óptico o de una memoria USB, opción
que usan muchos virus para infectar ordenadores.

Y en segundo lugar, Panda USB Vaccine “vacuna” tu llave USB para que ningún virus o malware se
aproveche de la función de autoarranque para propagarse. Se puede usar como portable si se copia
el archivo USBvaccine.exe desde la carpeta de instalación. Para utilizar Panda USB Vaccine
necesitas un sistema operativo como WinXP/2003/Vista/7.

2. Busca información sobre el malware autorun.inf. Lee sobre USB Vaccine, y conteste las
siguientes preguntas:

 Dentro de la clasificación de malware que hemos visto, ¿qué tipo de malware es el

autorun.inf? ¿Qué efecto tiene? ¿Parece inofensivo? ¿A qué tipo de sistemas operativos
afecta?

Al ser un troyano lo enbglobaria en la clasificación genérica de ladrones de información

Guía de Laboratorio Pág. 5

Delitos Informáticos

(infostealers)
Su efecto es autoejecutar el código malicioso que se la incrustado en el fichero
autorun.inf.
Es un simple troyano que a simple vista parece inofensivo pero que al entyrar en
nuestro sistema ejecutra el virus.

Windows XP, Windows Vista, Windows 7.

 ¿Qué medidas de seguridad puedes tomar?

Deshabilitar la reproducción automática para memorias USB en Windows XP.

- Tener instalado un Antivirus en línea actualizado para detectar las posibles amenazas
malware que conlleva el insertar una memoria USB en nuestro equipo.
- Instalar por último, para más seguridad, un AntiMalware, por ejemplo el Panda USB
Vaccine, cuyo objetivo es proteger nuestro equipo con una doble protección, es decir,
tenemos las opción de vacunar nuestro equipo directamente para deshabilita el
AutoRun por defecto de nuestro sistema operativo, así impedimos ya directamente al
insertar una memoria USB este infectada o no, que se ejecute cualquier tipo de
malware que contenga el USB y se propague a nuestro equipo, o, las de las memorias
USB que insertemos individualmente, así deshabilitamos el AutoRun de nuestra
memoria directamente impidiendo que puedan ser leídos, creados, modificados o
suprimidos por un código malicioso.

 ¿Qué es la desactivación de la ejecución automática? ¿Cómo se puede realizar?

Es un complemento extra en el apartado de seguridad de Windows XP. Se trata de de

desactivar el “autorun” en nuestro equipo, para que cuando insertemos un memoria
USB infectada, no extendamos el virus que contenga a nuestro equipo.

Instrucciones para desactivar la ejecución automática de las memorias USB en

Windows XP:

1. Menú Inicio > Ejecutar > escribimos gpedit.msc, pulsamos Intro.

2. Directiva de equipo local > Configuración de equipo > Plantillas adminnistrativas >
Sistema

3. En la ventana de la derecha, buscamos la configuración del sistema, "Desactivar

reproducción automática", (hacemos doble click con el botón derecho del ratón), a
continuación, señalamos la opción "Habilitar", y elegimos la opción, "Desactivar
reproducción automática en: Todas las unidades".

 Visualice el siguiente video tutorial y descubre otra forma de eliminar el malware. ¿Con
qué programa se realiza la desinfección? http://www.cristalab.com/tutoriales/como-
eliminar-virus-autorun.inf-de-un-dispositivo-usb-c76436l/

Con winrar

ESCUCHA DE PAQUETES INALÁMBRICOS

Guía de Laboratorio Pág. 6

Delitos Informáticos

3. Investiga que funciones tiene el programa Wireshark. Detalle

En las ultimas décadas las redes de datos se han convertido en una parte clave de la
infraestructura de la industria y los servicios al grado de ser ahora una necesidad para
cualquier empresa.

Esto a su vez a causado una demanda de personal con las capacidades para crear una red
nueva y mas importante aun, examinar, extender, documentar y reparar una red ya existente.

Podría parecer extraño que la habilidad mas deseable sea no el crear una red, si no el poder
mantener una red ya existente, esto tiene mas lógica de lo que parece, basta recordar que una
red solo se diseña e implementa una vez, pero las correcciones y extensiones son muy
comunes mas en una empresa que este en expansión.

Es por esto que se han desarrollado una serie de herramientas para auxiliar el análisis y
detección de problemas en una red de datos, una de ellas son los analizadores de protocolos
de red.

El objetivo de estos es proporcionar una vista al funcionamiento interno de una red al permitir
examinar el contenido de cada una de las secciones que componen el paquete en las cuales
están contenidos los parámetros bajo los cuales operan cada uno de los protocolos que
manejaron ese paquete.

Es esta la función principal del analizador de protocolos Wireshark, el capturar los paquetes
que circulan en una red y permitir su análisis a profundidad.

4. Investiga cuales son los filtros de visualización y captura más utilizados en el software Wireshark.
Explica que funcionalidad tiene cada uno.

Wireshark contempla dos tipos de Filtros. Filtros de capura y Filtros de visualización.

