10 dic 2011
Regreso al presente
Hola, he estado fuera un tiempo. no se preocupen si tardo en contestar los mensajes o en añadir nuevas entradas. El blog no está abandonado.
10 mar 2011
AVZ antiviral toolkit
No suelo usar antivirus, aunque algunas veces lo haga para hacer pruebas más que para proteger mi equipo de posibles amenazas. Buscando por la web me encontré con un antivirus que me ha gustado mucho por varias cosas, es gratuito (de momento), se actualiza con frecuencia, y tiene varias opciones que otros AV no tienen o al menos no muestran.
La página oficial de este AV es http://z-oleg.com/
La herramienta está diseñada principalmente para eliminar adware y spyware aunque se comporta bien en la detección de troyanos y sobre todo de keyloggers.
También es capaz de detectar rootkits.
Y lo mejor de todo es que tiene un módulo de desinfección bastante avanzado.
No requiere de instalación por lo que es ideal para llevar en una memoria USB.
Descargar AVZ antiviral toolkit.
Este programa además permite la creación y uso de plugins, puede descargar de aquí el editor de scripts para hacer plugins, y de aquí un plugin oficial para el programa de correo TheBat.
El programa pertenece a Kaspersky, firma comercial bastante popular en el tema de los AV.
Pronto publicaré un análisis de este programa mostrando como se comporta ante amenazas comunes que podemos encontrarnos en internet.
Aquí tienen una captura de la interface del programa:
No es una herramienta recomendada para los usuarios de a pie, está pensada más bien para profesionales de la seguridad pues tiene un comportamiento bastante paranóico y es facil obtener falsos positivos (por ejemplo detecta los hooks que hacen los firewalls personales y los AV) por lo que a mi personalmente me ha resultado una herramienta muy interesante y desde aquí les invito a probarla.
La página oficial de este AV es http://z-oleg.com/
La herramienta está diseñada principalmente para eliminar adware y spyware aunque se comporta bien en la detección de troyanos y sobre todo de keyloggers.
También es capaz de detectar rootkits.
Y lo mejor de todo es que tiene un módulo de desinfección bastante avanzado.
No requiere de instalación por lo que es ideal para llevar en una memoria USB.
Descargar AVZ antiviral toolkit.
Este programa además permite la creación y uso de plugins, puede descargar de aquí el editor de scripts para hacer plugins, y de aquí un plugin oficial para el programa de correo TheBat.
El programa pertenece a Kaspersky, firma comercial bastante popular en el tema de los AV.
Pronto publicaré un análisis de este programa mostrando como se comporta ante amenazas comunes que podemos encontrarnos en internet.
Aquí tienen una captura de la interface del programa:
No es una herramienta recomendada para los usuarios de a pie, está pensada más bien para profesionales de la seguridad pues tiene un comportamiento bastante paranóico y es facil obtener falsos positivos (por ejemplo detecta los hooks que hacen los firewalls personales y los AV) por lo que a mi personalmente me ha resultado una herramienta muy interesante y desde aquí les invito a probarla.
5 mar 2011
Antivirus y firmas
Hace tiempo que quería publicar un documento que explique someramente como se crean las firmas para los antivirus. Es un tema complejo e interesante, los antivirus salvo excepciones no son dados a promulgar sus técnicas al común, ya sea por motivos de seguridad o por motivos económicos.
En este pequeño artículo voy a resumir las técnicas empleadas por los antivirus para la creación de firmas, dejando a un lado las detecciones por heurística.
Si no tienes ni idea de que es una firma puedes empezar leyendo aquí.
Las firmas de los antivirus forman en su conjunto una base de datos que el antivirus emplea para identificar ficheros peligrosos, cuando un antivirus escanea un archivo en busca de virus o troyanos lo que hace es buscar unos patrones o firmas en los archivos, estos patrones o firmas han sido construidos previamente tras el análisis en laboratorio del virus o troyano en cuestión.
Veamos paso a paso como generar una de estas firmas, tal como lo harían en un laboratorio antivirus, aprendiendo así un poco más sobre el funcionamiento de estos programas.
Lo primero que hace el antivirus al analizar un archivo es determinar el formato de dicho archivo, es decir, identificar el archivo como un EXE, una DLL, un BAT, un .COM etc. pues dependiendo del tipo de archivo nuestro antivirus trabajará de forma diferente.
Imaginemos que el antivirus va a analizar un archivo .exe y que ha determinado que su estructura corresponde con PE (portable ejecutable), una vez que el antivirus sabe que estructura debe tener el archivo entonces pasará a realizar un análisis de dicha estructura.
Por ejemplo tratará de determinar la información básica de todo PE como su Entry Point, el número de secciones, la TimeDateStamp, la ImageBase, y todos los datos básicos que están definidos dentro del propio archivo.
Después analizará todas sus secciones, buscando cualquier indicio de que el archivo está empacado para tratar de desempacarlo. Si logra desempacar el archivo el análisis continuará entonces sobre el archivo desempacado y no sobre el original, de manera que repetirá todas las acciones desde el principio (tipo de archivo, análisis de sus secciones y cabecera, etc.).
Si no logra desempacarlo entonces el análisis se seguirá realizando sobre el archivo empacado.
Algunos antivirus comprueban también si el archivo está unido a otros archivos (bindeado) o si contiene dentro otro archivo (por ejemplo como recurso). Si determinan que esto está sucediendo entonces separan los archivos y los analizan desde el principio por separado.
Igual hacen con los archivos encriptados, si detectan el tipo de crypter tratarán de descifrar el archivo para analizarlo sin el cifrado.
Si no fueran capaces de desempacar, descifrar, separar, entonces los del laboratorio pondrán las firmas al archivo empacado, cifrado, unido.
Este proceso de desempacado lo puede realizar el antivirus automáticamente, o lo realizan manualmente en el laboratorio al analizar las muestras.
Ahora veremos las soluciones más sencillas que se han implementado para crear firmas para los antivirus:
Checksum MD5
Tan sencillo como calcular el MD5 del archivo. Es un método sencillo pero muy facil de romper. Con tan solo cambiar un byte del archivo original conseguiremos que el antivirus no detecte nada. Por lo que nuestro antivirus nunca puede usar este método de manera exclusiva.
Comparando la suma de comprobación original con la obtenida al analizar el archivo podemos comprobar si es o no el mismo archivo. Como digo esta técnica es muy floja pero es la más básica.
Existen otros algoritmos ampliamente extendidos que se emplean igual que MD5, como SHA o CRC.
Para que este método sea algo más efectivo es preferible basar la firma no en la suma de comprobación del fichero completo sino de algunas de sus partes, por ejemplo de alguna de sus secciones.
Firmas del cuerpo
En estas firmas lo que hacemos es crear firmas en formato hexadecimal, una firma sería una cadena de números hexadecimales tomados del cuerpo del archivo analizado. Esa cadena puede buscarse en todo el cuerpo o en una posición específica representada por EOF - n donde EOF es el final del archivo y n el número de bytes que debemos retroceder para buscar la cadena. Aunque pueden usarse otras referencias para marcar la posición como EP + n o cualquier cosa que se les ocurra.
Pueden obtenerse varias firmas del archivo y realizar operaciones con ellas, por ejemplo comprobar que existen 2 ó más firmas, si no existe alguna, determinar que existe un número concreto de secciones para buscar las firmas en el cuerpo, etc.
Firmas en los recursos
Algunos archivos maliciosos siempre tienen por ejemplo el mismo icono, por lo que puede analizarse tanto la suma de comprobación del recurso como una cadena hexadecimal del mismo. Esta es una sección predefinida llamada .rcrs
Firmas en los metadatos
Los metadatos de un archivo PE están en un lugar específico de los archivos, en los recursos del archivo y se localizan con el nombre VS_VERSION_INFORMATION donde podemos extraer información valiosa para identificar el archivo.
Nuevamente podemos emplear una suma de comprobación o una cadena de números hexadecimales.
Como ven no sería muy complicado crear nuestro propio antivirus que realice un escaneo bajo demanda del usuario y mediante una base de datos de firmas comprobar si el archivo es malware o no. Y por supuesto un buen método combinado de sumas de comprobación y firmas en el cuerpo de los virus.
Incluso sería buena idea dotarlo de firmas blancas, es decir, firmas que aseguren que no es un virus.
La mejor manera de elegir firmas del cuerpo del virus es analizándolo con un depurador como el Olly Debugger y buscando aquellas rutinas propias de un virus, troyano o lo que sea el malware en cuestión.
Los antivirus actuales emplean más tipos de análisis, pues el análisis estático no es del todo eficaz debido a las múltiples modificaciones que se le pueden hacer a los archivos. Por ello tienen firmas referidas al comportamiento del programa, de modo que analizando sus acciones (en una especie de sandbox o entorno seguro) determinan si el programa es potencialmente peligroso.
Y aquí termino. No es mucho, pero son ideas que pueden servir para entender un poco los antivirus.
En este pequeño artículo voy a resumir las técnicas empleadas por los antivirus para la creación de firmas, dejando a un lado las detecciones por heurística.
Si no tienes ni idea de que es una firma puedes empezar leyendo aquí.
Las firmas de los antivirus forman en su conjunto una base de datos que el antivirus emplea para identificar ficheros peligrosos, cuando un antivirus escanea un archivo en busca de virus o troyanos lo que hace es buscar unos patrones o firmas en los archivos, estos patrones o firmas han sido construidos previamente tras el análisis en laboratorio del virus o troyano en cuestión.
Veamos paso a paso como generar una de estas firmas, tal como lo harían en un laboratorio antivirus, aprendiendo así un poco más sobre el funcionamiento de estos programas.
Lo primero que hace el antivirus al analizar un archivo es determinar el formato de dicho archivo, es decir, identificar el archivo como un EXE, una DLL, un BAT, un .COM etc. pues dependiendo del tipo de archivo nuestro antivirus trabajará de forma diferente.
Imaginemos que el antivirus va a analizar un archivo .exe y que ha determinado que su estructura corresponde con PE (portable ejecutable), una vez que el antivirus sabe que estructura debe tener el archivo entonces pasará a realizar un análisis de dicha estructura.
Por ejemplo tratará de determinar la información básica de todo PE como su Entry Point, el número de secciones, la TimeDateStamp, la ImageBase, y todos los datos básicos que están definidos dentro del propio archivo.
Después analizará todas sus secciones, buscando cualquier indicio de que el archivo está empacado para tratar de desempacarlo. Si logra desempacar el archivo el análisis continuará entonces sobre el archivo desempacado y no sobre el original, de manera que repetirá todas las acciones desde el principio (tipo de archivo, análisis de sus secciones y cabecera, etc.).
Si no logra desempacarlo entonces el análisis se seguirá realizando sobre el archivo empacado.
Algunos antivirus comprueban también si el archivo está unido a otros archivos (bindeado) o si contiene dentro otro archivo (por ejemplo como recurso). Si determinan que esto está sucediendo entonces separan los archivos y los analizan desde el principio por separado.
Igual hacen con los archivos encriptados, si detectan el tipo de crypter tratarán de descifrar el archivo para analizarlo sin el cifrado.
Si no fueran capaces de desempacar, descifrar, separar, entonces los del laboratorio pondrán las firmas al archivo empacado, cifrado, unido.
Este proceso de desempacado lo puede realizar el antivirus automáticamente, o lo realizan manualmente en el laboratorio al analizar las muestras.
Ahora veremos las soluciones más sencillas que se han implementado para crear firmas para los antivirus:
Checksum MD5
Tan sencillo como calcular el MD5 del archivo. Es un método sencillo pero muy facil de romper. Con tan solo cambiar un byte del archivo original conseguiremos que el antivirus no detecte nada. Por lo que nuestro antivirus nunca puede usar este método de manera exclusiva.
Comparando la suma de comprobación original con la obtenida al analizar el archivo podemos comprobar si es o no el mismo archivo. Como digo esta técnica es muy floja pero es la más básica.
Existen otros algoritmos ampliamente extendidos que se emplean igual que MD5, como SHA o CRC.
Para que este método sea algo más efectivo es preferible basar la firma no en la suma de comprobación del fichero completo sino de algunas de sus partes, por ejemplo de alguna de sus secciones.
Firmas del cuerpo
En estas firmas lo que hacemos es crear firmas en formato hexadecimal, una firma sería una cadena de números hexadecimales tomados del cuerpo del archivo analizado. Esa cadena puede buscarse en todo el cuerpo o en una posición específica representada por EOF - n donde EOF es el final del archivo y n el número de bytes que debemos retroceder para buscar la cadena. Aunque pueden usarse otras referencias para marcar la posición como EP + n o cualquier cosa que se les ocurra.
Pueden obtenerse varias firmas del archivo y realizar operaciones con ellas, por ejemplo comprobar que existen 2 ó más firmas, si no existe alguna, determinar que existe un número concreto de secciones para buscar las firmas en el cuerpo, etc.
