I.
Introduccion
SubSeven 2.2 es un troyano del
tipo Backdoor que toma el control remoto del PC atacado sin conocimiento de su
propietario. La mayoría de las acciones posibles, también pueden pasar
inadvertidas, convirtiéndose en un verdadero ataque a la privacidad, no solo
por la capacidad de controlar un PC en forma remota, sino también por la de
obtener y alterar todo tipo de información presente en el. Para ejecutar el
servidor en la PC de la víctima, casi siempre se apela a la inocencia y
credulidad de su dueño, quien ejecuta un supuesto utilitario enviado por un
"amigo" o un desconocido, o bajado de Internet, muchas veces
disfrazado de inocente programa.
*nota: este troyano solo afecta a los windows y sin firewall ni antivirus , si se da alguno de ellos fracasaremos , y este es muy viejo es para que cojais la dinamica.Si vais a usar uno actual probar el flu.
II.
Que necesitaremos
El Troyano En Si Consta De
Cuatro Archivos:
El Servidor: Que Se Instalará En El Pc
Infectado(server.exe)
El Cliente: Desde Donde
Controlaremos El Pc Victima(subseven.exe)
Dll (librerias),Necesario Para abrir el
cliente de sub7 (Icqmapi.Dll)
El Editor Para Personalizar El
Servidor (Editserver.Exe).
III.
Requisitos
El pc victima deberá ser Microsoft Windows.
Se debe tener conexión a internet.
Y opcionalmente un canal irc y sala para conectar
con los “zombies”.
Utilizar ingeniería social para infectar a las víctimas.
1. Configuración
del trojan (sub7)
Para dar una configuración al troyano que no sea la
que viene establecida de “fabrica” debemos editar la configuración ( aunque
funcionaria igual solo que no nos avisaría cuando se conectara el servidor ) en
el editor del servicidor ( editserver.exe )
Hacemos doble click en él “.exe” y se nos abrirá
algo como esto:
Ahora editaremos la ruta desde donde se cargara el
servidor:
Y veremos algo así:
Donde podremos darle al “exe” un icono menos
sospechoso
Ahora pasaremos a la sección “startup methods”:
Donde pondremos como queremos que se ejecute el
demonio del servidor
sólo está seleccionada una opción: WIN.INI. ¿Qué
quiere decir esto?. Bien, Win.ini es un archivo que tenemos en nuestro
ordenador y que puede ser modificado para activar en el inicio de Windows
cualquier programa. Si activamos en el editor WIN.INI (como de hecho está)
entonces el servidor de Sub7 se activará cada vez que la víctima encienda su
ordenador, sin necesidad de tener que hacer doble clic sobre el servidor todos
los días.
Los otros cuatro métodos de autoinicio tienen la misma función, sólo que varían otros archivos del ordenador e incluso el registro. Usted puede seleccionar cualquiera de los cinco métodos o una combinación de varios de ellos
Los otros cuatro métodos de autoinicio tienen la misma función, sólo que varían otros archivos del ordenador e incluso el registro. Usted puede seleccionar cualquiera de los cinco métodos o una combinación de varios de ellos
Hecho esto pasaremos a configurar “notifications
options” esto sirve para que nos avise por distintos métodos que se inicio el
demonio de sub7.
v
"victim name": Este es el nombre de la
víctima que aparecerá cuando Usted entre en su ordenador con el cliente.
v
"enable ICQ notify to UIN": Aquí hemos
de poner nuestra UIN. La UIN es nuestra
cuenta de ICQ. Cuando nos asociamos a ICQ, nos dan un número que es el
que aquí hemos de poner para que el troyano nos comunique mediante ICQ que está
activo
v
“enable irc notify": necesitas configurar
un canal y una sala para que se conecte y añadir por supuesto contraseña al
canal.
v
“enable e-mail notify": La última
notificación apunta hacia su cuenta de correo electrónico.
