Assa*SIN* v1.1 (2ª parte)

Continuamos con el tutorial de Assa*SIN*, despues de ver como se configuraba el servidor desde el propio cliente pasaremos a ver como se maneja el cliente y que funciones tiene.

El primer paso es poner el cliente a la escucha para que reciba las notificaciones de los servidores, para ello en la columna de la izquierda pulsaremos sobre Notification y luego sobre LAN, de manera que nos mostrará lo siguiente:



Ahí podemos especificar los puertos con los que configuramos el servidor, y despues solo hay que pulsar sobre el botón que dice Open ports. Ahora el cliente está listo para recibir las conexiones de los servidores. Recuerda que si usas un router para conectarte a internet debes abrir esos puertos también en el router.

En cuanto algún servidor se conecte se nos mostrará tal que así:



Si hay varios servidores conectados se nos mostrarán todos en una lista, ahora para conectar con uno de los servidores solo tenemos que seleccionarlo con el ratón y darle doble click. Automáticamente estaremos conectados a el y podremos enviarle órdenes, sabremos que estamos conectados por que en la parte inferior del cliente veremos:



Ahora ya podemos probar libremente todas las opciones del cliente. Para desinstalar el servidor dirigirse a la columna de la izquierda y pulsar en System y luego en Server options:



Aquí tienen el keylogger, que aunque hace su trabajo (deben pulsar el botón get keys para que muestre lo capturado) no es realmente un buen keylogger, falla con algunos caracteres como la ñ o los acentos. Pero funciona.



Las herramientas más interesantes están en la sección Core Controls, donde tenemos el administrador de archivos, administrador de tareas, de procesos, editor del registro y una opción que pocos troyanos tienen "Net manager" con la cual podemos explorar la red LAN a la que pertenece el ordenador donde corre el servidor de assasin.

Muchas de las opciones aparecen en el programa principal, pero pueden separarse del mismo mediante el botón "Detach":



Así podemos separar las ventanas y ordenarlas a nuestro gusto:



Para las capturas de pantalla y de webcam se requiere un plugin, podemos comprobar si lo tiene ya en su equipo en el siguiente botón:




Si no lo tiene nos preguntará si queremos subirle el plugin. Es una dll, que también es detectada por los antivirus.

Por último destacar el exe killer, que se encargará de mantener una lista de archivos que no podrán ser ejecutados en la computadora infectada.

La lista que trae es bastante amplia y nos permite añadir nuevos nombres de archivos:



Pueden descargar de aquí el Assa*SIN* v1.1

Assa*SIN* v1.1 (parte 1)

Este troyano fue publicado en el año 2002, su autor es LOM, y en aquellos años fue uno de los troyanos más innovadores del momento por varias cosas, de las que podemos destacar la conexión inversa y la notificación por MSN.



Esta es la versión 1.1, no les hablo de la versión anterior porque tenía algunos fallos y era más inestable que esta versión. Existen versiones posteriores del troyano, pero son bastante diferentes y, de momento, no las vamos a tratar aquí.

Si leyeron el artículo sobre conexión directa/conexión inversa sabrán las implicaciones que tuvo en su momento la aparición de esta herramienta.

En este artículo aprenderemos a usar este fabuloso troyano.

Para configurar nuestro servidor personalizado debemos dirigirnos a la columna de la izquierda y pinchar sobre "edit server", entonces se nos mostrará en la parte principal del programa el editor de servidores, fijense en la parte inferior del editor, hay 3 pestañas llamadas "settings", "notify", y "msn/lan". Debemos avanzar por las pestañas y cubrir todos los campos que necesitemos personalizar.



Empecemos:

Server file: output file name.
Aquí debemos escribir un nombre para el servidor, para el archivo resultante, debe contener la extensión .exe, una vez construido el servidor podemos cambiarle el nombre. Por ejemplo lo llamamos prueba.exe, y el segundo campo (junto al botón write) lo dejan en blanco. El botón write se usará al final para crear nuestro servidor personalizado.

General
Aquí debemos escribir un número de puerto. Este troyano usa ambas conexiones (directa e inversa), por lo que este puerto será usado para la conexión directa. En server exe deben escribir un nombre que no sea muy sospechoso, será el nombre con el que finalmente el troyano se copiará en el ordenador infectado.