Los filtros de captura (Capture Filter) son los que se establecen para mostrar solo los paquetes
de cumplan los requisitos indicados en el filtro.

Los filtros de visualización (Display Filer) establecen un criterio de filtro sobre las paquetes
capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son
mas flexibles y pontentes.

5. Abrir una ventana de línea de comandos (cmd) y ejecutar el siguiente comando:

Guía de Laboratorio Pág. 7

Delitos Informáticos

 Ipconfig /flushdns

6. Ahora proceda a abrir el programa Wireshark Network Analyzer, para esto hacer clic en el botón
de Inicio, seleccionar Todos los Programas y hacer clic en el software Wireshark.

7. En la ventana del programa, seleccionar el menú Capture y seleccionar la opción Options,

aparecerá una ventana en la cual se procederá a seleccionar la conexión de red actual que se
está utilizando. Luego hacer clic en el botón Start.

8. En la ventana del programa comenzará la captura de paquetes de la red.

9. Ahora abrir una ventana de Google Chrome y colocar en la barra de direcciones la página web
www.elpueblo.com.peww e ingresar a ella.

Guía de Laboratorio Pág. 8

Delitos Informáticos

Guía de Laboratorio Pág. 9

Delitos Informáticos

10. Luego dirigirse al programa Wireshark y en la sección filtro colocar la siguiente sentencia: dns
matches "elpueblo.com.pe"

11. En la parte de resultados mostrara los paquetes que se están capturando actualmente para la
direcciona colocada en el filtro. ¿Cuál es la dirección DNS del sitio web www.elpueblo.com.pe?
Adicionar una captura de los resultados.

DNS 149.56.27.41

Guía de Laboratorio Pág. 10

Delitos Informáticos

12. Obteniendo la dirección DNS del sitio web, ahora se procederá a capturar paquetes de origen de
la dirección IP del DNS del sitio. Para esto colocar en la sección filtros el siguiente comando:
ip.src==<dirección IP>

13. En la sección de resultados aparecerán todos los paquetes de origen de la dirección IP indicada.
Ahora buscar el primer paquete de tipo HTTP

Guía de Laboratorio Pág. 11

Delitos Informáticos

14. Se procederá a seleccionar dicho paquete, luego hacer clic derecho y seleccionar la opción
Follow TCP. Aparecerá una ventana con código HTML

15. En una ventana nueva de Chrome, copiar el siguiente enlace:

http://www.lawebera.es/recursos/herramientas/probar_codigo_html.php

dns

16. En la página web mostrada, en la sección Probar código HTML, copiar el código que nos mostro
el programa Wireshark, y hacer clic en el botón Ver Resultado.

Guía de Laboratorio Pág. 12

Delitos Informáticos

17. ¿Qué es lo que aparece en la nueva ventana mostrada? Detalle.

Aparecen comandos de html

Guía de Laboratorio Pág. 13

Delitos Informáticos

18. ¿Qué otros programas tienen las mismas funciones que el software Wireshark? Menciona y
detalla cada uno.
ETHEREAL es una herramienta gráfica utilizada por los profesionales
y/o administradores de la red para identificar y analizar el tipo tráfico en un
momento determinado.

Microsoft Network Monitor es un analizador de paquetes de red gratuito y funciona en

PCs Windows. Proporciona capacidad de la red de expertos para ver todo el tráfico de red
en tiempo real en una intuitiva interfaz gráfica de usuario. Mientras tanto, puede capturar y
ver información de la red más de 300 públicos, propiedad de Microsoft y los protocolos de
red, incluyendo los paquetes de red inalámbrica.

Capsa packet Sniffer es un analizador de red de paquetes es un software gratuito para los
administradores de red para supervisar, diagnosticar y solucionar sus network.The paquete
gratis de la red la versión del analizador viene con toneladas de características, y es lo
suficientemente buena para uso doméstico, así como su uso en la pequeña empresa.

El InnoNWSniffer nombre es sinónimo de Inno Network Sniffer. La aplicación fue

desarrollada para ser un pequeño escáner de propiedad intelectual similar a la de redes
Sniffer. Puede escanear en vivo IP pública y escanear cualquier ordenador de la LAN. Más
sobre el mismo puede dar una información detallada del sistema

SniffPass es un succionador de tráfico del paquete único, que se centra en la captura de

contraseñas de tráfico de la red. Cada vez que se activa rastreadores contraseña
Sniffpass, se mantiene sobre el control de tráfico de red y tan pronto como se intercepta
una contraseña, que inmediatamente pone de manifiesto que en la pantalla. Esta es una
gran manera de encontrar las contraseñas olvidadas de sitios web.

Conclusiones:
Indicar las conclusiones que llegó después de los temas tratados de manera práctica en este
laboratorio.

Permiten identificar y analizar el tipo tráfico en un momento determinado

Wireshark, el capturar los paquetes que circulan en una red y permitir su análisis a profundidad

Guía de Laboratorio Pág. 14