Firmas en los recursos
Algunos archivos maliciosos siempre tienen por ejemplo el mismo icono, por lo que puede analizarse tanto la suma de comprobación del recurso como una cadena hexadecimal del mismo. Esta es una sección predefinida llamada .rcrs
Firmas en los metadatos
Los metadatos de un archivo PE están en un lugar específico de los archivos, en los recursos del archivo y se localizan con el nombre VS_VERSION_INFORMATION donde podemos extraer información valiosa para identificar el archivo.
Nuevamente podemos emplear una suma de comprobación o una cadena de números hexadecimales.
Como ven no sería muy complicado crear nuestro propio antivirus que realice un escaneo bajo demanda del usuario y mediante una base de datos de firmas comprobar si el archivo es malware o no. Y por supuesto un buen método combinado de sumas de comprobación y firmas en el cuerpo de los virus.
Incluso sería buena idea dotarlo de firmas blancas, es decir, firmas que aseguren que no es un virus.
La mejor manera de elegir firmas del cuerpo del virus es analizándolo con un depurador como el Olly Debugger y buscando aquellas rutinas propias de un virus, troyano o lo que sea el malware en cuestión.
Los antivirus actuales emplean más tipos de análisis, pues el análisis estático no es del todo eficaz debido a las múltiples modificaciones que se le pueden hacer a los archivos. Por ello tienen firmas referidas al comportamiento del programa, de modo que analizando sus acciones (en una especie de sandbox o entorno seguro) determinan si el programa es potencialmente peligroso.
Y aquí termino. No es mucho, pero son ideas que pueden servir para entender un poco los antivirus.
4 mar 2011
Hacking para novatos (parte 2)
Tienes los dedos echando humo y quieres aporrear las teclas para atravesar el ciberespacio de lado a lado, quieres codearte con los grandes hackers de Internet, lograr el acceso a supercomputadoras del gobierno, tener el control... Pues bien, en este capítulo vas a comprobar por tí mismo de que pasta estás hecho. Porque este capítulo es pura práctica.
Antes de empezar tengo que advertirte, si no logras hacer lo que expongo aquí en el manual quizá sea mejor que te busques otra afición más acorde con tus intereses y con tu espíritu.
Lo que vamos a ver hoy no es facil, así que probablemente necesites muchas horas de prueba para lograr algo, pero oye nadie dijo que el hacking fuera facil. No te desesperes y aprovecha la oportunidad que te brindo, el conocimiento es como las plantas, sin agua y abono no crece. Procura practicar por tu cuenta.
Bien, ya estás advertido, es la hora del hacking.
El hacking es emocionante, y lo más emocionante del hacking es lograr acceder a otra computadora a través de Internet, y eso es lo que vamos a ver aquí. Voy a explicarte como lograr acceso completamente legal a un sistema remoto que corre el sistema operativo de los hackers, el UNIX.
Hay muchos hackers ahí fuera a los que les gustaría que tu fueras parte de su mundo, por ello ponen a tu disposición sistemas informáticos avanzados para que los uses de manera gratuita y aprendas todo lo necesario. Uno de estos sistemas es el Super Dimension Fortress, una red de hackers que funciona sin ánimo de lucro. Cuentan con muy buenos equipos informáticos aunque empezó todo con un solo ordenador conectado a Internet, ahora cuentan con 8 servidores con procesadores de 64 bits corriendo el sistema operativo NetBSD, y proporcionan acceso gratuito a sus sistemas. Sí, acceso gratuito a sus sistemas.
Su página web es sdf.lonestar.org y allí tienes un montón de información para estar leyendo durante horas, días, semanas e incluso meses. Pero yo te voy a facilitar las cosas, voy a enseñarte como crear una cuenta allí para que puedas acceder a sus equipos remotamente, desde tu casa, y puedas usar toda la potencia de esas supercomputadoras.
Una vez que entres en su página debes pinchar en el enlace que te muestro en la foto, donde dice free shell account:
Una vez que accedes a ese enlace se muestran las instrucciones a seguir dependiendo del sistema operativo que utilices:
Resumiendo un poco, si usas Mac tienes un enlace para acceder, si usas Windows tienes también un enlace que funciona con Java, y si usas Linux solo tienes que escribir en la consola
En el supuesto de que uses Windows te recomiendo que descargues de internet un cliente ssh llamado putty que facilitará las cosas, es mucho mejor que usar el cliente de Java, en serio.
Antes de continuar debes saber que es ssh, porque es lo que vamos a usar para conectarnos a la computadora remotamente.
SSH es el nombre de un protocolo y del programa que implementa este protocolo, la particularidad principal de ssh es que la información entre tu máquina y la máquina remota a la que te conectes viajará cifrada. Hace muchos años se usaba otro protocolo llamado Telnet que ha ido dejando de usarse porque la conexión no era cifrada y todos los datos viajaban en texto plano. Sí, tus passwords cuando viajan a través de Telnet van sin cifrar y cualquiera que tenga interes puede monitorizar todo lo que envias y recibes por Telnet, incluso tu password. Por eso en este tutorial usaremos ssh, para lograr una conexión segura.
¿Demasiado para ser la primera vez?, jaja, agarrate ahora.
Yo recomiendo usar Linux, pero las instrucciones se aplican igual en cualquier sistema, si usas Windows recuerda usar putty como cliente. No voy a poner un manual de putty pero es un programa muy intuitivo que no te costará ningún trabajo usar.
Bien, entonces lo que hay que hacer es conectarse por ssh a sdf.org, para ello en linux abrimos una consola de comandos y escribimos "ssh new@sdf.org" y nos conectamos. El servidor irá dandonos una serie de instrucciones en ingles para completar todo el proceso.
Nada mas conectarnos el cliente ssh nos dirá que la autenticidad del host no puede ser establecida, lo que es lógico pues nunca antes nos habíamos conectado a él, nos pregunta si queremos continuar y le decimos yes.
Ahora nos dice que vamos a conectarnos a NEWUSER mkacct server, que es el servidor encargado de crear nuevas cuentas. Todo esto sale solo a la hora de crearnos la cuenta. Una vez creada podremos conectarnos solo con el nombre de usuario y el password.
Cuando aparezca la palabra RETURN quiere decir que para continuar hay que darle al enter.
Nos conecta automáticamente al servidor que se encarga de atender a los novatos, y nos dice que como login empleemos new. Para que el servidor sepa que somos novatos.
Nos irá haciendo una serie de preguntas tales como si usamos Windows XP o 2K, cual es nuestra tecla de "backspace" (borrar un espacio), y otras cosas:
Y llegaremos a la parte en la que nos creará nuestro usuario, comprobará que no existe ningún otro usuario con el mismo nombre, y nos pedirá que elijamos un password para ese usuario.
De nombre de usuario he elegido "yoyo" y el sistema me ha contestado que está libre:
Nos mostrará las normas del sistema al que vamos a acceder:
Nos hará otra seríe de preguntas ya para ir finalizando:
Y una vez finalizado nos mostrará todos los datos de la cuenta que vamos a crear:
Una vez creada la cuenta accederemos al sistema, nos mostrará un dibujo ascii de la luna:
Y ya tenemos nuestra cuenta creada en el sistema, es hora de descubrir todas las sorpresas que nos aguardan.
Ten en cuenta que el sistema al que estás accediendo está ahí para que tu aprendas de él, su finalidad es enseñarte. Y ponen a tu disposición una cuenta shell gratuita.
Todo hacker empieza sus correrías practicando en cuenta shell como esta, te aseguro que tienes para divertirte y aprender durante mucho tiempo en ese sistema. Tu cuenta shell gratuita tiene una fecha de caducidad que actualmente está en 365 días, pero que puede variar según la cantidad de usuarios nuevos que se registren.
Y aquí termina la segunda parte, pero volveremos con mucho más. Diviertete en tu cuenta shell.
Para salir escribe "logout", y para volver a conectarte "ssh tulogin@sdf.org".
Antes de empezar tengo que advertirte, si no logras hacer lo que expongo aquí en el manual quizá sea mejor que te busques otra afición más acorde con tus intereses y con tu espíritu.
Lo que vamos a ver hoy no es facil, así que probablemente necesites muchas horas de prueba para lograr algo, pero oye nadie dijo que el hacking fuera facil. No te desesperes y aprovecha la oportunidad que te brindo, el conocimiento es como las plantas, sin agua y abono no crece. Procura practicar por tu cuenta.
Bien, ya estás advertido, es la hora del hacking.
El hacking es emocionante, y lo más emocionante del hacking es lograr acceder a otra computadora a través de Internet, y eso es lo que vamos a ver aquí. Voy a explicarte como lograr acceso completamente legal a un sistema remoto que corre el sistema operativo de los hackers, el UNIX.
Hay muchos hackers ahí fuera a los que les gustaría que tu fueras parte de su mundo, por ello ponen a tu disposición sistemas informáticos avanzados para que los uses de manera gratuita y aprendas todo lo necesario. Uno de estos sistemas es el Super Dimension Fortress, una red de hackers que funciona sin ánimo de lucro. Cuentan con muy buenos equipos informáticos aunque empezó todo con un solo ordenador conectado a Internet, ahora cuentan con 8 servidores con procesadores de 64 bits corriendo el sistema operativo NetBSD, y proporcionan acceso gratuito a sus sistemas. Sí, acceso gratuito a sus sistemas.
Su página web es sdf.lonestar.org y allí tienes un montón de información para estar leyendo durante horas, días, semanas e incluso meses. Pero yo te voy a facilitar las cosas, voy a enseñarte como crear una cuenta allí para que puedas acceder a sus equipos remotamente, desde tu casa, y puedas usar toda la potencia de esas supercomputadoras.
Una vez que entres en su página debes pinchar en el enlace que te muestro en la foto, donde dice free shell account:
Una vez que accedes a ese enlace se muestran las instrucciones a seguir dependiendo del sistema operativo que utilices:
Resumiendo un poco, si usas Mac tienes un enlace para acceder, si usas Windows tienes también un enlace que funciona con Java, y si usas Linux solo tienes que escribir en la consola
ssh new@sdf.orgpara conectarte.
En el supuesto de que uses Windows te recomiendo que descargues de internet un cliente ssh llamado putty que facilitará las cosas, es mucho mejor que usar el cliente de Java, en serio.
Antes de continuar debes saber que es ssh, porque es lo que vamos a usar para conectarnos a la computadora remotamente.
SSH es el nombre de un protocolo y del programa que implementa este protocolo, la particularidad principal de ssh es que la información entre tu máquina y la máquina remota a la que te conectes viajará cifrada. Hace muchos años se usaba otro protocolo llamado Telnet que ha ido dejando de usarse porque la conexión no era cifrada y todos los datos viajaban en texto plano. Sí, tus passwords cuando viajan a través de Telnet van sin cifrar y cualquiera que tenga interes puede monitorizar todo lo que envias y recibes por Telnet, incluso tu password. Por eso en este tutorial usaremos ssh, para lograr una conexión segura.
¿Demasiado para ser la primera vez?, jaja, agarrate ahora.
Yo recomiendo usar Linux, pero las instrucciones se aplican igual en cualquier sistema, si usas Windows recuerda usar putty como cliente. No voy a poner un manual de putty pero es un programa muy intuitivo que no te costará ningún trabajo usar.
Bien, entonces lo que hay que hacer es conectarse por ssh a sdf.org, para ello en linux abrimos una consola de comandos y escribimos "ssh new@sdf.org" y nos conectamos. El servidor irá dandonos una serie de instrucciones en ingles para completar todo el proceso.
Nada mas conectarnos el cliente ssh nos dirá que la autenticidad del host no puede ser establecida, lo que es lógico pues nunca antes nos habíamos conectado a él, nos pregunta si queremos continuar y le decimos yes.
Ahora nos dice que vamos a conectarnos a NEWUSER mkacct server, que es el servidor encargado de crear nuevas cuentas. Todo esto sale solo a la hora de crearnos la cuenta. Una vez creada podremos conectarnos solo con el nombre de usuario y el password.
Cuando aparezca la palabra RETURN quiere decir que para continuar hay que darle al enter.
Nos conecta automáticamente al servidor que se encarga de atender a los novatos, y nos dice que como login empleemos new. Para que el servidor sepa que somos novatos.
Nos irá haciendo una serie de preguntas tales como si usamos Windows XP o 2K, cual es nuestra tecla de "backspace" (borrar un espacio), y otras cosas:
Y llegaremos a la parte en la que nos creará nuestro usuario, comprobará que no existe ningún otro usuario con el mismo nombre, y nos pedirá que elijamos un password para ese usuario.
De nombre de usuario he elegido "yoyo" y el sistema me ha contestado que está libre:
Nos mostrará las normas del sistema al que vamos a acceder:
Nos hará otra seríe de preguntas ya para ir finalizando:
Y una vez finalizado nos mostrará todos los datos de la cuenta que vamos a crear:
Una vez creada la cuenta accederemos al sistema, nos mostrará un dibujo ascii de la luna:
Y ya tenemos nuestra cuenta creada en el sistema, es hora de descubrir todas las sorpresas que nos aguardan.
Ten en cuenta que el sistema al que estás accediendo está ahí para que tu aprendas de él, su finalidad es enseñarte. Y ponen a tu disposición una cuenta shell gratuita.
Todo hacker empieza sus correrías practicando en cuenta shell como esta, te aseguro que tienes para divertirte y aprender durante mucho tiempo en ese sistema. Tu cuenta shell gratuita tiene una fecha de caducidad que actualmente está en 365 días, pero que puede variar según la cantidad de usuarios nuevos que se registren.
Y aquí termina la segunda parte, pero volveremos con mucho más. Diviertete en tu cuenta shell.
Para salir escribe "logout", y para volver a conectarte "ssh tulogin@sdf.org".
3 mar 2011
Hacking para novatos (parte 1)
Aquí tienes una guía de hacking para novatos, aprendices, primerizos y despistados. Con esta guía no conseguirás entrar en los ordenadores del Pentágono, cosa que algunas veces ha resultado trivial, pero sí obtendrás una serie de conocimientos que te permitirán comprender qué cosa es el hacking.
Si estás aquí leyendo es porque el hacking te interesa en algún sentido, tal vez has visto la última película de hackers y te has emocionado hasta el punto de querer convertirte en uno. O quizá eres estudiante de informática y tu profe te ha encargado hacer un trabajo sobre las diferentes tribus que habitan en internet. Incluso puede que seas un profe que busca algo de información para explicar claramente a sus alumnos qué son los hackers y qué hacen.
Tal vez solo buscas un poco de diversión, impresionar a tus amigos o conseguir una cita. No importa. Lo que importa es que quieres aprender técnicas de hacking, quieres ser un hacker. Pues vamos a ello.
El hacking es un juego emocionante que deja de ser divertido cuando te detienen, entran en tu casa y se llevan tu ordenador, y terminas en un juicio donde te condenan a un par de años de carcel y a pagar una indemnización millonaria. Por suerte el hacking no siempre va contra la ley.
Has leido bien, puedes hacer hacking legal, hacking ético, puedes aprender sin molestar. Todo lo que vas a aprender aquí es legal. No debes aprender hacking para dañar ordenadores y robar información. Esta guía de hacking para novatos trata de transmitir interes por una afición sana, también es educación gratuita que te servirá para conocer mejor los ordenadores.
La cultura hacker cuenta también con un aspecto oscuro y prohibido, pero te aconsejo que no tires por ese camino si no quieres terminar en la carcel. En ocasiones la línea es muy fina y puede ser tentador sobrepasarla. Cuando tengas dudas sobre si debes o no hacer algo pregúntate si te gustaría que te lo hicieran a ti.
Por último, antes de empezar, has de saber que hay muchos foros de hacking donde puedes crearte una cuenta y preguntar tus dudas, aunque si entras allí y dices: "quiero ser un hacker ayudenme a empezar" lo único que obtendrás serán burlas. En los foros de hacking tus preguntas han de ser muy concretas y técnicas, así será como obtengas las mejores respuestas.
Y hasta aquí llega la primera parte.
Si estás aquí leyendo es porque el hacking te interesa en algún sentido, tal vez has visto la última película de hackers y te has emocionado hasta el punto de querer convertirte en uno. O quizá eres estudiante de informática y tu profe te ha encargado hacer un trabajo sobre las diferentes tribus que habitan en internet. Incluso puede que seas un profe que busca algo de información para explicar claramente a sus alumnos qué son los hackers y qué hacen.
Tal vez solo buscas un poco de diversión, impresionar a tus amigos o conseguir una cita. No importa. Lo que importa es que quieres aprender técnicas de hacking, quieres ser un hacker. Pues vamos a ello.
El hacking es un juego emocionante que deja de ser divertido cuando te detienen, entran en tu casa y se llevan tu ordenador, y terminas en un juicio donde te condenan a un par de años de carcel y a pagar una indemnización millonaria. Por suerte el hacking no siempre va contra la ley.
Has leido bien, puedes hacer hacking legal, hacking ético, puedes aprender sin molestar. Todo lo que vas a aprender aquí es legal. No debes aprender hacking para dañar ordenadores y robar información. Esta guía de hacking para novatos trata de transmitir interes por una afición sana, también es educación gratuita que te servirá para conocer mejor los ordenadores.
La cultura hacker cuenta también con un aspecto oscuro y prohibido, pero te aconsejo que no tires por ese camino si no quieres terminar en la carcel. En ocasiones la línea es muy fina y puede ser tentador sobrepasarla. Cuando tengas dudas sobre si debes o no hacer algo pregúntate si te gustaría que te lo hicieran a ti.
Por último, antes de empezar, has de saber que hay muchos foros de hacking donde puedes crearte una cuenta y preguntar tus dudas, aunque si entras allí y dices: "quiero ser un hacker ayudenme a empezar" lo único que obtendrás serán burlas. En los foros de hacking tus preguntas han de ser muy concretas y técnicas, así será como obtengas las mejores respuestas.
Y hasta aquí llega la primera parte.
15 feb 2011
Rat Detector v1.0
Este programa escrito por BUGGz en Delphi sirve para detectar si tenemos instalado alguno de los siguientes troyanos:
Bifrost 1.0.1.1
Bifrost 1.0.1.2
ProRat 1.9
ProRat 1.9 SE
Optix Lite Firewall Bypass
Nuclear Rat 7
El programa es detectado por:
Lógicamente se trata de un falso positivo así que no se asusten.
Este programa no limpia la infección. Solo nos advierte de ella.
Pinchando en las distintas pestañas el programa nos mostrará si estamos infectados por alguno de esos troyanos. En la siguiente imagen vemos que indica que estamos limpios del bifrost:
En la siguiente captura vemos como se mostraría una infección, en este caso el ordenador está infectado por el ProRat:
Descarga Rat Detector.
Bifrost 1.0.1.1
Bifrost 1.0.1.2
ProRat 1.9
ProRat 1.9 SE
Optix Lite Firewall Bypass
Nuclear Rat 7
El programa es detectado por:
Lógicamente se trata de un falso positivo así que no se asusten.
Este programa no limpia la infección. Solo nos advierte de ella.
Pinchando en las distintas pestañas el programa nos mostrará si estamos infectados por alguno de esos troyanos. En la siguiente imagen vemos que indica que estamos limpios del bifrost:
En la siguiente captura vemos como se mostraría una infección, en este caso el ordenador está infectado por el ProRat:
Descarga Rat Detector.
14 feb 2011
BATCH-O-MATIC v7.6
Hoy traigo un viejo generador de virus batch (del año 2003), escrito por SAD1c en C++. El programa está bastante completo y nos permite configurar muchas funciones del virus, al final creará un archivo que podemos abrir con un editor de texto para ver el código del virus.
Es un programa muy útil si estás aprendiendo a escribir virus en batch ya que podrás sacar un montón de ideas de los distintos códigos que genera BATCH-O-MATIC.
Al abrir el programa esto es lo que vemos:
En la parte superior izquierda tenemos una caja que contiene una lista, la lista empieza por Comments, y en la parte inferior del programa nos muestra unos campos a editar. Según avanzamos por la lista veremos abajo las opciones que nos permite editar el programa, personalizando así nuestro virus.
Como podeis ver en las imágenes tiene muchas opciones, os pongo capturas de un par más:
Una vez configurados los distintos campos le damos al botón Create:
Nos saldrá una advertencia donde el autor nos dice que esparcir virus es un crimen, esta advertencia no es ninguna broma, este programa debe emplearse para aprender y no para dañar equipos.
Marcamos la casilla y veremos el botón Write to file. Le damos y se nos abrirá una ventana para guardar el virus, le ponen un nombre y lo guardan con la extensión que habían configurado previamente.
Si quieres probar los virus utiliza un ordenador que sea de tu propiedad, no andes jodiendo a la gente.
Descargar el programa BATCH-O-MATIC.
Es un programa muy útil si estás aprendiendo a escribir virus en batch ya que podrás sacar un montón de ideas de los distintos códigos que genera BATCH-O-MATIC.
Al abrir el programa esto es lo que vemos:
En la parte superior izquierda tenemos una caja que contiene una lista, la lista empieza por Comments, y en la parte inferior del programa nos muestra unos campos a editar. Según avanzamos por la lista veremos abajo las opciones que nos permite editar el programa, personalizando así nuestro virus.
Como podeis ver en las imágenes tiene muchas opciones, os pongo capturas de un par más:
Una vez configurados los distintos campos le damos al botón Create:
Nos saldrá una advertencia donde el autor nos dice que esparcir virus es un crimen, esta advertencia no es ninguna broma, este programa debe emplearse para aprender y no para dañar equipos.
Marcamos la casilla y veremos el botón Write to file. Le damos y se nos abrirá una ventana para guardar el virus, le ponen un nombre y lo guardan con la extensión que habían configurado previamente.
Si quieres probar los virus utiliza un ordenador que sea de tu propiedad, no andes jodiendo a la gente.
Descargar el programa BATCH-O-MATIC.
Los falsos positivos
A raiz de un comentario en la entrada del fearless bound file detector he decidido incluir una reseña en el blog sobre los falsos positivos.
Muchas veces los antivirus detectan archivos que no entrañan ningún riesgo para el ordenador, miren por ejemplo el resultado de virus total al escanear el fearless bound file detector:
Antivirus Version Last update Result
AhnLab-V3 2010.11.27.00 2010.11.26 Win-Trojan/Packed.8192.C
AntiVir 7.10.14.125 2010.11.26 TR/Renaz.7771
Antiy-AVL 2.0.3.7 2010.11.27 -
Avast 4.8.1351.0 2010.11.26 Win32:Neptunia-ADW
Avast5 5.0.594.0 2010.11.26 Win32:Neptunia-ADW
AVG 9.0.0.851 2010.11.27 Generic6.LMW
BitDefender 7.2 2010.11.27 Trojan.Packed.25637
CAT-QuickHeal 11.00 2010.11.26 Trojan.Agent.IRC
ClamAV 0.96.4.0 2010.11.27 PUA.Packed.FSG-1
Command 5.2.11.5 2010.11.26 W32/Heuristic-210!Eldorado
Comodo 6860 2010.11.27 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.11.26 -
eSafe 7.0.17.0 2010.11.24 Win32.Dx
eTrust-Vet 36.1.8003 2010.11.26 -
F-Prot 4.6.2.117 2010.11.26 W32/Heuristic-210!Eldorado
F-Secure 9.0.16160.0 2010.11.26 Trojan.Packed.25637
Fortinet 4.2.254.0 2010.11.26 -
GData 21 2010.11.27 Trojan.Packed.25637
Ikarus T3.1.1.90.0 2010.11.26 Virus.Win32.Trojan
Jiangmin 13.0.900 2010.11.26 -
K7AntiVirus 9.69.3095 2010.11.26 Riskware
McAfee 5.400.0.1158 2010.11.27 Generic.dx
McAfee-GW-Edition 2010.1C 2010.11.26 Heuristic.LooksLike.Win32.Suspicious.J
Microsoft 1.6402 2010.11.26 -
NOD32 5652 2010.11.26 probably a variant of Win32/Agent.HWUXQG
Norman 6.06.10 2010.11.26 Suspicious_F.gen
nProtect 2010-11-26.01 2010.11.26 Trojan/W32.Agent.7771
Panda 10.0.2.7 2010.11.27 Generic Trojan
PCTools 7.0.3.5 2010.11.27 -
Prevx 3.0 2010.11.27 Medium Risk Malware
Rising 22.75.03.04 2010.11.26 Trojan.Win32.Generic.5221B2FB
Sophos 4.60.0 2010.11.27 Mal/Packer
SUPERAntiSpyware 4.40.0.1006 2010.11.27 -
Symantec 20101.2.0.161 2010.11.27 -
TheHacker 6.7.0.1.091 2010.11.26 -
TrendMicro 9.120.0.1004 2010.11.26 TROJ_Generic
TrendMicro-HouseCall 9.120.0.1004 2010.11.27 TROJ_Generic
VBA32 3.12.14.2 2010.11.26 Trojan.Win32.Refroso.atkb
VIPRE 7423 2010.11.27 Trojan.Win32.Generic!BT
ViRobot 2010.11.19.4158 2010.11.26 -
VirusBuster 13.6.62.0 2010.11.26 Packed/FSG
MD5: 6cd9ae63a343ba86654d0e077b6ab950
SHA1: a391c271b39725fae46bb60336c0f44f831a873a
SHA256: fd4afc971e7fc66e5f302258048a4cc7a0a00226f50d06de01a671c53987edc6
File size: 7771 bytes
Scan date: 2010-11-27 02:02:28 (UTC)
Como podeis ver no se ponen muy de acuerdo acerca de como detectarlo, y de todos ellos quizás el que más se acerca es Kaspersky al calificarlo como riskware, ya que se trata de una herramienta escrita por un grupo de hackers, autores de otros programas mucho más malignos.