Start up
Aquí configuraremos el método de inicio, tenemos 2, el simple y uno especial que se llama hide method. Este último funciona de la siguiente manera, al iniciarse windows se inicia el servidor del assasin y borra la clave de inicio, al apagarse windows vuelve a crearse la clave de inicio para arrancar la siguiente vez que se inicie windows. Es un buen método que evita que alguien descubra el troyano examinando las entradas del registro pero tiene un fallo, si el ordenador se apaga bruscamente (un corte de luz por ejemplo) no se escribirá la clave para el siguiente reinicio y ya no se iniciará, por ello recomiendo marcar las 2 opciones.

Other
Aquí le pondremos una contraseña al servidor para la conexión directa, podemos marcar la opción kill firewall que sirve para matar los procesos de varios programas de seguridad (es bastante agresivo), también podemos poner un mensaje de error falso.

Vamos ahora a la segunda pestaña, donde pone notify. Allí tenemos 2 tipos de notificación, la notificación por ICQ se ha quedado obsoleta y no creo que funcione, la notificación por php sí que funciona perfectamente. Esta última notificación es bastante fiable pero algo complicada de explicar, por lo cual lo dejo para otro artículo.

Msn/Lan
Por último, aquí podemos configurar la notificación por msn, que posiblemente esté obsoleta y no funcione (no lo he probado). Y también podemos configurar la conexión inversa. En el apartado Lan Options debemos marcar la opción "use lan technology if lan is detected", y en el campo donde pone hostname/ip pondremos nuestra dirección no-ip o cualquier otro dns dinámico que tengamos, tambien podemos poner nuestra ip si es estática. Por último pondremos los puertos, son 2, uno por el que se conectarán los servidores a nosotros para notificarnos y otro por el que se realizará la conexión del troyano. Como siempre, si nosotros estamos tras un router debemos abrir esos 2 puertos para que nos lleguen las conexiones.

Ahora para crear el servidor pulsamos el botón write.

Y eso es todo por ahora, en el proximo artículo seguiremos hablando de este magnífico troyano.

Open Source Code Crypter 1.0

Este programa fue escrito por p0ke, un prolífico autor de malware. Está escrito en delphi y en el archivo se incluye el código fuente del mismo, pudiendo modificarse el archivo stub directamente desde el código para hacerlo indetectable a los antivirus.

Sus características son:

-Permite juntar y cifrar hasta 10 archivos.
-Ejecuta los archivos cifrados en memoria.
-Soporta el cifrado de programas cuya configuración se guarda en el EOF.
-Permite usar stubs personalizados.
-Permite copiar los archivos cifrados en disco y elegir el directorio.
-Para juntar los archivos los añade como recursos.
-El cifrado usado es un XOR personalizado.
-Para la ejecución en memoria emplea la unit uMemoryExecute creada por p0ke (no funciona en windows 7).
-Disponible el código fuente.



Puedes descargar de aquí el programa Open Source Code Crypter.

Conexión directa / Conexión inversa

Muchos novatos no tienen claras las diferencias entre una conexión y otra, en este artículo trataré de aclarar un poco los conceptos para que todo quede claro de una vez por todas.

En un principio los troyanos eran programas cuyo uso era meramente lúdico, servían para gastar buenas bromas a los amigos, les abrías la bandeja del cd, le dabas la vuelta a su pantalla, podías manejar su ratón, etc. Pero con el tiempo los troyanos fueron utilizados como herramientas de hacking, es decir, se empezaron a usar para entrar ilegalmente en otros ordenadores y robar información.

Al final de los años 90 se empezaron a popularizar los troyanos, vea historia de los troyanos para más información. Y como digo se empezaron a usar para gastar bromas a los amigos.

No era dificil infectar ordenadores de empresas, pero estos ordenadores generalmente están dentro de una red interna y no tienen una salida directa a internet, por lo que aun infectados no se podía conectar a ellos.

En aquellos tiempos los ordenadores particulares sí estaban directamente conectados a internet y por ello era posible conectare a ellos mediante un troyano.