Pasemos
ahora a "Installation" y fijémonos en esta parte de la pantalla:
v "automatically
start server on port:": Esto es muy importante editarlo bien porque si no
lo hacemos así, luego no sabremos cómo conectar con el servidor. Éste es el
puerto de escucha del servidor que por defecto es el 27374.
v "use
random port". Esto quiere decir que cada vez que la víctima se conecte el
puerto varía al azar, así que puede ser cualquier número desde 0 a 65535. Si el
notificador no nos indica el número del puerto al azar, es materialmente
imposible adivinarlo, a menos que le pasemos a la ip un detector de puertos
puesto a todos sin excepción.
v "server
password" podemos introducir una clave para que sólo nosotros podamos
acceder al ordenador de la víctima y así evitemos que otra persona acceda
también.
v En
"enable IRC Bot" no marque nada si no sabe nada de IRC (no es
necesario marcar esta casilla) y qué son los bots. En caso contrario, pulse
sobre "Bots Settings" y configure el bot a su gusto.
v "server
name". Éste es el nombre con el que actuará silente el servidor del
troyano una vez que se instale en el ordenador de la víctima. No uses “randon
name” pues los nombres que genera son del tipo ” kpsfkcvb ”, y por poco
avispada que sea la victima si ve ese proceso duda.
v Esta
función es interesante puesto que eliminará el servidor una vez se haya
instalado y sólo dejará el archivo que antes nombramos como gestión de procesos.exe
en el ejemplo. Si no marcamos la opción entonces no eliminará el archivo
original. Es decir, infecta y desaparece, o puedes no marcarlo y dejar que
permanezca.
v "enable
fake error message" podemos optar por marcar la casilla para que el
troyano intente engañar a la víctima en la primera ejecución. Señalemos la
casilla y pulsemos el botón "configure". Esto es lo que vemos:
Y esto vería nuestra víctima:
Captura
desde un Windows 98
v
"bind server with EXE file" sirve para
adjuntar un archivo EXE con el server. Vamos a pulsar sobre "browse".
Y a continuación coges el archivo tomado como anzuelo y ya está. Al final
tendrá en un solo archivo el servidor y el archivo inofensivo, por lo que al
hacer click en el la victima vera la aplicación sin sospechas.
v
“protect server” Si "protect server so it
can´t be edited/changed", ya estaremos seguros de que sólo nosotros
accederemos a los datos personales del editor. Acto seguido Usted deberá
indicar una clave de acceso al servidor rellenando el campo "password"
y repitiendo la misma clave en el campo "reenter". No confunda esta
clave con la clave de acceso al servidor mediante el cliente que antes ya
explicamos
Ilustración 1 sin clicar la pestaña de opciones de protección
del servidor.
Ilustración 2 clicada la pestaña de opciones de protección
del servidor.
v "close
EditServer after saving or updating settings", entonces el editor se
cerrará automáticamente cuando Usted haya finalizado con la edición del
servidor. En caso de que Usted no señalara esta casilla, tendría que cerrar el
editor manualmente.
Abajo tiene tres posibilidades. Si pulsa "save new settings", todo lo que ha editado se grabará directamente sobre el archivo server.exe que se encuentra en su carpeta de Sub7. Si pulsa "save a new copy of the server with the new settings", entonces todos los datos de configuración irán a un nuevo servidor que Usted tendrá que nombrar y guardar (server.exe en este caso permanece inalterado). Si Usted decide pulsar "quit without saving" entonces saldrá del editor sin grabar los datos de configuración en el servidor.
Abajo tiene tres posibilidades. Si pulsa "save new settings", todo lo que ha editado se grabará directamente sobre el archivo server.exe que se encuentra en su carpeta de Sub7. Si pulsa "save a new copy of the server with the new settings", entonces todos los datos de configuración irán a un nuevo servidor que Usted tendrá que nombrar y guardar (server.exe en este caso permanece inalterado). Si Usted decide pulsar "quit without saving" entonces saldrá del editor sin grabar los datos de configuración en el servidor.
2.
Funcionamiento
Vamos a ver cómo
podríamos abrir la disquetera de la víctima , poner mensajes
por línea de comandos.
Abrimos el subseven.exe
y conectaremos con el usuario y contraseña que pusimos para entrar y el usuario
y contraseña para encontrar el demonio del servidor(solo si activaste esta
opción.)
1.
Poner mensajes por línea de comandos ir a > keys/messages > matrix
2.
Modificar el fileserver.exe remotamente > connections
> server options y hay hacer lo que
quieras con el fichero cambiar el puerto, remover el servidor….
3. Montar servidor ftp con el directorio a elegir en “root folder “
La configuración
quedaría como está indicado arriba y para entrar al servidor solamente debemos
introducir los datos que proporcionamos en un cliente ftp o atraves de: ftp://passwd:passwd@192.168.1.66:21
Y esto es lo que veremos
nosotros si nos conectamos al ftp:
