Mayo 26, 2019, 01:47:22 am

Noticias:

Para hacer tu consulta: debes registrarte y hacer un nuevo tema en la sección que consideres más adecuada. Ver: Acerca de este Foro.


Buscar en el Foro: 

Recientes

SubSeven el troyano por excelencia

Iniciado por DeftKoner, Junio 28, 2006, 09:13:46 pm

Tema anterior - Siguiente tema

DeftKoner

SubSeven 2.2 es un troyano del tipo Backdoor (acceso por la "puerta trasera"), que toma el control remoto de la PC atacada sin conocimiento de su propietario. La mayoría de las acciones posibles, también pueden pasar inadvertidas, convirtiéndose en un verdadero ataque a la privacidad, no solo por la capacidad de controlar una PC en forma remota, sino también por la de obtener y alterar todo tipo de información presente en ella.

El troyano en si consta de cuatro archivos: el servidor, que se instalará en el PC infectado, el cliente, desde donde el atacante podrá controlar al PC que haya sido infectado con el servidor, un DLL necesario para su funcionamiento (ICQMAPI.DLL) y el editor para personalizar el servidor (EDITSERVER.EXE).

Para ejecutar el servidor en la PC de la víctima, casi siempre se apela a la inocencia y credulidad de su dueño, quien ejecuta un supuesto utilitario enviado por un "amigo" o un desconocido, o bajado de Internet, muchas veces disfrazado de inocente programa.

Una vez ejecutado, el atacante, a través del programa cliente, podrá tomar el control del servidor (y por ende de la máquina de la víctima), a través de una comunicación realizada (en principio, porque es configurable), por el puerto TCP 27374.

Las acciones disponibles son:

    * Redireccionado de aplicaciones
    * Captura y espionaje de comunicaciones vía ICQ, MSN, AIM y YAHOO
    * Cambio de teclado mayúsculas/minúsculas (Caps Lock on/off)
    * Cambio de la resolución de la pantalla
    * Cambio de vista, fecha y hora
    * Cambiar los valores del volumen de sonido
    * Cambio de los colores de Windows
    * Manejador del portapapeles (Clipboard manager)
    * Control del ratón
    * Deshabilitar y habilitar las teclas ALT-CTRL-SUPR
    * Deshabilitar y habilitar cualquier tecla
    * Manejador de archivos
    * Búsqueda de archivos
    * Mover la pantalla
    * Servidor FTP
    * Obtener la clave del AIM
    * Obtener todas las claves guardadas en el caché
    * Obtener información del usuario
    * Obtener la clave del ICQ
    * Obtener información del PC
    * Obtener las claves de acceso a Internet
    * Obtener la clave del salvador de pantalla
    * Captura de la pantalla
    * Esconder o mostrar el reloj
    * Esconder o mostrar el escritorio
    * Esconder o mostrar el cursor del ratón
    * Esconder o mostrar el botón de Inicio
    * Esconder o mostrar la barra de tareas
    * Controlar el ICQ
    * Captura de todo lo tecleado
    * Cerrar sesión, apagar, reiniciar o salir de Windows
    * Prender y apagar el monitor (ahorro de energía)
    * Visualizar toda la red (Network browser)
    * Activar y desactivar el teclado numérico (Nums lock on/off)
    * Abrir o cerrar la bandeja del CD
    * Sniffer de paquetes
    * Redireccionar puertos
    * Manejador de impresoras
    * Manejador de procesos
    * Grabaciones del sonido emitido, a través del micrófono del PC
    * Grabaciones de video (AVI de WebCams y QuickCams)
    * Chat
    * Actualizaciones a través de Internet del servidor
    * Manejador del registro
    * Activar o desactivar Bloq. Despl. (Scroll lock on/off)
    * Escribir en el teclado remoto
    * Enviar mensajes
    * Enviar a un URL
    * Intercambiar los botones del ratón
    * Convertir texto en voz (Text-2-speech)
    * Ver la imagen de la webcam
    * Manejador de Windows

SubSeven 2.2 agrega tres nuevas formas para autocargarse en Windows, ejecutándose en cada reinicio del sistema. De esa manera siempre estará disponible al conectarse la víctima a Internet:

   1. Usando la opción de Componentes Instalados del registro
   2. Creando una carpeta de inicio personalizada
   3. Creando un archivo EXPLORER.EXE en el directorio raiz

A diferencia de versiones anteriores, la 2.2 agrega la posibilidad de enviar comandos en línea y utiliza plugins (actualizaciones) vía Internet, como lo hace el BO2K (Back Orifice 2000)

Estos plugins se descargan de cualquier sitio Web, y se instalan en la computadora infectada. Los mismos llevan la extensión .DLL con nombres aleatorios, y son guardados en la carpeta C:\WINDOWS\SYSTEM.