Con un esquema cutre quizás se entienda mejor:


-Esquema ordenador particular-

Ordenata ----> internés <--- hackerillo malvado


-Esquema ordenador empresa-

Ordenata ---> router/proxy/firewall ---> internés <--- hackerillo malvado


Como veis en el esquema el hackerillo malvado no podía conectarse al Ordenata porque éste no se conecta directamente a internet sino que un router, un proxy o un firewall hacen de intermediarios con internet. El hackerillo malvado lanzaba su troyano favorito pero se encontraba con que Ordenata rechazaba las conexiones (en realidad la conexión ni tan siquiera llegaba a Ordenata sino que llegaba al router/proxy/firewall y era rechazada).

Para entrar más en situación vamos a contar una historia.

Hackercillo malvado había conseguido la última versión del Sub7 (corria el año 2000 de nuestro señor jesucristo y la última versión del sub7 era la 2.0). Configuró el servidor siguiendo algunos manuales que encontró por la red y se lo mandó a varias personas por correo electrónico.

Felipe estaba en su casa tranquilamente mirando el correo en hotmail, vio el correo de hackercillo malvado y lo abrió, traia un archivo adjunto cuyo nombre era superjuego.exe, Felipe estaba aburrido así que lo abrió para ver que juego era, pero el juego no parecía funcionar, mostró un mensaje de error bastante incomprensible y se cerró.

Felipe olvidó pronto el incidente y siguió mirando otros mensajes de correo.

Pero el mal ya había actuado. El mensaje de error era falso, una tapadera, el programa sí había funcionado y el ordenador de Felipe ya estaba infectado por el sub7. El servidor del sub7 envió secretamente un mensaje de correo a hackercillo malvado, en ese mensaje venía la dirección ip del ordenador de Felipe, que en aquellos tiempos estaba conectado a internet directamente.

Hackercillo malvado vió el mensaje de correo con la ip del ordenador de Felipe y se conectó directamente a él. A partir de entonces espió a Felipe todo lo que quiso y más.

En otra parte del mundo Juan estaba en su oficina, aburrido porque había poco trabajo, decidió mirar su correo y vió que alguien le había mandado un juego, superjuego.exe, lo abrió, el programa mostró un error fatal y se cerró. Juan olvidó pronto el incidente. Pero sub7 ya había infectado su equipo. El troyano mandó un correo a hackercillo malvado, en ese mensaje venía la dirección del ordenador de Juan pero esa ip no era una ip pública sino una ip privada, perteneciente a la red interna de la empresa donde trabajaba Juan. Además venía otra ip, la ip del router/proxy/firewall a través del cual el ordenador de Juan se conectaba a internet.

Hackercillo malvado intentaba conectarse a la ip pública, pero esa ip no era la del ordenador de Juan sino la del router/proxy/firewall, por lo que el puerto del sub7 no estaba abierto y la conexión era imposible.

A hackercillo malvado le llegaban notificaciones del ordenador de Juan todos los días, por lo que sabía que estaba infectado, pero no podía conectarse a él.

Debido a este problema los hackercillos malvados del mundo entero solo atacaban por lo general ordenadores personales que estaban directamente conectados a internet. Las empresas y sus secretos permanecían a salvo de ataques de este tipo.

Un buen día hackercillo malvado charlaba con un compinche a través del irc y le comentó su problema, le contó que recibía notificaciones de ordenadores a los que no podía conectarse, entonces el compinche le habló de un nuevo troyano llamado ASSA*SIN* con el cual dejaría de tener ese problema.

Efectivamente, hackercillo malvado consiguió una copia del troyano ASSA*SIN* y empezó a hacer travesuras... y la cosa funcionó mejor de lo que esperaba. Hackercillo malvado ahora podía conectarse también a ordenadores de empresas resguardados tras cortafuegos, routers y proxys.

¿Como fue posible?.

Sencillo, hasta la aparición del troyano ASSA*SIN* el funcionamiento de los troyanos era así:

Hackercillo malvado debía conocer la ip pública, y se conectaba directamente a esa ip pública. Si no había ip pública no había nada que hacer.

Con ASSA*SIN* la cosa era así:

Hackercillo malvado debía tener una ip pública, y los ordenadores infectados se conectaban a él desde internet, sin importar que su ip fuera pública, que estuvieran parapetados tras un router... el ordenador infectado lanzaba una conexión hacia internet, hacía el ordenador de hackercillo malvado, que esperaba ansiosamente las conexiones.

Y ese paso fue toda una revolución en el mundo de los troyanos, ahora eran los ordenadores infectados los que salían a buscar a hackercillos malvados de todo el mundo. Estas conexiones salientes son lo que llamamos hoy conexión inversa.

Nota: es dificil asegurar cual fue el primer troyano que usó la conexión inversa, en el año 2001 tres autores de malware estaban trabajando a la vez en distintos troyanos de conexión inversa, estos fueron:

LOM, autor del ASSA*SIN*
Read101, autor del Lanfiltrator
Aphex, autor del Institution

En el año 2002 empezaron a publicar sus programas.

Tutorial Sub7 2.3.1 cliente 1ª parte

Continuamos con los tutoriales dedicados al nuevo Sub7 cuya versión más actual es la 2.3.1, publicada por Read101.

Hoy veremos como se usa el cliente, si quieres saber como se usa el editor puedes mirar el manual del sub7 2.3

No voy a entrar en detalles sobre como se configura no-ip, o cualquier otro sistema de dns dinámico. Hay muchos tutoriales en la red, búscalos y leelos si no sabes nada sobre configurar no-ip. Necesitarás una cuenta en algún sistema de dns dinámico, preferiblemente no-ip, ya que el cliente facilita el trabajo con no-ip, pero puede ser dyndns o cualquier otro.



En la parte superior del cliente teneis el actualizador de no-ip, basicamente lo que hace es actualizar la ip asociada a vuestra cuenta de no-ip, necesitais poner vuestro nombre de usuario, la contraseña, vuestra dirección no-ip y vuestra ip pública. La ip pública la obtiene el programa si pinchais sobre el símbolo ! que aparece a la derecha del cuadro "your ip".

Una vez que tengais los campos cubiertos le dais a Update y el cliente del sub7 se conectará a no-ip con vuestra cuenta y actualizará la ip pública.

El servidor se conectará a vuestra ip pública, por lo que debeis abrir el puerto que configurasteis con el editor en vuestro router. Si os conectais a través de un router es necesario abrir el puerto para que funcione.

Si usais otro sistema diferente a no-ip tendreis que actualizar vuestra ip pública de otra manera.

Una vez actualizada vuestra ip pública solo teneis que abrir la consola SIN para recibir las conexiones de los servidores.


La consola SIN se abre pulsando el primero de esos botones empezando por la izquierda. Se abrirá una ventana tal que así:


La ventana de la derecha es la consola SIN donde vereis los ordenadores infectados que están conectados a vosotros. Para poner en funcionamiento la consola SIN debeis escribir el puerto por el que conectarán los servidores, en la foto yo he puesto el puerto 6667. El puerto debe ser el mismo con el que configurasteis el servidor, y teneis que abrirlo en el router. Una vez puesto el puerto le dais a open, y ya estará listo para recibir conexiones.

En la captura de arriba podemos ver como se muestra un infectado conectado, nos dice el pais, la ip pública, la ip privada, el nombre del equipo y el sistema operativo.

Para empezar a controlar ese ordenador solo tenemos que seleccionarlo de manera que se nos muestre como en esta captura:


Si os fijais ha aparecido un círculo verde en el lugar donde antes estaba la bandera, eso quiere decir que el servidor está preparado para recibir órdenes.

Cada vez que querais controlar un servidor debeis seleccionarlo y debe ponerse ese círculo verde como icono.

Ahora ya podemos probar todas las opciones que nos ofrece el nuevo Sub7.

No voy a explicar todas las funciones ahora, solo una a modo de ejemplo, el file manager, que es un administrador de archivos, con el que podemos subir y bajar archivos del ordenador infectado, ejecutarlos, borrarlos, etc.

En la derecha teneis todas las opciones que tiene el cliente, pinchamos en Managers y luego en File Manager, se abrirá una nueva ventana donde podremos administrar los archivos del ordenador infectado:

En la parte derecha tenemos los botones con los que manejar los archivos, en la captura se ve el directorio windows del ordenador infectado. Podríamos crear directorios nuevos, reproducir archivos de audio, borrar archivos, descargar o subir archivos, etc.

Y aquí termina el manual, otro día veremos que otras opciones tiene este nuevo Sub7.

LExE listar extensiones ejecutables

Este programa es bastante util, sirve para listar todas las extensiones ejecutables de nuestro sistema. Como vimos hay maneras de contaminar el registro de windows para asociar cualquier extensión a un ejecutable, permitiéndonos mandar troyanos con extensión .jpg por ejemplo. Un programa que servía para automatizar la contaminación del registro es el Extension creator sobre el cual ya he escrito algunas palabras.

Hoy vamos a ver como protegernos de este tipo de ardides.

El programa LExE listará todas las extensiones ejecutables de nuestro sistema. Yo he creado una nueva extensión ejecutable en mi windows llamada ".troyano" y despues he usado el LExE para ver las extensiones, aquí el resultado (con la nueva extensión .troyano):



Puedes descargar de aquí el programa LExE

Su uso es muy sencillo, solo dale doble click y el programa hará el resto. Si te lista alguna extensión extraña como ejecutable es porque el registro está contaminado. Lo normal es que solo te muestre las siguientes extensiones:

.bat
.cmd
.com
.exe
.pif
.scr

Si el programa te muestra alguna otra extensión entonces deberías empezar a preocuparte.

Extension creator v1.1

Hoy voy a hablarles de un programa que en el pasado tuvo bastante uso, lo que hace es modificar el registro de windows de forma que asocia cualquier extensión a un archivo ejecutable, de manera que una vez contaminado el registro podemos hacer que un archivo con extensión .jpg se ejecute como si fuera un .exe, aunque no es tan sencillo como aparenta.

Leyendo lo anterior pareciera como si el programa nos creara un troyano.jpg y al mandarlo a la víctima y ésta ejecutarlo el programa correría como un exe. Pues no, el extension creator crea un exe que debemos ejecutar previamente en el ordenador víctima para contaminar el registro. Y una vez contaminado es cuando ya podemos mandarle el troyano con la extensión que previamente configuramos con el extension creator.

Un ejemplo, en la captura puede verse como creo una nueva extensión ".troyano", aunque puede ser cualquier tipo de extensión, por ejemplo ".jpg" que es bastante engañosa.



Su uso es muy sencillo, abrimos el editor y pulsamos en el botón open, elegimos el archivo extensioner (es el que mandaremos previamente a la víctima para contaminar el registro), le ponemos un icono (yo le puse el de una carpeta), y en el último campo escribimos la extensión que queremos hacer ejecutable, escribela sin puntos, en mi ejemplo la extensión creada será "troyano" por lo que todos los archivos que terminen en ".troyano" se ejecutarán como un exe.

Una vez configurado le damos a salvar y ya tenemos el archivo listo. El resultado es un archivo ".exe" que debe ser ejecutado en el ordenador víctima para contaminar el registro, una vez ejecutado ese archivo ya podemos mandarle ejecutables con la extensión cambiada.

Lo que hace el programa es modificar el registro de windows de manera que asocia nuestra falsa extensión a los archivos ejecutables. Concretamente las modificaciones que hace son las siguientes:



Con esos cambios el registro queda contaminado y a partir de ahora podemos mandarle archivos con la extensión ".troyano" a la víctima y al ejecutar el archivo funcionará como un exe.

Pueden descargar de aquí el Extension creator v1.1

Fearless Bound File Detector v0.2

Hace mucho tiempo existió un grupo de hackers llamados areyoufearless, cuya página ya desaparecida era http://areyoufearless.com/, en este grupo había programadores muy prometedores, alguno de los cuales terminó en prisión, pero esa es otra historia...

Entre estos programadores había uno que usaba el nick de Ghirai, autor del viejo programa que les traigo hoy. Este programa sirve para detectar si un archivo ha sido bindeado (unido) a otro u otros.

Por si no lo sabían hay gente que para infectar ordenadores "pega" el troyano a un archivo legítimo mediante programas llamados binders. De este modo uno piensa que está ejecutando el crack del photoshop o una animación flash o una broma, y en realidad está ejecutando un troyano oculto.

Digamos que la palabra troyano merece ser aplicada a archivos que tienen "pegado" otro archivo, este último malicioso.

Para saber si un archivo que has bajado de internet o que alguien te ha enviado por el messenger o por correo está infectado (bindeado a un troyano) puedes usar este programa. Te dirá si el archivo está o no bindeado, te dirá el tamaño de los datos "extra" que hay pegados, y el offset (dirección) en la que empiezan los datos extra. Además puede limpiar el archivo dejando únicamente el stub (archivo encargado de separar y ejecutar el troyano).

Es un programa muy util para extraer los stubs y para detectar troyanos bindeados.

Aquí una captura del análisis a un archivo limpio:



Y aquí puede verse el resultado tras analizar un archivo infectado:




Puedes descargar el programa de aquí: Fearless Bound File Detector v0.2

Sub7 2.3.1

Nueva actualización del famoso troyano, no usen la versión anterior, tiene muchos fallos.

Despues de muchas aventuras los programadores de Sub7 han abandonado el proyecto, fc defraudó a la comunidad y read101 terminó esta versión que es mucho mejor que la 2.3, actualicense a esta versión.

Descargalo de aquí: Sub7 2.3.1

Algún día les contaré la historia completa, quedense con que fc quería sacar dinero del nuevo sub7 vendiendo incluso cuentas del foro (sí, había que pagar por registrarse), de modo que fue hackeado.

Read101 se separó de su compañero y decidió continuar solo el proyecto, aquí esta.

Pruebenlo y comenten como les ha ido con el.

Manual Sub7 2.3

He recibido varios mensajes pidiendo un manual de este troyano en español. No tengo mucho tiempo pero aquí tienen un pequeño manual en español explicando lo más básico de esta nueva versión del troyano más famoso de todos los tiempos.

Antes de empezar descarga el troyano de aquí. Se trata de la última versión. Puedes leer aquí más información sobre la última versión del subseven.


Editando un servidor al gusto.

El primer paso que voy a explicar es como construir nuestro servidor personalizado, pues este es el paso más importante y en el que muchos se pierden. En próximas entregas trataré de explicar las distintas funciones del cliente.

Abramos pues el archivo editserver.exe, el programa se nos mostrará tal que así:



Una vez abierto el programa debemos cargar en el nuestro servidor (archivo server.exe), para ello debemos pulsar en la parte superior donde están los ...

Se abrirá una ventana de dialogo para seleccionar el archivo que queremos editar, recuerda que solo funcionará con el servidor de la versión 2.3, selecciona el archivo y listo.

Una vez seleccionado el servidor pulsamos en el botón Read (a la derecha) para leer la configuración que trae el servidor por defecto (si ya lo habías editado antes entonces te mostrará la configuración que le habías puesto).

Ahora que ya tienes cargado el servidor viene lo importante, configurarlo a tu gusto. Las opciones son las siguientes:

Server extension: aquí elegimos la extensión que tendrá el archivo final, tenemos varias para elegir, exe, pif, com, bat, scr. Debes elegir una, la más típica y por tanto la más sospechosa es exe.

Install directory: aquí elegiremos en que directorio queremos que se esconda el servidor una vez que haya sido ejecutado, podemos elegir entre 2 rutas diferentes, system y windows, elige la que más te convenga.

Protect server: aquí podemos ponerle una contraseña al servidor para que solo nosotros podamos usarlo, elige un buen password y recuerdalo.

Custom directory: aquí podemos poner el directorio que queramos (ver Install directory). Esta opción es una alternativa a los directorios comunes, si no sabes bien que poner aquí no marques esta opción y dejala en blanco.

Melt: marcaremos esta opción si queremos que el servidor se borre al ser ejecutado, imagina que envias el servidor con el nombre foto.exe a la víctima, si esta opción está marcada al ejecutar el servidor éste se copiará al directorio que hayamos puesto en la configuración y el archivo original se borrará automáticamente.

Wait for reebot: si marcamos esta opción el servidor no empezará a funcionar hasta que se reinicie la máquina donde está instalado, si no la marcas el servidor empezará a funcionar nada más ejecutarse.

Run server visible: marcando esta opción el servidor funcionará visible, se usa para pruebas en el propio ordenador, para camuflar el servidor debes desmarcar esta opción.

Server name: aquí debes ponerle un nombre al servidor, de lo contrario no podrás guardar tu configuración. Importante, el nombre debe contener la extensión, por ejemplo servidor.exe, servidor.pif, etc.

Ahora si observas la parte izquierda del programa verás más botones, pulsa el que dice Fake messages.



En esta sección puedes crear un mensaje de error personalizado, así cuando la victima ejecute el troyano se le mostrará un mensaje diciendo lo que tu hayas configurado, la victima pensará que el archivo no funciona al ver el mensaje, pero ya estará infectado.

Para activar el mensaje falso marca la casilla que pone enable. Elige algún icono a la derecha, el icono se mostrará junto al mensaje. Configuralo al gusto, puedes ver como queda el mensaje de error pulsando el botón que pone Test.

Vuelve a los botones de la izquierda, pulsa en Startup methods. Esta es una parte muy importante de la configuración, si no seleccionas nada entonces el servidor solo funcionará una vez. Si marcas alguna de las casillas entonces el servidor funcionará cada vez que se inicie windows.



Si marcas alguna de las casillas que comienzan por Registry entonces deberás cubrir también el campo que dice Key name (puedes poner por ejemplo un nombre engañoso como drivers). No puedo recomendarte un método de inicio, el más común es Registry Run. Lo importante es que marques alguna casilla para que el servidor se inicie con windows. Y recuerda que si eliges alguno de los métodos que empiezan por Registry debes rellenar la casilla que pone Key name.


Volvamos a los botones de la izquierda y pulsemos sobre Notifications. Hay 2 tipos de notificaciones, la sin y cgi/php (esta última es mediante web y no voy a explicarla). Marcamos la opción sin, y en sin settings escribimos nuestra dirección no-ip donde pone dns/ip, y en la otra casilla, a continuación de los : escribiremos un número de puerto que es importante recordar pues el cliente escuchará las conexiones de los infectados en ese puerto. Por ejemplo ponemos el puerto 1234, y tendremos que abrir ese puerto en nuestro router para recibir las conexiones. Recuerda que esta nueva versión es de conexión inversa.



Volvemos a los botones de la izquierda, pulsamos en Win Firewall, y marcamos las 3 casillas que aparecen, con ello desactivaremos las defensas de windows.




Volvemos a los botones de la izquierda, pulsamos Bind Files, en la parte derecha pulsamos sobre files y luego sobre add files. Esta opción sirve para juntar nuestro servidor con una aplicación inofensiva, por ejemplo un crack o una animación en flash. Si juntamos nuestro servidor con otro archivo el resultado será un solo archivo que contiene nuestro servidor y otro archivo que disimulará la infección.




Volvemos a los botones de la izquierda, y nos queda el último, Exe Icon, sirve para ponerle el icono que queramos a nuestro servidor. Hay miles de iconos en internet, bajate algunos y prueba a ponerselos al servidor.

Volvemos a los botones de la izquierda, el de abajo del todo donde dice Save/as Settings, una vez que tengas configurado el servidor solo tienes que darle a ese botón y elegir una de las opciones que salen, save settings escribirá la configuración en el servidor que hayas cargado previamente, y save settings as salvará una nueva copia del servidor con tu nueva configuración dejando sin tocar el servidor original.

Ahora voy a explicar básicamente como poner el cliente a funcionar y dejarlo listo para recibir las conexiones de los infectados.

Abrimos el client.exe y pulsamos donde indica la flecha amarilla en la foto:



En la nueva ventana escribimos el puerto que hayamos configurado con el editserver.exe en la sección Notifications, debes poner el mismo puerto. Despues le das a open port, en la foto el puerto elegido es el 999, pero tu pon el tuyo, y recuerda que debes abrir ese puerto en el router.




Puede salirte una alerta de windows adviertiendo que el cliente de sub7 está tratando de ponerse a la escucha, debes permitir el acceso dandole a permitir acceso.



Si todo está configurado correctamente en cuanto el servidor sea ejecutado por la víctima tratará de conectarse al cliente y te aparecerá un cartel avisando de las conexiones abajo a la izquierda, junto al reloj.



Y en el cliente podrás ver las conexiones, en la ventana SIN:



Ahora solo tienes que experimentar las diferentes funciones del programa. Las iré explicando en proximos mensajes.