Un falso positivo es aquel que se produce cuando un antivirus advierte de peligro y en realidad no existe ningún riesgo. Y son mucho más frecuentes de lo que la gente piensa, de hecho cada vez son más frecuentes.
Por desgracia para los usuarios de ordenadores los antivirus no gustan de explicar como es su funcionamiento pues su estrategia principal de marketing es el miedo, cuanto más asustados esten los usuarios mayor será su confianza en los antivirus.
Para mayor desgracia de los usuarios solo existe un modo de saber si un archivo está o no limpio y ese modo requiere conocimiento y tiempo, la única manera de asegurarse realmente de si un archivo está infectado es analizándolo a manivela con programas específicos como editores hexadecimales, depuradores, etc.
Los mortales tendremos que seguir fiándonos de lo que nos dicen los antivirus pues el conocimiento necesario para analizar malware es muy amplio y requiere mucha dedicación. En este mundo gobernado por las prisas no hay nada peor que depositar nuestra confianza en un automatismo como por ejemplo nuestro antivirus favorito.
Y el problema no termina aquí, en el pobre usuario, sino que alcanza a los programadores, un falso positivo en una aplicación completamente limpia trae como consecuencia que los usuarios no usen la aplicación por miedo. Imaginen que son programadores y acaban de terminar un programa despues de meses de duro trabajo, lo ponen en internet para beneficio de todos y resulta que algunos antivirus dan un falso positivo al analizarlo. Muchos usuarios, por miedo, no se atreverán a probar su programa.
El efecto del falso positivo funciona como la publicidad dañina y falsa que se genera en torno a determinados productos, hundiéndolos.
Un ejemplo claro de esto último lo tenemos en McAffe y su falso positivo al analizar archivos legítimos de Windows.
Podemos encontrar ejemplos en los que los antivirus dan falsos positivos al analizar archivos de la competencia, sí, un antivirus detectando otro antivirus.
Es también común la detección de cracks y keygens como virus, principalmente porque los cracks y keygens son programas que se saltan las protecciones de los programas permitiendonos usarlos de manera gratuita.
Incluso las bromas para ordenadores son detectadas por los antivirus.
Muchas veces los antivirus detectan archivos que no entrañan ningún riesgo para el ordenador, miren por ejemplo el resultado de virus total al escanear el fearless bound file detector:
Antivirus Version Last update Result
AhnLab-V3 2010.11.27.00 2010.11.26 Win-Trojan/Packed.8192.C
AntiVir 7.10.14.125 2010.11.26 TR/Renaz.7771
Antiy-AVL 2.0.3.7 2010.11.27 -
Avast 4.8.1351.0 2010.11.26 Win32:Neptunia-ADW
Avast5 5.0.594.0 2010.11.26 Win32:Neptunia-ADW
AVG 9.0.0.851 2010.11.27 Generic6.LMW
BitDefender 7.2 2010.11.27 Trojan.Packed.25637
CAT-QuickHeal 11.00 2010.11.26 Trojan.Agent.IRC
ClamAV 0.96.4.0 2010.11.27 PUA.Packed.FSG-1
Command 5.2.11.5 2010.11.26 W32/Heuristic-210!Eldorado
Comodo 6860 2010.11.27 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.11.26 -
eSafe 7.0.17.0 2010.11.24 Win32.Dx
eTrust-Vet 36.1.8003 2010.11.26 -
F-Prot 4.6.2.117 2010.11.26 W32/Heuristic-210!Eldorado
F-Secure 9.0.16160.0 2010.11.26 Trojan.Packed.25637
Fortinet 4.2.254.0 2010.11.26 -
GData 21 2010.11.27 Trojan.Packed.25637
Ikarus T3.1.1.90.0 2010.11.26 Virus.Win32.Trojan
Jiangmin 13.0.900 2010.11.26 -
K7AntiVirus 9.69.3095 2010.11.26 Riskware
McAfee 5.400.0.1158 2010.11.27 Generic.dx
McAfee-GW-Edition 2010.1C 2010.11.26 Heuristic.LooksLike.Win32.Suspicious.J
Microsoft 1.6402 2010.11.26 -
NOD32 5652 2010.11.26 probably a variant of Win32/Agent.HWUXQG
Norman 6.06.10 2010.11.26 Suspicious_F.gen
nProtect 2010-11-26.01 2010.11.26 Trojan/W32.Agent.7771
Panda 10.0.2.7 2010.11.27 Generic Trojan
PCTools 7.0.3.5 2010.11.27 -
Prevx 3.0 2010.11.27 Medium Risk Malware
Rising 22.75.03.04 2010.11.26 Trojan.Win32.Generic.5221B2FB
Sophos 4.60.0 2010.11.27 Mal/Packer
SUPERAntiSpyware 4.40.0.1006 2010.11.27 -
Symantec 20101.2.0.161 2010.11.27 -
TheHacker 6.7.0.1.091 2010.11.26 -
TrendMicro 9.120.0.1004 2010.11.26 TROJ_Generic
TrendMicro-HouseCall 9.120.0.1004 2010.11.27 TROJ_Generic
VBA32 3.12.14.2 2010.11.26 Trojan.Win32.Refroso.atkb
VIPRE 7423 2010.11.27 Trojan.Win32.Generic!BT
ViRobot 2010.11.19.4158 2010.11.26 -
VirusBuster 13.6.62.0 2010.11.26 Packed/FSG
MD5: 6cd9ae63a343ba86654d0e077b6ab950
SHA1: a391c271b39725fae46bb60336c0f44f831a873a
SHA256: fd4afc971e7fc66e5f302258048a4cc7a0a00226f50d06de01a671c53987edc6
File size: 7771 bytes
Scan date: 2010-11-27 02:02:28 (UTC)
Como podeis ver no se ponen muy de acuerdo acerca de como detectarlo, y de todos ellos quizás el que más se acerca es Kaspersky al calificarlo como riskware, ya que se trata de una herramienta escrita por un grupo de hackers, autores de otros programas mucho más malignos.
Un falso positivo es aquel que se produce cuando un antivirus advierte de peligro y en realidad no existe ningún riesgo. Y son mucho más frecuentes de lo que la gente piensa, de hecho cada vez son más frecuentes.
Por desgracia para los usuarios de ordenadores los antivirus no gustan de explicar como es su funcionamiento pues su estrategia principal de marketing es el miedo, cuanto más asustados esten los usuarios mayor será su confianza en los antivirus.
Para mayor desgracia de los usuarios solo existe un modo de saber si un archivo está o no limpio y ese modo requiere conocimiento y tiempo, la única manera de asegurarse realmente de si un archivo está infectado es analizándolo a manivela con programas específicos como editores hexadecimales, depuradores, etc.
Los mortales tendremos que seguir fiándonos de lo que nos dicen los antivirus pues el conocimiento necesario para analizar malware es muy amplio y requiere mucha dedicación. En este mundo gobernado por las prisas no hay nada peor que depositar nuestra confianza en un automatismo como por ejemplo nuestro antivirus favorito.
Y el problema no termina aquí, en el pobre usuario, sino que alcanza a los programadores, un falso positivo en una aplicación completamente limpia trae como consecuencia que los usuarios no usen la aplicación por miedo. Imaginen que son programadores y acaban de terminar un programa despues de meses de duro trabajo, lo ponen en internet para beneficio de todos y resulta que algunos antivirus dan un falso positivo al analizarlo. Muchos usuarios, por miedo, no se atreverán a probar su programa.
El efecto del falso positivo funciona como la publicidad dañina y falsa que se genera en torno a determinados productos, hundiéndolos.
Un ejemplo claro de esto último lo tenemos en McAffe y su falso positivo al analizar archivos legítimos de Windows.
Podemos encontrar ejemplos en los que los antivirus dan falsos positivos al analizar archivos de la competencia, sí, un antivirus detectando otro antivirus.
Es también común la detección de cracks y keygens como virus, principalmente porque los cracks y keygens son programas que se saltan las protecciones de los programas permitiendonos usarlos de manera gratuita.
Incluso las bromas para ordenadores son detectadas por los antivirus.
26 ene 2011
Assa*SIN* v1.1 (2ª parte)
Continuamos con el tutorial de Assa*SIN*, despues de ver como se configuraba el servidor desde el propio cliente pasaremos a ver como se maneja el cliente y que funciones tiene.
El primer paso es poner el cliente a la escucha para que reciba las notificaciones de los servidores, para ello en la columna de la izquierda pulsaremos sobre Notification y luego sobre LAN, de manera que nos mostrará lo siguiente:
Ahí podemos especificar los puertos con los que configuramos el servidor, y despues solo hay que pulsar sobre el botón que dice Open ports. Ahora el cliente está listo para recibir las conexiones de los servidores. Recuerda que si usas un router para conectarte a internet debes abrir esos puertos también en el router.
En cuanto algún servidor se conecte se nos mostrará tal que así:
Si hay varios servidores conectados se nos mostrarán todos en una lista, ahora para conectar con uno de los servidores solo tenemos que seleccionarlo con el ratón y darle doble click. Automáticamente estaremos conectados a el y podremos enviarle órdenes, sabremos que estamos conectados por que en la parte inferior del cliente veremos:
Ahora ya podemos probar libremente todas las opciones del cliente. Para desinstalar el servidor dirigirse a la columna de la izquierda y pulsar en System y luego en Server options:
Aquí tienen el keylogger, que aunque hace su trabajo (deben pulsar el botón get keys para que muestre lo capturado) no es realmente un buen keylogger, falla con algunos caracteres como la ñ o los acentos. Pero funciona.
Las herramientas más interesantes están en la sección Core Controls, donde tenemos el administrador de archivos, administrador de tareas, de procesos, editor del registro y una opción que pocos troyanos tienen "Net manager" con la cual podemos explorar la red LAN a la que pertenece el ordenador donde corre el servidor de assasin.
Muchas de las opciones aparecen en el programa principal, pero pueden separarse del mismo mediante el botón "Detach":
Así podemos separar las ventanas y ordenarlas a nuestro gusto:
Para las capturas de pantalla y de webcam se requiere un plugin, podemos comprobar si lo tiene ya en su equipo en el siguiente botón:
Si no lo tiene nos preguntará si queremos subirle el plugin. Es una dll, que también es detectada por los antivirus.
Por último destacar el exe killer, que se encargará de mantener una lista de archivos que no podrán ser ejecutados en la computadora infectada.
La lista que trae es bastante amplia y nos permite añadir nuevos nombres de archivos:
Pueden descargar de aquí el Assa*SIN* v1.1
El primer paso es poner el cliente a la escucha para que reciba las notificaciones de los servidores, para ello en la columna de la izquierda pulsaremos sobre Notification y luego sobre LAN, de manera que nos mostrará lo siguiente:
Ahí podemos especificar los puertos con los que configuramos el servidor, y despues solo hay que pulsar sobre el botón que dice Open ports. Ahora el cliente está listo para recibir las conexiones de los servidores. Recuerda que si usas un router para conectarte a internet debes abrir esos puertos también en el router.
En cuanto algún servidor se conecte se nos mostrará tal que así:
Si hay varios servidores conectados se nos mostrarán todos en una lista, ahora para conectar con uno de los servidores solo tenemos que seleccionarlo con el ratón y darle doble click. Automáticamente estaremos conectados a el y podremos enviarle órdenes, sabremos que estamos conectados por que en la parte inferior del cliente veremos:
Ahora ya podemos probar libremente todas las opciones del cliente. Para desinstalar el servidor dirigirse a la columna de la izquierda y pulsar en System y luego en Server options:
Aquí tienen el keylogger, que aunque hace su trabajo (deben pulsar el botón get keys para que muestre lo capturado) no es realmente un buen keylogger, falla con algunos caracteres como la ñ o los acentos. Pero funciona.
Las herramientas más interesantes están en la sección Core Controls, donde tenemos el administrador de archivos, administrador de tareas, de procesos, editor del registro y una opción que pocos troyanos tienen "Net manager" con la cual podemos explorar la red LAN a la que pertenece el ordenador donde corre el servidor de assasin.
Muchas de las opciones aparecen en el programa principal, pero pueden separarse del mismo mediante el botón "Detach":
Así podemos separar las ventanas y ordenarlas a nuestro gusto:
Para las capturas de pantalla y de webcam se requiere un plugin, podemos comprobar si lo tiene ya en su equipo en el siguiente botón:
Si no lo tiene nos preguntará si queremos subirle el plugin. Es una dll, que también es detectada por los antivirus.
Por último destacar el exe killer, que se encargará de mantener una lista de archivos que no podrán ser ejecutados en la computadora infectada.
La lista que trae es bastante amplia y nos permite añadir nuevos nombres de archivos:
Pueden descargar de aquí el Assa*SIN* v1.1
Assa*SIN* v1.1 (parte 1)
Este troyano fue publicado en el año 2002, su autor es LOM, y en aquellos años fue uno de los troyanos más innovadores del momento por varias cosas, de las que podemos destacar la conexión inversa y la notificación por MSN.
Esta es la versión 1.1, no les hablo de la versión anterior porque tenía algunos fallos y era más inestable que esta versión. Existen versiones posteriores del troyano, pero son bastante diferentes y, de momento, no las vamos a tratar aquí.
Si leyeron el artículo sobre conexión directa/conexión inversa sabrán las implicaciones que tuvo en su momento la aparición de esta herramienta.
En este artículo aprenderemos a usar este fabuloso troyano.
Para configurar nuestro servidor personalizado debemos dirigirnos a la columna de la izquierda y pinchar sobre "edit server", entonces se nos mostrará en la parte principal del programa el editor de servidores, fijense en la parte inferior del editor, hay 3 pestañas llamadas "settings", "notify", y "msn/lan". Debemos avanzar por las pestañas y cubrir todos los campos que necesitemos personalizar.
Empecemos:
Server file: output file name.
Aquí debemos escribir un nombre para el servidor, para el archivo resultante, debe contener la extensión .exe, una vez construido el servidor podemos cambiarle el nombre. Por ejemplo lo llamamos prueba.exe, y el segundo campo (junto al botón write) lo dejan en blanco. El botón write se usará al final para crear nuestro servidor personalizado.
General
Aquí debemos escribir un número de puerto. Este troyano usa ambas conexiones (directa e inversa), por lo que este puerto será usado para la conexión directa. En server exe deben escribir un nombre que no sea muy sospechoso, será el nombre con el que finalmente el troyano se copiará en el ordenador infectado.
Start up
Aquí configuraremos el método de inicio, tenemos 2, el simple y uno especial que se llama hide method. Este último funciona de la siguiente manera, al iniciarse windows se inicia el servidor del assasin y borra la clave de inicio, al apagarse windows vuelve a crearse la clave de inicio para arrancar la siguiente vez que se inicie windows. Es un buen método que evita que alguien descubra el troyano examinando las entradas del registro pero tiene un fallo, si el ordenador se apaga bruscamente (un corte de luz por ejemplo) no se escribirá la clave para el siguiente reinicio y ya no se iniciará, por ello recomiendo marcar las 2 opciones.
Other
Aquí le pondremos una contraseña al servidor para la conexión directa, podemos marcar la opción kill firewall que sirve para matar los procesos de varios programas de seguridad (es bastante agresivo), también podemos poner un mensaje de error falso.
Vamos ahora a la segunda pestaña, donde pone notify. Allí tenemos 2 tipos de notificación, la notificación por ICQ se ha quedado obsoleta y no creo que funcione, la notificación por php sí que funciona perfectamente. Esta última notificación es bastante fiable pero algo complicada de explicar, por lo cual lo dejo para otro artículo.
Msn/Lan
Por último, aquí podemos configurar la notificación por msn, que posiblemente esté obsoleta y no funcione (no lo he probado). Y también podemos configurar la conexión inversa. En el apartado Lan Options debemos marcar la opción "use lan technology if lan is detected", y en el campo donde pone hostname/ip pondremos nuestra dirección no-ip o cualquier otro dns dinámico que tengamos, tambien podemos poner nuestra ip si es estática. Por último pondremos los puertos, son 2, uno por el que se conectarán los servidores a nosotros para notificarnos y otro por el que se realizará la conexión del troyano. Como siempre, si nosotros estamos tras un router debemos abrir esos 2 puertos para que nos lleguen las conexiones.
Ahora para crear el servidor pulsamos el botón write.
Y eso es todo por ahora, en el proximo artículo seguiremos hablando de este magnífico troyano.
Esta es la versión 1.1, no les hablo de la versión anterior porque tenía algunos fallos y era más inestable que esta versión. Existen versiones posteriores del troyano, pero son bastante diferentes y, de momento, no las vamos a tratar aquí.
Si leyeron el artículo sobre conexión directa/conexión inversa sabrán las implicaciones que tuvo en su momento la aparición de esta herramienta.
En este artículo aprenderemos a usar este fabuloso troyano.
Para configurar nuestro servidor personalizado debemos dirigirnos a la columna de la izquierda y pinchar sobre "edit server", entonces se nos mostrará en la parte principal del programa el editor de servidores, fijense en la parte inferior del editor, hay 3 pestañas llamadas "settings", "notify", y "msn/lan". Debemos avanzar por las pestañas y cubrir todos los campos que necesitemos personalizar.
Empecemos:
Server file: output file name.
Aquí debemos escribir un nombre para el servidor, para el archivo resultante, debe contener la extensión .exe, una vez construido el servidor podemos cambiarle el nombre. Por ejemplo lo llamamos prueba.exe, y el segundo campo (junto al botón write) lo dejan en blanco. El botón write se usará al final para crear nuestro servidor personalizado.
General
Aquí debemos escribir un número de puerto. Este troyano usa ambas conexiones (directa e inversa), por lo que este puerto será usado para la conexión directa. En server exe deben escribir un nombre que no sea muy sospechoso, será el nombre con el que finalmente el troyano se copiará en el ordenador infectado.
Start up
Aquí configuraremos el método de inicio, tenemos 2, el simple y uno especial que se llama hide method. Este último funciona de la siguiente manera, al iniciarse windows se inicia el servidor del assasin y borra la clave de inicio, al apagarse windows vuelve a crearse la clave de inicio para arrancar la siguiente vez que se inicie windows. Es un buen método que evita que alguien descubra el troyano examinando las entradas del registro pero tiene un fallo, si el ordenador se apaga bruscamente (un corte de luz por ejemplo) no se escribirá la clave para el siguiente reinicio y ya no se iniciará, por ello recomiendo marcar las 2 opciones.
Other
Aquí le pondremos una contraseña al servidor para la conexión directa, podemos marcar la opción kill firewall que sirve para matar los procesos de varios programas de seguridad (es bastante agresivo), también podemos poner un mensaje de error falso.
Vamos ahora a la segunda pestaña, donde pone notify. Allí tenemos 2 tipos de notificación, la notificación por ICQ se ha quedado obsoleta y no creo que funcione, la notificación por php sí que funciona perfectamente. Esta última notificación es bastante fiable pero algo complicada de explicar, por lo cual lo dejo para otro artículo.
Msn/Lan
Por último, aquí podemos configurar la notificación por msn, que posiblemente esté obsoleta y no funcione (no lo he probado). Y también podemos configurar la conexión inversa. En el apartado Lan Options debemos marcar la opción "use lan technology if lan is detected", y en el campo donde pone hostname/ip pondremos nuestra dirección no-ip o cualquier otro dns dinámico que tengamos, tambien podemos poner nuestra ip si es estática. Por último pondremos los puertos, son 2, uno por el que se conectarán los servidores a nosotros para notificarnos y otro por el que se realizará la conexión del troyano. Como siempre, si nosotros estamos tras un router debemos abrir esos 2 puertos para que nos lleguen las conexiones.
Ahora para crear el servidor pulsamos el botón write.
Y eso es todo por ahora, en el proximo artículo seguiremos hablando de este magnífico troyano.
24 ene 2011
Open Source Code Crypter 1.0
Este programa fue escrito por p0ke, un prolífico autor de malware. Está escrito en delphi y en el archivo se incluye el código fuente del mismo, pudiendo modificarse el archivo stub directamente desde el código para hacerlo indetectable a los antivirus.
Sus características son:
-Permite juntar y cifrar hasta 10 archivos.
-Ejecuta los archivos cifrados en memoria.
-Soporta el cifrado de programas cuya configuración se guarda en el EOF.
-Permite usar stubs personalizados.
-Permite copiar los archivos cifrados en disco y elegir el directorio.
-Para juntar los archivos los añade como recursos.
-El cifrado usado es un XOR personalizado.
-Para la ejecución en memoria emplea la unit uMemoryExecute creada por p0ke (no funciona en windows 7).
-Disponible el código fuente.
Puedes descargar de aquí el programa Open Source Code Crypter.
Sus características son:
-Permite juntar y cifrar hasta 10 archivos.
-Ejecuta los archivos cifrados en memoria.
-Soporta el cifrado de programas cuya configuración se guarda en el EOF.
-Permite usar stubs personalizados.
-Permite copiar los archivos cifrados en disco y elegir el directorio.
-Para juntar los archivos los añade como recursos.
-El cifrado usado es un XOR personalizado.
-Para la ejecución en memoria emplea la unit uMemoryExecute creada por p0ke (no funciona en windows 7).
-Disponible el código fuente.
Puedes descargar de aquí el programa Open Source Code Crypter.
21 ene 2011
Conexión directa / Conexión inversa
Muchos novatos no tienen claras las diferencias entre una conexión y otra, en este artículo trataré de aclarar un poco los conceptos para que todo quede claro de una vez por todas.
En un principio los troyanos eran programas cuyo uso era meramente lúdico, servían para gastar buenas bromas a los amigos, les abrías la bandeja del cd, le dabas la vuelta a su pantalla, podías manejar su ratón, etc. Pero con el tiempo los troyanos fueron utilizados como herramientas de hacking, es decir, se empezaron a usar para entrar ilegalmente en otros ordenadores y robar información.
Al final de los años 90 se empezaron a popularizar los troyanos, vea historia de los troyanos para más información. Y como digo se empezaron a usar para gastar bromas a los amigos.
No era dificil infectar ordenadores de empresas, pero estos ordenadores generalmente están dentro de una red interna y no tienen una salida directa a internet, por lo que aun infectados no se podía conectar a ellos.
En aquellos tiempos los ordenadores particulares sí estaban directamente conectados a internet y por ello era posible conectare a ellos mediante un troyano.
Con un esquema cutre quizás se entienda mejor:
-Esquema ordenador particular-
Ordenata ----> internés <--- hackerillo malvado
-Esquema ordenador empresa-
Ordenata ---> router/proxy/firewall ---> internés <--- hackerillo malvado
Como veis en el esquema el hackerillo malvado no podía conectarse al Ordenata porque éste no se conecta directamente a internet sino que un router, un proxy o un firewall hacen de intermediarios con internet. El hackerillo malvado lanzaba su troyano favorito pero se encontraba con que Ordenata rechazaba las conexiones (en realidad la conexión ni tan siquiera llegaba a Ordenata sino que llegaba al router/proxy/firewall y era rechazada).
Para entrar más en situación vamos a contar una historia.
Hackercillo malvado había conseguido la última versión del Sub7 (corria el año 2000 de nuestro señor jesucristo y la última versión del sub7 era la 2.0). Configuró el servidor siguiendo algunos manuales que encontró por la red y se lo mandó a varias personas por correo electrónico.
Felipe estaba en su casa tranquilamente mirando el correo en hotmail, vio el correo de hackercillo malvado y lo abrió, traia un archivo adjunto cuyo nombre era superjuego.exe, Felipe estaba aburrido así que lo abrió para ver que juego era, pero el juego no parecía funcionar, mostró un mensaje de error bastante incomprensible y se cerró.
Felipe olvidó pronto el incidente y siguió mirando otros mensajes de correo.
Pero el mal ya había actuado. El mensaje de error era falso, una tapadera, el programa sí había funcionado y el ordenador de Felipe ya estaba infectado por el sub7. El servidor del sub7 envió secretamente un mensaje de correo a hackercillo malvado, en ese mensaje venía la dirección ip del ordenador de Felipe, que en aquellos tiempos estaba conectado a internet directamente.
Hackercillo malvado vió el mensaje de correo con la ip del ordenador de Felipe y se conectó directamente a él. A partir de entonces espió a Felipe todo lo que quiso y más.
En otra parte del mundo Juan estaba en su oficina, aburrido porque había poco trabajo, decidió mirar su correo y vió que alguien le había mandado un juego, superjuego.exe, lo abrió, el programa mostró un error fatal y se cerró. Juan olvidó pronto el incidente. Pero sub7 ya había infectado su equipo. El troyano mandó un correo a hackercillo malvado, en ese mensaje venía la dirección del ordenador de Juan pero esa ip no era una ip pública sino una ip privada, perteneciente a la red interna de la empresa donde trabajaba Juan. Además venía otra ip, la ip del router/proxy/firewall a través del cual el ordenador de Juan se conectaba a internet.
Hackercillo malvado intentaba conectarse a la ip pública, pero esa ip no era la del ordenador de Juan sino la del router/proxy/firewall, por lo que el puerto del sub7 no estaba abierto y la conexión era imposible.
A hackercillo malvado le llegaban notificaciones del ordenador de Juan todos los días, por lo que sabía que estaba infectado, pero no podía conectarse a él.
Debido a este problema los hackercillos malvados del mundo entero solo atacaban por lo general ordenadores personales que estaban directamente conectados a internet. Las empresas y sus secretos permanecían a salvo de ataques de este tipo.
Un buen día hackercillo malvado charlaba con un compinche a través del irc y le comentó su problema, le contó que recibía notificaciones de ordenadores a los que no podía conectarse, entonces el compinche le habló de un nuevo troyano llamado ASSA*SIN* con el cual dejaría de tener ese problema.
Efectivamente, hackercillo malvado consiguió una copia del troyano ASSA*SIN* y empezó a hacer travesuras... y la cosa funcionó mejor de lo que esperaba. Hackercillo malvado ahora podía conectarse también a ordenadores de empresas resguardados tras cortafuegos, routers y proxys.
¿Como fue posible?.
Sencillo, hasta la aparición del troyano ASSA*SIN* el funcionamiento de los troyanos era así:
Hackercillo malvado debía conocer la ip pública, y se conectaba directamente a esa ip pública. Si no había ip pública no había nada que hacer.
Con ASSA*SIN* la cosa era así:
Hackercillo malvado debía tener una ip pública, y los ordenadores infectados se conectaban a él desde internet, sin importar que su ip fuera pública, que estuvieran parapetados tras un router... el ordenador infectado lanzaba una conexión hacia internet, hacía el ordenador de hackercillo malvado, que esperaba ansiosamente las conexiones.
Y ese paso fue toda una revolución en el mundo de los troyanos, ahora eran los ordenadores infectados los que salían a buscar a hackercillos malvados de todo el mundo. Estas conexiones salientes son lo que llamamos hoy conexión inversa.
Nota: es dificil asegurar cual fue el primer troyano que usó la conexión inversa, en el año 2001 tres autores de malware estaban trabajando a la vez en distintos troyanos de conexión inversa, estos fueron:
LOM, autor del ASSA*SIN*
Read101, autor del Lanfiltrator
Aphex, autor del Institution
En el año 2002 empezaron a publicar sus programas.
En un principio los troyanos eran programas cuyo uso era meramente lúdico, servían para gastar buenas bromas a los amigos, les abrías la bandeja del cd, le dabas la vuelta a su pantalla, podías manejar su ratón, etc. Pero con el tiempo los troyanos fueron utilizados como herramientas de hacking, es decir, se empezaron a usar para entrar ilegalmente en otros ordenadores y robar información.
Al final de los años 90 se empezaron a popularizar los troyanos, vea historia de los troyanos para más información. Y como digo se empezaron a usar para gastar bromas a los amigos.
No era dificil infectar ordenadores de empresas, pero estos ordenadores generalmente están dentro de una red interna y no tienen una salida directa a internet, por lo que aun infectados no se podía conectar a ellos.
En aquellos tiempos los ordenadores particulares sí estaban directamente conectados a internet y por ello era posible conectare a ellos mediante un troyano.
Con un esquema cutre quizás se entienda mejor:
-Esquema ordenador particular-
Ordenata ----> internés <--- hackerillo malvado
-Esquema ordenador empresa-
Ordenata ---> router/proxy/firewall ---> internés <--- hackerillo malvado
Como veis en el esquema el hackerillo malvado no podía conectarse al Ordenata porque éste no se conecta directamente a internet sino que un router, un proxy o un firewall hacen de intermediarios con internet. El hackerillo malvado lanzaba su troyano favorito pero se encontraba con que Ordenata rechazaba las conexiones (en realidad la conexión ni tan siquiera llegaba a Ordenata sino que llegaba al router/proxy/firewall y era rechazada).
Para entrar más en situación vamos a contar una historia.
Hackercillo malvado había conseguido la última versión del Sub7 (corria el año 2000 de nuestro señor jesucristo y la última versión del sub7 era la 2.0). Configuró el servidor siguiendo algunos manuales que encontró por la red y se lo mandó a varias personas por correo electrónico.
Felipe estaba en su casa tranquilamente mirando el correo en hotmail, vio el correo de hackercillo malvado y lo abrió, traia un archivo adjunto cuyo nombre era superjuego.exe, Felipe estaba aburrido así que lo abrió para ver que juego era, pero el juego no parecía funcionar, mostró un mensaje de error bastante incomprensible y se cerró.
Felipe olvidó pronto el incidente y siguió mirando otros mensajes de correo.
Pero el mal ya había actuado. El mensaje de error era falso, una tapadera, el programa sí había funcionado y el ordenador de Felipe ya estaba infectado por el sub7. El servidor del sub7 envió secretamente un mensaje de correo a hackercillo malvado, en ese mensaje venía la dirección ip del ordenador de Felipe, que en aquellos tiempos estaba conectado a internet directamente.
Hackercillo malvado vió el mensaje de correo con la ip del ordenador de Felipe y se conectó directamente a él. A partir de entonces espió a Felipe todo lo que quiso y más.
En otra parte del mundo Juan estaba en su oficina, aburrido porque había poco trabajo, decidió mirar su correo y vió que alguien le había mandado un juego, superjuego.exe, lo abrió, el programa mostró un error fatal y se cerró. Juan olvidó pronto el incidente. Pero sub7 ya había infectado su equipo. El troyano mandó un correo a hackercillo malvado, en ese mensaje venía la dirección del ordenador de Juan pero esa ip no era una ip pública sino una ip privada, perteneciente a la red interna de la empresa donde trabajaba Juan. Además venía otra ip, la ip del router/proxy/firewall a través del cual el ordenador de Juan se conectaba a internet.
Hackercillo malvado intentaba conectarse a la ip pública, pero esa ip no era la del ordenador de Juan sino la del router/proxy/firewall, por lo que el puerto del sub7 no estaba abierto y la conexión era imposible.
A hackercillo malvado le llegaban notificaciones del ordenador de Juan todos los días, por lo que sabía que estaba infectado, pero no podía conectarse a él.
Debido a este problema los hackercillos malvados del mundo entero solo atacaban por lo general ordenadores personales que estaban directamente conectados a internet. Las empresas y sus secretos permanecían a salvo de ataques de este tipo.
Un buen día hackercillo malvado charlaba con un compinche a través del irc y le comentó su problema, le contó que recibía notificaciones de ordenadores a los que no podía conectarse, entonces el compinche le habló de un nuevo troyano llamado ASSA*SIN* con el cual dejaría de tener ese problema.
Efectivamente, hackercillo malvado consiguió una copia del troyano ASSA*SIN* y empezó a hacer travesuras... y la cosa funcionó mejor de lo que esperaba. Hackercillo malvado ahora podía conectarse también a ordenadores de empresas resguardados tras cortafuegos, routers y proxys.
¿Como fue posible?.
Sencillo, hasta la aparición del troyano ASSA*SIN* el funcionamiento de los troyanos era así:
Hackercillo malvado debía conocer la ip pública, y se conectaba directamente a esa ip pública. Si no había ip pública no había nada que hacer.
Con ASSA*SIN* la cosa era así:
Hackercillo malvado debía tener una ip pública, y los ordenadores infectados se conectaban a él desde internet, sin importar que su ip fuera pública, que estuvieran parapetados tras un router... el ordenador infectado lanzaba una conexión hacia internet, hacía el ordenador de hackercillo malvado, que esperaba ansiosamente las conexiones.
Y ese paso fue toda una revolución en el mundo de los troyanos, ahora eran los ordenadores infectados los que salían a buscar a hackercillos malvados de todo el mundo. Estas conexiones salientes son lo que llamamos hoy conexión inversa.
Nota: es dificil asegurar cual fue el primer troyano que usó la conexión inversa, en el año 2001 tres autores de malware estaban trabajando a la vez en distintos troyanos de conexión inversa, estos fueron:
LOM, autor del ASSA*SIN*
Read101, autor del Lanfiltrator
Aphex, autor del Institution
En el año 2002 empezaron a publicar sus programas.
Tutorial Sub7 2.3.1 cliente 1ª parte
Continuamos con los tutoriales dedicados al nuevo Sub7 cuya versión más actual es la 2.3.1, publicada por Read101.
Hoy veremos como se usa el cliente, si quieres saber como se usa el editor puedes mirar el manual del sub7 2.3
No voy a entrar en detalles sobre como se configura no-ip, o cualquier otro sistema de dns dinámico. Hay muchos tutoriales en la red, búscalos y leelos si no sabes nada sobre configurar no-ip. Necesitarás una cuenta en algún sistema de dns dinámico, preferiblemente no-ip, ya que el cliente facilita el trabajo con no-ip, pero puede ser dyndns o cualquier otro.
En la parte superior del cliente teneis el actualizador de no-ip, basicamente lo que hace es actualizar la ip asociada a vuestra cuenta de no-ip, necesitais poner vuestro nombre de usuario, la contraseña, vuestra dirección no-ip y vuestra ip pública. La ip pública la obtiene el programa si pinchais sobre el símbolo ! que aparece a la derecha del cuadro "your ip".
Una vez que tengais los campos cubiertos le dais a Update y el cliente del sub7 se conectará a no-ip con vuestra cuenta y actualizará la ip pública.
El servidor se conectará a vuestra ip pública, por lo que debeis abrir el puerto que configurasteis con el editor en vuestro router. Si os conectais a través de un router es necesario abrir el puerto para que funcione.
Si usais otro sistema diferente a no-ip tendreis que actualizar vuestra ip pública de otra manera.
Una vez actualizada vuestra ip pública solo teneis que abrir la consola SIN para recibir las conexiones de los servidores.
La consola SIN se abre pulsando el primero de esos botones empezando por la izquierda. Se abrirá una ventana tal que así:
La ventana de la derecha es la consola SIN donde vereis los ordenadores infectados que están conectados a vosotros. Para poner en funcionamiento la consola SIN debeis escribir el puerto por el que conectarán los servidores, en la foto yo he puesto el puerto 6667. El puerto debe ser el mismo con el que configurasteis el servidor, y teneis que abrirlo en el router. Una vez puesto el puerto le dais a open, y ya estará listo para recibir conexiones.
En la captura de arriba podemos ver como se muestra un infectado conectado, nos dice el pais, la ip pública, la ip privada, el nombre del equipo y el sistema operativo.
Para empezar a controlar ese ordenador solo tenemos que seleccionarlo de manera que se nos muestre como en esta captura:
Si os fijais ha aparecido un círculo verde en el lugar donde antes estaba la bandera, eso quiere decir que el servidor está preparado para recibir órdenes.
Cada vez que querais controlar un servidor debeis seleccionarlo y debe ponerse ese círculo verde como icono.
Ahora ya podemos probar todas las opciones que nos ofrece el nuevo Sub7.
No voy a explicar todas las funciones ahora, solo una a modo de ejemplo, el file manager, que es un administrador de archivos, con el que podemos subir y bajar archivos del ordenador infectado, ejecutarlos, borrarlos, etc.
En la derecha teneis todas las opciones que tiene el cliente, pinchamos en Managers y luego en File Manager, se abrirá una nueva ventana donde podremos administrar los archivos del ordenador infectado:
En la parte derecha tenemos los botones con los que manejar los archivos, en la captura se ve el directorio windows del ordenador infectado. Podríamos crear directorios nuevos, reproducir archivos de audio, borrar archivos, descargar o subir archivos, etc.
Y aquí termina el manual, otro día veremos que otras opciones tiene este nuevo Sub7.
Hoy veremos como se usa el cliente, si quieres saber como se usa el editor puedes mirar el manual del sub7 2.3
No voy a entrar en detalles sobre como se configura no-ip, o cualquier otro sistema de dns dinámico. Hay muchos tutoriales en la red, búscalos y leelos si no sabes nada sobre configurar no-ip. Necesitarás una cuenta en algún sistema de dns dinámico, preferiblemente no-ip, ya que el cliente facilita el trabajo con no-ip, pero puede ser dyndns o cualquier otro.
En la parte superior del cliente teneis el actualizador de no-ip, basicamente lo que hace es actualizar la ip asociada a vuestra cuenta de no-ip, necesitais poner vuestro nombre de usuario, la contraseña, vuestra dirección no-ip y vuestra ip pública. La ip pública la obtiene el programa si pinchais sobre el símbolo ! que aparece a la derecha del cuadro "your ip".
Una vez que tengais los campos cubiertos le dais a Update y el cliente del sub7 se conectará a no-ip con vuestra cuenta y actualizará la ip pública.
El servidor se conectará a vuestra ip pública, por lo que debeis abrir el puerto que configurasteis con el editor en vuestro router. Si os conectais a través de un router es necesario abrir el puerto para que funcione.
Si usais otro sistema diferente a no-ip tendreis que actualizar vuestra ip pública de otra manera.
Una vez actualizada vuestra ip pública solo teneis que abrir la consola SIN para recibir las conexiones de los servidores.
La consola SIN se abre pulsando el primero de esos botones empezando por la izquierda. Se abrirá una ventana tal que así:
La ventana de la derecha es la consola SIN donde vereis los ordenadores infectados que están conectados a vosotros. Para poner en funcionamiento la consola SIN debeis escribir el puerto por el que conectarán los servidores, en la foto yo he puesto el puerto 6667. El puerto debe ser el mismo con el que configurasteis el servidor, y teneis que abrirlo en el router. Una vez puesto el puerto le dais a open, y ya estará listo para recibir conexiones.
En la captura de arriba podemos ver como se muestra un infectado conectado, nos dice el pais, la ip pública, la ip privada, el nombre del equipo y el sistema operativo.Para empezar a controlar ese ordenador solo tenemos que seleccionarlo de manera que se nos muestre como en esta captura:
Si os fijais ha aparecido un círculo verde en el lugar donde antes estaba la bandera, eso quiere decir que el servidor está preparado para recibir órdenes.
Cada vez que querais controlar un servidor debeis seleccionarlo y debe ponerse ese círculo verde como icono.
Ahora ya podemos probar todas las opciones que nos ofrece el nuevo Sub7.
No voy a explicar todas las funciones ahora, solo una a modo de ejemplo, el file manager, que es un administrador de archivos, con el que podemos subir y bajar archivos del ordenador infectado, ejecutarlos, borrarlos, etc.
En la derecha teneis todas las opciones que tiene el cliente, pinchamos en Managers y luego en File Manager, se abrirá una nueva ventana donde podremos administrar los archivos del ordenador infectado:
En la parte derecha tenemos los botones con los que manejar los archivos, en la captura se ve el directorio windows del ordenador infectado. Podríamos crear directorios nuevos, reproducir archivos de audio, borrar archivos, descargar o subir archivos, etc.Y aquí termina el manual, otro día veremos que otras opciones tiene este nuevo Sub7.
20 ene 2011
LExE listar extensiones ejecutables
Este programa es bastante util, sirve para listar todas las extensiones ejecutables de nuestro sistema. Como vimos hay maneras de contaminar el registro de windows para asociar cualquier extensión a un ejecutable, permitiéndonos mandar troyanos con extensión .jpg por ejemplo. Un programa que servía para automatizar la contaminación del registro es el Extension creator sobre el cual ya he escrito algunas palabras.
Hoy vamos a ver como protegernos de este tipo de ardides.
El programa LExE listará todas las extensiones ejecutables de nuestro sistema. Yo he creado una nueva extensión ejecutable en mi windows llamada ".troyano" y despues he usado el LExE para ver las extensiones, aquí el resultado (con la nueva extensión .troyano):
Puedes descargar de aquí el programa LExE
Su uso es muy sencillo, solo dale doble click y el programa hará el resto. Si te lista alguna extensión extraña como ejecutable es porque el registro está contaminado. Lo normal es que solo te muestre las siguientes extensiones:
.bat
.cmd
.com
.exe
.pif
.scr
Si el programa te muestra alguna otra extensión entonces deberías empezar a preocuparte.
Hoy vamos a ver como protegernos de este tipo de ardides.
El programa LExE listará todas las extensiones ejecutables de nuestro sistema. Yo he creado una nueva extensión ejecutable en mi windows llamada ".troyano" y despues he usado el LExE para ver las extensiones, aquí el resultado (con la nueva extensión .troyano):
Puedes descargar de aquí el programa LExE
Su uso es muy sencillo, solo dale doble click y el programa hará el resto. Si te lista alguna extensión extraña como ejecutable es porque el registro está contaminado. Lo normal es que solo te muestre las siguientes extensiones:
.bat
.cmd
.com
.exe
.pif
.scr
Si el programa te muestra alguna otra extensión entonces deberías empezar a preocuparte.
Extension creator v1.1
Hoy voy a hablarles de un programa que en el pasado tuvo bastante uso, lo que hace es modificar el registro de windows de forma que asocia cualquier extensión a un archivo ejecutable, de manera que una vez contaminado el registro podemos hacer que un archivo con extensión .jpg se ejecute como si fuera un .exe, aunque no es tan sencillo como aparenta.
Leyendo lo anterior pareciera como si el programa nos creara un troyano.jpg y al mandarlo a la víctima y ésta ejecutarlo el programa correría como un exe. Pues no, el extension creator crea un exe que debemos ejecutar previamente en el ordenador víctima para contaminar el registro. Y una vez contaminado es cuando ya podemos mandarle el troyano con la extensión que previamente configuramos con el extension creator.
Un ejemplo, en la captura puede verse como creo una nueva extensión ".troyano", aunque puede ser cualquier tipo de extensión, por ejemplo ".jpg" que es bastante engañosa.
Su uso es muy sencillo, abrimos el editor y pulsamos en el botón open, elegimos el archivo extensioner (es el que mandaremos previamente a la víctima para contaminar el registro), le ponemos un icono (yo le puse el de una carpeta), y en el último campo escribimos la extensión que queremos hacer ejecutable, escribela sin puntos, en mi ejemplo la extensión creada será "troyano" por lo que todos los archivos que terminen en ".troyano" se ejecutarán como un exe.
Una vez configurado le damos a salvar y ya tenemos el archivo listo. El resultado es un archivo ".exe" que debe ser ejecutado en el ordenador víctima para contaminar el registro, una vez ejecutado ese archivo ya podemos mandarle ejecutables con la extensión cambiada.
Lo que hace el programa es modificar el registro de windows de manera que asocia nuestra falsa extensión a los archivos ejecutables. Concretamente las modificaciones que hace son las siguientes:
Con esos cambios el registro queda contaminado y a partir de ahora podemos mandarle archivos con la extensión ".troyano" a la víctima y al ejecutar el archivo funcionará como un exe.
Pueden descargar de aquí el Extension creator v1.1
Leyendo lo anterior pareciera como si el programa nos creara un troyano.jpg y al mandarlo a la víctima y ésta ejecutarlo el programa correría como un exe. Pues no, el extension creator crea un exe que debemos ejecutar previamente en el ordenador víctima para contaminar el registro. Y una vez contaminado es cuando ya podemos mandarle el troyano con la extensión que previamente configuramos con el extension creator.
Un ejemplo, en la captura puede verse como creo una nueva extensión ".troyano", aunque puede ser cualquier tipo de extensión, por ejemplo ".jpg" que es bastante engañosa.
Su uso es muy sencillo, abrimos el editor y pulsamos en el botón open, elegimos el archivo extensioner (es el que mandaremos previamente a la víctima para contaminar el registro), le ponemos un icono (yo le puse el de una carpeta), y en el último campo escribimos la extensión que queremos hacer ejecutable, escribela sin puntos, en mi ejemplo la extensión creada será "troyano" por lo que todos los archivos que terminen en ".troyano" se ejecutarán como un exe.
Una vez configurado le damos a salvar y ya tenemos el archivo listo. El resultado es un archivo ".exe" que debe ser ejecutado en el ordenador víctima para contaminar el registro, una vez ejecutado ese archivo ya podemos mandarle ejecutables con la extensión cambiada.
Lo que hace el programa es modificar el registro de windows de manera que asocia nuestra falsa extensión a los archivos ejecutables. Concretamente las modificaciones que hace son las siguientes:
Con esos cambios el registro queda contaminado y a partir de ahora podemos mandarle archivos con la extensión ".troyano" a la víctima y al ejecutar el archivo funcionará como un exe.
Pueden descargar de aquí el Extension creator v1.1
19 ene 2011
Fearless Bound File Detector v0.2
Hace mucho tiempo existió un grupo de hackers llamados areyoufearless, cuya página ya desaparecida era http://areyoufearless.com/, en este grupo había programadores muy prometedores, alguno de los cuales terminó en prisión, pero esa es otra historia...
Entre estos programadores había uno que usaba el nick de Ghirai, autor del viejo programa que les traigo hoy. Este programa sirve para detectar si un archivo ha sido bindeado (unido) a otro u otros.
Por si no lo sabían hay gente que para infectar ordenadores "pega" el troyano a un archivo legítimo mediante programas llamados binders. De este modo uno piensa que está ejecutando el crack del photoshop o una animación flash o una broma, y en realidad está ejecutando un troyano oculto.
Digamos que la palabra troyano merece ser aplicada a archivos que tienen "pegado" otro archivo, este último malicioso.
Para saber si un archivo que has bajado de internet o que alguien te ha enviado por el messenger o por correo está infectado (bindeado a un troyano) puedes usar este programa. Te dirá si el archivo está o no bindeado, te dirá el tamaño de los datos "extra" que hay pegados, y el offset (dirección) en la que empiezan los datos extra. Además puede limpiar el archivo dejando únicamente el stub (archivo encargado de separar y ejecutar el troyano).
Es un programa muy util para extraer los stubs y para detectar troyanos bindeados.
Aquí una captura del análisis a un archivo limpio:
Y aquí puede verse el resultado tras analizar un archivo infectado:
Puedes descargar el programa de aquí: Fearless Bound File Detector v0.2
Entre estos programadores había uno que usaba el nick de Ghirai, autor del viejo programa que les traigo hoy. Este programa sirve para detectar si un archivo ha sido bindeado (unido) a otro u otros.
Por si no lo sabían hay gente que para infectar ordenadores "pega" el troyano a un archivo legítimo mediante programas llamados binders. De este modo uno piensa que está ejecutando el crack del photoshop o una animación flash o una broma, y en realidad está ejecutando un troyano oculto.
Digamos que la palabra troyano merece ser aplicada a archivos que tienen "pegado" otro archivo, este último malicioso.
Para saber si un archivo que has bajado de internet o que alguien te ha enviado por el messenger o por correo está infectado (bindeado a un troyano) puedes usar este programa. Te dirá si el archivo está o no bindeado, te dirá el tamaño de los datos "extra" que hay pegados, y el offset (dirección) en la que empiezan los datos extra. Además puede limpiar el archivo dejando únicamente el stub (archivo encargado de separar y ejecutar el troyano).
Es un programa muy util para extraer los stubs y para detectar troyanos bindeados.
Aquí una captura del análisis a un archivo limpio:
Y aquí puede verse el resultado tras analizar un archivo infectado:
Puedes descargar el programa de aquí: Fearless Bound File Detector v0.2
Sub7 2.3.1
Nueva actualización del famoso troyano, no usen la versión anterior, tiene muchos fallos.
Despues de muchas aventuras los programadores de Sub7 han abandonado el proyecto, fc defraudó a la comunidad y read101 terminó esta versión que es mucho mejor que la 2.3, actualicense a esta versión.
Descargalo de aquí: Sub7 2.3.1
Algún día les contaré la historia completa, quedense con que fc quería sacar dinero del nuevo sub7 vendiendo incluso cuentas del foro (sí, había que pagar por registrarse), de modo que fue hackeado.
Read101 se separó de su compañero y decidió continuar solo el proyecto, aquí esta.
Pruebenlo y comenten como les ha ido con el.
Despues de muchas aventuras los programadores de Sub7 han abandonado el proyecto, fc defraudó a la comunidad y read101 terminó esta versión que es mucho mejor que la 2.3, actualicense a esta versión.
Descargalo de aquí: Sub7 2.3.1
Algún día les contaré la historia completa, quedense con que fc quería sacar dinero del nuevo sub7 vendiendo incluso cuentas del foro (sí, había que pagar por registrarse), de modo que fue hackeado.
Read101 se separó de su compañero y decidió continuar solo el proyecto, aquí esta.
Pruebenlo y comenten como les ha ido con el.
Manual Sub7 2.3
He recibido varios mensajes pidiendo un manual de este troyano en español. No tengo mucho tiempo pero aquí tienen un pequeño manual en español explicando lo más básico de esta nueva versión del troyano más famoso de todos los tiempos.
Antes de empezar descarga el troyano de aquí. Se trata de la última versión. Puedes leer aquí más información sobre la última versión del subseven.
Editando un servidor al gusto.
El primer paso que voy a explicar es como construir nuestro servidor personalizado, pues este es el paso más importante y en el que muchos se pierden. En próximas entregas trataré de explicar las distintas funciones del cliente.
Abramos pues el archivo editserver.exe, el programa se nos mostrará tal que así:
Una vez abierto el programa debemos cargar en el nuestro servidor (archivo server.exe), para ello debemos pulsar en la parte superior donde están los ...
Se abrirá una ventana de dialogo para seleccionar el archivo que queremos editar, recuerda que solo funcionará con el servidor de la versión 2.3, selecciona el archivo y listo.
Una vez seleccionado el servidor pulsamos en el botón Read (a la derecha) para leer la configuración que trae el servidor por defecto (si ya lo habías editado antes entonces te mostrará la configuración que le habías puesto).
Ahora que ya tienes cargado el servidor viene lo importante, configurarlo a tu gusto. Las opciones son las siguientes:
Server extension: aquí elegimos la extensión que tendrá el archivo final, tenemos varias para elegir, exe, pif, com, bat, scr. Debes elegir una, la más típica y por tanto la más sospechosa es exe.
Install directory: aquí elegiremos en que directorio queremos que se esconda el servidor una vez que haya sido ejecutado, podemos elegir entre 2 rutas diferentes, system y windows, elige la que más te convenga.
Protect server: aquí podemos ponerle una contraseña al servidor para que solo nosotros podamos usarlo, elige un buen password y recuerdalo.
Custom directory: aquí podemos poner el directorio que queramos (ver Install directory). Esta opción es una alternativa a los directorios comunes, si no sabes bien que poner aquí no marques esta opción y dejala en blanco.
Melt: marcaremos esta opción si queremos que el servidor se borre al ser ejecutado, imagina que envias el servidor con el nombre foto.exe a la víctima, si esta opción está marcada al ejecutar el servidor éste se copiará al directorio que hayamos puesto en la configuración y el archivo original se borrará automáticamente.
Wait for reebot: si marcamos esta opción el servidor no empezará a funcionar hasta que se reinicie la máquina donde está instalado, si no la marcas el servidor empezará a funcionar nada más ejecutarse.
Run server visible: marcando esta opción el servidor funcionará visible, se usa para pruebas en el propio ordenador, para camuflar el servidor debes desmarcar esta opción.
Server name: aquí debes ponerle un nombre al servidor, de lo contrario no podrás guardar tu configuración. Importante, el nombre debe contener la extensión, por ejemplo servidor.exe, servidor.pif, etc.
Ahora si observas la parte izquierda del programa verás más botones, pulsa el que dice Fake messages.
En esta sección puedes crear un mensaje de error personalizado, así cuando la victima ejecute el troyano se le mostrará un mensaje diciendo lo que tu hayas configurado, la victima pensará que el archivo no funciona al ver el mensaje, pero ya estará infectado.
Para activar el mensaje falso marca la casilla que pone enable. Elige algún icono a la derecha, el icono se mostrará junto al mensaje. Configuralo al gusto, puedes ver como queda el mensaje de error pulsando el botón que pone Test.
Vuelve a los botones de la izquierda, pulsa en Startup methods. Esta es una parte muy importante de la configuración, si no seleccionas nada entonces el servidor solo funcionará una vez. Si marcas alguna de las casillas entonces el servidor funcionará cada vez que se inicie windows.
Si marcas alguna de las casillas que comienzan por Registry entonces deberás cubrir también el campo que dice Key name (puedes poner por ejemplo un nombre engañoso como drivers). No puedo recomendarte un método de inicio, el más común es Registry Run. Lo importante es que marques alguna casilla para que el servidor se inicie con windows. Y recuerda que si eliges alguno de los métodos que empiezan por Registry debes rellenar la casilla que pone Key name.
Volvamos a los botones de la izquierda y pulsemos sobre Notifications. Hay 2 tipos de notificaciones, la sin y cgi/php (esta última es mediante web y no voy a explicarla). Marcamos la opción sin, y en sin settings escribimos nuestra dirección no-ip donde pone dns/ip, y en la otra casilla, a continuación de los : escribiremos un número de puerto que es importante recordar pues el cliente escuchará las conexiones de los infectados en ese puerto. Por ejemplo ponemos el puerto 1234, y tendremos que abrir ese puerto en nuestro router para recibir las conexiones. Recuerda que esta nueva versión es de conexión inversa.
Volvemos a los botones de la izquierda, pulsamos en Win Firewall, y marcamos las 3 casillas que aparecen, con ello desactivaremos las defensas de windows.
Volvemos a los botones de la izquierda, pulsamos Bind Files, en la parte derecha pulsamos sobre files y luego sobre add files. Esta opción sirve para juntar nuestro servidor con una aplicación inofensiva, por ejemplo un crack o una animación en flash. Si juntamos nuestro servidor con otro archivo el resultado será un solo archivo que contiene nuestro servidor y otro archivo que disimulará la infección.
Volvemos a los botones de la izquierda, y nos queda el último, Exe Icon, sirve para ponerle el icono que queramos a nuestro servidor. Hay miles de iconos en internet, bajate algunos y prueba a ponerselos al servidor.
Volvemos a los botones de la izquierda, el de abajo del todo donde dice Save/as Settings, una vez que tengas configurado el servidor solo tienes que darle a ese botón y elegir una de las opciones que salen, save settings escribirá la configuración en el servidor que hayas cargado previamente, y save settings as salvará una nueva copia del servidor con tu nueva configuración dejando sin tocar el servidor original.
Ahora voy a explicar básicamente como poner el cliente a funcionar y dejarlo listo para recibir las conexiones de los infectados.
Abrimos el client.exe y pulsamos donde indica la flecha amarilla en la foto:
En la nueva ventana escribimos el puerto que hayamos configurado con el editserver.exe en la sección Notifications, debes poner el mismo puerto. Despues le das a open port, en la foto el puerto elegido es el 999, pero tu pon el tuyo, y recuerda que debes abrir ese puerto en el router.
Puede salirte una alerta de windows adviertiendo que el cliente de sub7 está tratando de ponerse a la escucha, debes permitir el acceso dandole a permitir acceso.
Si todo está configurado correctamente en cuanto el servidor sea ejecutado por la víctima tratará de conectarse al cliente y te aparecerá un cartel avisando de las conexiones abajo a la izquierda, junto al reloj.
Y en el cliente podrás ver las conexiones, en la ventana SIN:
Ahora solo tienes que experimentar las diferentes funciones del programa. Las iré explicando en proximos mensajes.
Antes de empezar descarga el troyano de aquí. Se trata de la última versión. Puedes leer aquí más información sobre la última versión del subseven.
Editando un servidor al gusto.
El primer paso que voy a explicar es como construir nuestro servidor personalizado, pues este es el paso más importante y en el que muchos se pierden. En próximas entregas trataré de explicar las distintas funciones del cliente.
Abramos pues el archivo editserver.exe, el programa se nos mostrará tal que así:
Una vez abierto el programa debemos cargar en el nuestro servidor (archivo server.exe), para ello debemos pulsar en la parte superior donde están los ...
Se abrirá una ventana de dialogo para seleccionar el archivo que queremos editar, recuerda que solo funcionará con el servidor de la versión 2.3, selecciona el archivo y listo.
Una vez seleccionado el servidor pulsamos en el botón Read (a la derecha) para leer la configuración que trae el servidor por defecto (si ya lo habías editado antes entonces te mostrará la configuración que le habías puesto).
Ahora que ya tienes cargado el servidor viene lo importante, configurarlo a tu gusto. Las opciones son las siguientes:
Server extension: aquí elegimos la extensión que tendrá el archivo final, tenemos varias para elegir, exe, pif, com, bat, scr. Debes elegir una, la más típica y por tanto la más sospechosa es exe.
Install directory: aquí elegiremos en que directorio queremos que se esconda el servidor una vez que haya sido ejecutado, podemos elegir entre 2 rutas diferentes, system y windows, elige la que más te convenga.
Protect server: aquí podemos ponerle una contraseña al servidor para que solo nosotros podamos usarlo, elige un buen password y recuerdalo.
Custom directory: aquí podemos poner el directorio que queramos (ver Install directory). Esta opción es una alternativa a los directorios comunes, si no sabes bien que poner aquí no marques esta opción y dejala en blanco.
Melt: marcaremos esta opción si queremos que el servidor se borre al ser ejecutado, imagina que envias el servidor con el nombre foto.exe a la víctima, si esta opción está marcada al ejecutar el servidor éste se copiará al directorio que hayamos puesto en la configuración y el archivo original se borrará automáticamente.
Wait for reebot: si marcamos esta opción el servidor no empezará a funcionar hasta que se reinicie la máquina donde está instalado, si no la marcas el servidor empezará a funcionar nada más ejecutarse.
Run server visible: marcando esta opción el servidor funcionará visible, se usa para pruebas en el propio ordenador, para camuflar el servidor debes desmarcar esta opción.
Server name: aquí debes ponerle un nombre al servidor, de lo contrario no podrás guardar tu configuración. Importante, el nombre debe contener la extensión, por ejemplo servidor.exe, servidor.pif, etc.
Ahora si observas la parte izquierda del programa verás más botones, pulsa el que dice Fake messages.
En esta sección puedes crear un mensaje de error personalizado, así cuando la victima ejecute el troyano se le mostrará un mensaje diciendo lo que tu hayas configurado, la victima pensará que el archivo no funciona al ver el mensaje, pero ya estará infectado.
Para activar el mensaje falso marca la casilla que pone enable. Elige algún icono a la derecha, el icono se mostrará junto al mensaje. Configuralo al gusto, puedes ver como queda el mensaje de error pulsando el botón que pone Test.
Vuelve a los botones de la izquierda, pulsa en Startup methods. Esta es una parte muy importante de la configuración, si no seleccionas nada entonces el servidor solo funcionará una vez. Si marcas alguna de las casillas entonces el servidor funcionará cada vez que se inicie windows.
Si marcas alguna de las casillas que comienzan por Registry entonces deberás cubrir también el campo que dice Key name (puedes poner por ejemplo un nombre engañoso como drivers). No puedo recomendarte un método de inicio, el más común es Registry Run. Lo importante es que marques alguna casilla para que el servidor se inicie con windows. Y recuerda que si eliges alguno de los métodos que empiezan por Registry debes rellenar la casilla que pone Key name.
Volvamos a los botones de la izquierda y pulsemos sobre Notifications. Hay 2 tipos de notificaciones, la sin y cgi/php (esta última es mediante web y no voy a explicarla). Marcamos la opción sin, y en sin settings escribimos nuestra dirección no-ip donde pone dns/ip, y en la otra casilla, a continuación de los : escribiremos un número de puerto que es importante recordar pues el cliente escuchará las conexiones de los infectados en ese puerto. Por ejemplo ponemos el puerto 1234, y tendremos que abrir ese puerto en nuestro router para recibir las conexiones. Recuerda que esta nueva versión es de conexión inversa.
Volvemos a los botones de la izquierda, pulsamos en Win Firewall, y marcamos las 3 casillas que aparecen, con ello desactivaremos las defensas de windows.
Volvemos a los botones de la izquierda, pulsamos Bind Files, en la parte derecha pulsamos sobre files y luego sobre add files. Esta opción sirve para juntar nuestro servidor con una aplicación inofensiva, por ejemplo un crack o una animación en flash. Si juntamos nuestro servidor con otro archivo el resultado será un solo archivo que contiene nuestro servidor y otro archivo que disimulará la infección.
Volvemos a los botones de la izquierda, y nos queda el último, Exe Icon, sirve para ponerle el icono que queramos a nuestro servidor. Hay miles de iconos en internet, bajate algunos y prueba a ponerselos al servidor.
Volvemos a los botones de la izquierda, el de abajo del todo donde dice Save/as Settings, una vez que tengas configurado el servidor solo tienes que darle a ese botón y elegir una de las opciones que salen, save settings escribirá la configuración en el servidor que hayas cargado previamente, y save settings as salvará una nueva copia del servidor con tu nueva configuración dejando sin tocar el servidor original.
Ahora voy a explicar básicamente como poner el cliente a funcionar y dejarlo listo para recibir las conexiones de los infectados.
Abrimos el client.exe y pulsamos donde indica la flecha amarilla en la foto:
En la nueva ventana escribimos el puerto que hayamos configurado con el editserver.exe en la sección Notifications, debes poner el mismo puerto. Despues le das a open port, en la foto el puerto elegido es el 999, pero tu pon el tuyo, y recuerda que debes abrir ese puerto en el router.
Puede salirte una alerta de windows adviertiendo que el cliente de sub7 está tratando de ponerse a la escucha, debes permitir el acceso dandole a permitir acceso.
Si todo está configurado correctamente en cuanto el servidor sea ejecutado por la víctima tratará de conectarse al cliente y te aparecerá un cartel avisando de las conexiones abajo a la izquierda, junto al reloj.
Y en el cliente podrás ver las conexiones, en la ventana SIN:
Ahora solo tienes que experimentar las diferentes funciones del programa. Las iré explicando en proximos mensajes.
Suscribirse a:
Entradas (Atom)