El servidor posee también, varias formas de notificar al atacante que la víctima está conectada a Internet. Estas pueden ser vía ICQ, IRC, e-mail, o a través de una dirección IP estática.

Con el editor se pueden crear distintos mensajes de error personalizados, del tipo "Archivo corrupto" (o cualquier otro que se desee), de modo que la víctima piense que esa "fabulosa utilidad" que recibió vía e-mail o bajó de Internet, no funciona, cuando en realidad ya se instaló en su PC.

Las enormes posibilidades de este troyano, lo convierten en una peligrosa amenaza. Mantener al día sus antivirus, no ejecutar nada recibido vía e-mail que usted no solicitó, y revisar antes con uno o dos antivirus todo archivo bajado de Internet, o descargado de un CD, disquete, etc., minimizan las probabilidades de infección.

El uso de un cortafuegos como Zone Alarm, que es gratuito para uso personal, también es muy aconsejable, a los efectos de impedir la comunicación de cualquier troyano o aplicación maliciosa desde y hacia su PC.


DeftKoner

Como quitarlo

 1. Con el REGEDIT (Inicio, Ejecutar, REGEDIT y Enter) localice las siguientes ramas:

    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Windows
    CurrentVersion
    Run

y

    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Windows
    CurrentVersion
    RunServices

Borre la carpeta "RunDLL32r" si aparece en alguna de las dos ramas mencionadas.

2. Con el REGEDIT localice las siguientes ramas:

    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Active Setup
    Installed Components

Borre las entradas "%random" y "name%" si aparecen allí

3. Con el REGEDIT localice la siguiente rama:

    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Windows
    Currentversion
    explorer
    User shell folders

Borre la entrada "Common Startup" en la ventana de la derecha

4. Desde Inicio, Ejecutar, teclee SYSTEM.INI (más Enter), y modifique la siguiente entrada (nombre_servidor puede ser cualquier nombre dado al servidor del troyano):

    [boot]
    shell=Explorer.exe c:\windows\system\nombre_servidor.exe

Cámbiela por la siguiente:

    [boot]
    shell=Explorer.exe

5. Desde Inicio, Ejecutar, teclee WIN.INI (más Enter), y modifique la siguiente entrada:

    [Windows]
    load=c:\windows\system\nombre_servidor.exe

Cambiándola por la siguiente:

    [windows]
    load=

6. Borre el archivo C:\EXPLORER.EXE

Importante: No confunda C:\EXPLORER.EXE con C:\WINDOWS\EXPLORER.EXE que es el Explorador de Windows.

7. Reinicie la computadora

8. Borre el archivo del troyano, ("nombre_servidor.exe", donde "nombre_servidor" puede ser cualquier nombre dado al servidor), de la carpeta C:\WINDOWS\SYSTEM

9. Ejecute un antivirus al día, y utilice un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red").

DeftKoner

se me olvido poner el link de descarga, aqui lo teneis http://www.hackpr.net/~sub7/downloads.shtml

Aver lo que haceis  :twisted:

JorgeAVM


zyxnull

Muy viejo.... Subseven es actualmente un venerable programa, sin embargo hoy en día a dejado de ser un buen rootkit, HELL!!! en estos días ya hay hasta que disfrazar al NetCat para que NAV no se lo vuele!
"To err is human... to really foul up requires the root password."

Guest

hola...
disculpen..
con intenciones meramente educativas, he estado tratando de usar el subseven 2.1 (M.U.I.E) en pc de unos amigos..
y explico el problema.
me bajé un muy completo tutorial de como usarlo, lo configuro para q me avise via ICQ, pongo mi numero de cuenta ICQ, y lo BINDEO con otro archivo(el cual me dicen que si les abre bien) a kienes se los envio.
EL ANTIVIRUS NO LO HA DETECTADO EN SUS MAKINAS POR QUE LO BINDEÉ CON EL REDBINDER (muy bueno, hasta ahora creo es indetectable) y lo bindeo de modo que se ejecute de modo OCULTO.

incluso probé bindeandome archivos inofensivos y si funciona.
Pero...no me avisa nunca el subseven cuando el server se ha infiltrado en al makina de la victima....
saben por que sea???
el antivirus no se los detecta (tiene el camino libre)
no tienen FIREWALL (no tienen servi pak 2 de windows)

y les abre muy bien el archivo inofensivo bindeado..
QUE CREEN QUE SEA?
si no quieren responder a mi post de ayuda, se entiende...
pero en vdd, mas que por maldad, me late mucho este rollo y se aprende asi.

gracias!! :wink:

JorgeAVM

Cita de: "nihl"chale!
perdóoooooooooon
no se como es que se publicó un QUOTE y un post nuevo!!
perdón.!!!
de verdad q no fué apropósito admin's :cry:

ya está arreglado :wink: no te preocupes :okas:

Gato08

En realidad el subseven es un buen troyano :wink:  pero prefiero el Bifrost!!!!
Se dice que si reproduces un CD de Microsoft al reves escuhas un mensaje satanico.... Eso no es nada si lo pones al derecho te instala Windows!! LINUX USER #446595

juankasalas

y

y porque esa preferencia hacia el bitfrost?

digo que vantajas tiene respecto al subseven?
Nunca te rindas... DIOS nunca lo hizo y por amor murió por tí en la Cruz
Linux User #432799 Machine ID:  #337816

Mi sistema
AMD Phenom X4 3.2 ghz Asus M4A78T-E
2 GB CORSAIR MSI ATI HD 5600
DELL 1905FP WD 1 TB 16 MB

Gato08

Bueno pues en realidad quiza no sean muchas..... :lol:  es solamente costumbre :oops:
Se dice que si reproduces un CD de Microsoft al reves escuhas un mensaje satanico.... Eso no es nada si lo pones al derecho te instala Windows!! LINUX USER #446595

JorgeAVM

Cita de: "Gato08"Bueno pues en realidad quiza no sean muchas..... :lol:  es solamente costumbre :oops:

jeje!
Tranquilo, esas cosas también cuentan :wink:

Guest

yo prefiero "assa*sin*" y "poison ivy"

DISCULPEN, cómo se llaman, o qué son esas cosas que mucha gente lleva x firma com la de el GATO.
que te sakan la IP y tu ISP...
donde las consigo?
me imagino que en la pagina que cada una trae, pero..
NO SABEN DE ALGUN TUTORIAL O LINK donde se describa ello?
buscaría en google o x donde sea pero jeje NI SIKIERA SÉ QUE SON..

se los agradezco

Gato08

jejejeje es una simple firma.... entra a http://www.danasoft.com y crea uba para ti!! :D
Se dice que si reproduces un CD de Microsoft al reves escuhas un mensaje satanico.... Eso no es nada si lo pones al derecho te instala Windows!! LINUX USER #446595

Speed

LO IDEAL ES HACER UNO MISMO UN TROYANO PARA QUE ESTE SEA INDETECTABLE....

Speed

EL LOKO

"""nihl""" es normal que la gente de por aka no te responda ya que tus preguntas son tipo lamer ( disculpa pero es la realidad ) para comenzar te recomiendo usar un programa asi como LWCLIENT ya que no tienes que hacerle muchas configuraciones...solamente el servidor debe ser ejecutado en la computadora de la victima y lo controlaras desde el cliente ( es tan facil como colocarle la IP de la victima y click en conectar... ) sin embargo pienso que lo ideal es estudiar primero los exploits y despues los troyanos ya que los troyanos van despues de usar los exploits ( al menos que no quieras cometer esas burradas
de lamer de mandar el server por un email :P o fusionarlo a otro y mandarlo por msn ) te recomiendo que para que no estes dando pena con comentarios de lamer te metas unos dos meses en google y yahoo y despues cuando estes mas informada te pases por el foro...yo por ejemplo nunca pedi ayuda ( una sola vez la pedi pero era tan dificil que nadie supo nada ) todo lo que aprendi fue usando el google,yahoo,una que otra web,aplicando la logica,imaginacion y creatividad...ahora se programar en ASM,C++,visual basic,html,3ds max y electronica y puedo crear casi cualquier tipo de programa...recuerda que casi todo lo que necesitas esta en google y yahoo...lo demas sale de tu imaginacion y creatividad...


Redes Sociales

Buscar en el Foro: