About all Trojan
Innanzitutto vorrei chiarire il concetto di trojan o backdoor (se gia' sapete tuto vi consiglio di passare avanti).Un trojan o Cavallo di troia ,che deriva dalla legendaria storia e dopo scoprirete xchè questo nome,una volta eseguito ill file patch risiede sul computer e ne fa un server accessibile facilmente tramite un clint o collegamento e quindi prenderne il controllo senza che l'utente se ne possa accorgere (da cui il nome di "cavalli di troia").Molti di loro dopo eseguiti non danno alcun messaggio ,alcuni invece simulano un errore delle librerie.per accederci da remoto al computer infeto basta prelevare il suo IP.Non essendo i trojan ed i backdoors dei veri e propri virus (anche se sono altrettanto pericolosi) non tutti gli antivirus sono in grado di rilevarli; vi consiglio di procurarvi uno o piu' antivirus in grado di aggiornarsi tramite internet, anche perche' nascono nuovi backdoors ogni giorno...
I trojan piu' recenti sono quelli piu' in basso.

Rimuoverli
Esiste un sistema per tenere sotto controllo tutte le porte aperte ed è questo, scrivete sotto dos : netstat -a .
se oltre alla porta 0 ne è aperta un'altra allora iniziate anche a preoccuparvi.Io vi consiglio con un antivirus aggiornato di scansionare la cartella windows se rileva virus NOn cancellateli ancora come riporta l'antivirus(non preoccupatevi se non siete in rete il trojan non potra' farvi niente).Oppure adesso esistemo mille programmi per la rimozione dei trojan come "The cleaner" anche per specifici,ad esempio programmi che scovano il server back orifice e lo cancellano definitivamente ,lo stesso col Netbus.Quindi avete piu' possibilita'...
Un'altra osservazione da fare è questa,tutti questi virus si eseguono in background(significa dietro le quinte ,termine usato nei sistemi linux) quindi per vedere ad ogni avvio cosa la macchina esegue andate nel regedit e fatene una copia con il comando "export" poi andate in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
da qui potrete vedere tutto quello che partira' in avvio.
Cmq adesso vi riporto come ripulire alcuni di questi trojan,quando scivo poi è meglio che riavviate il sistema,ad esempio cancellate una riga nel registro poi cancellate il file...:

BACK ORIFICE
Descrizione:il file patch è un'applicazione ".exe" senza icona ed è circa 180kb.
Il file si piazza in c/windows/del.exe ma come la versione 1.20 puo' darsi si trovi in c:\Windows\System.Trovatelo e cancellatelo da Dos.
Poi andate nel regedit e cancellate la voce ,mi sembra si trovi in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
.
NETBUS
Descrizione:il oatch si chiama appunto "patch.exe" ma si trova sempre rinominato ovviamente ha come icona una "piccola parabola" , è grande circa 483kb.
Andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga.Poi andate in c:\Windows\ e cancelate il file che vi hanno mandato e avete precedentemente eseguito.Atenzione puo' avere anche l'estensione .ini cancellatelo cmq.
TELECOMMANDO

Descizione :il server è Odbc.exe ed è circa 206kb.
Si piazza in c:\Windows\System ma voi andate nel regedit in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga SystemApp "ODBC.EXE" poi cancellate il file file odbc.exe da Windows\System

GIRLFRIEND
Descizione:il patch è Windll.exe circa 336kb o 302kb, ha per icona il simbolo di Windows oppure un piccolo fax.Il file si piazza in C:\WINDOWS\Windll.exe
Quindi andate in dal regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e poi cancellate il file in c:\windows.
MASTER'S PARADISE 98
Descizione:il patch è SysEdit.exe sono circa 462kb.
Andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellate la riga e poi andate in c:\windows e cancellate sysedit.exe e KeyHook.dll .

DEEP THROAT
Descizione:il patch è Systray.exe ,circa 304kb.
Qundi andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellate la riga e poi cancellate il file systray.exe da c:\Windows.
NETBUS PRO2
Come il Netbus ,infatti si piazza sempre in c:\windows\ pero' nel regedit ci sono delle varianti che sono :
HKEY_CURRENT_USER\NetBus
HKEY_CURRENT_USER\NetBus Server\General
HKEY_CURRENT_USER\NetBus Server\Protection
HKEY_CURRENT_USER\NetRex
HKEY_CURRENT_USER\NetRex Server\General
HKEY_CURRENT_USER\NetRex Server\Protection

POLY (sconosciuto)
Descizione:il file patch è un .exe circa 389kb,ha l'icona di un filmato multimediale quando lo si esegue appare una finestra che ci comunica che mancano le librerie del quicktime.
Si piazza in c:\windows è "rhwtcnxb.exe" ma puo' darsi anche ci siano delle varianti,per sicurezza fate uno scan con un antivirus aggoirnato ,il norton2000 preferibilmente e controllate.
Quindi andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga ,che mi sembra simuli una .dll .
Poi cancellate il file in c:\windows.

TIPS per sfruttare i trojan

Innanzitutto per vedere se un utente è infettato da un trojan e conoscete la porta di aperture (ad esmpio per il Netbus è la 12345) andate con telnet all'host che sara' l'ip della vittima e la porta del trojan esempio pratico :
123.242.24.23:12345 vi dira' anche che versione (nometrojan)! .
Se avete individuate un ip infetto da Netbus e volete illuderlo da password(solo voi potete accedere al computer) fate i seguenti comandi col telnet:
una volta scritto l'ip e la porta del netbus
Password;1;any
poi
ServerPwd;lapasswordchevolete
Attenzione:funziona dalla versione precedente alla 1.70 ,per controllarlo verificatelo con telnet.
Potete cambiare anche l'icona ad un trojan,prendete un programma che crea icone come il microangelo e prendiamo un icona che ci garba.Poi la apriamo con l'editor di icone e facciamo un copia di tutto e incolla sull'icona del trojan sempre editandolo.
Si avra' una Patch meno sospettabile.
Potete anche creare un bel "pacchetto" per nascondere meglio.Mettete in un file zippato la patch rinominata Setup.exe con una bella icona di istallazione! Poi ci mettete dei file .doc magari chiamandoli leggimi.doc o leggimi.txt ,fate dei file di help,dei file .bin o altro per simulare un bel programma ,se volete anche un'immagine fatta da voi(per simulare l'immagine che parte appena si esegue l'istallazione)!!Così sara' un programma "in regola".
un'altro metodo sarebbe quello di mettere come icona al patch quella del self-extractor del winzip,catturandola con il microangelo che ha l'apposita opzione, che in realta' è un .exe quindi insospettabile!

Syn^

COSA SONO I TROJAN

Il Trojan è un programma che, con funzioni non autorizzate, si nasconde dentro un programma autorizzato. Un trojan ha diverse funzioni...ad esempio può mandarti tutte le password che vengono digitate in un giorno al tuo indirizzo di posta elettronica e contemporaneamente può cancellarsi da solo.
Se non è intenzionale ( ovvero non viene immesso nel sistema da un hacker ) questo viene chiamato bug ( cito una storia che avevo letto su alcune guide..."per chi non sapesse perchè viene usato il termine bug per indicare un errore in un sistema, deve sapere che quando avevano inventato il primo computer, che era grande come una stanza, tra i suoi circuiti un giorno si infilò una cimice che lo mandò fuori uso e da allora i difetti di un sistema vengono chiamati bug cioè “insetto”...").
Alcuni anti-virus individuano alcuni trojan ma come nel caso dei virus, nessuno può sentirsi al sicuro poichè per ogni nuova scoperta in campo di protezione ne viene fatta una nel campo dell'attacco.

Difendersi

I trojan sono file "visibili" (quindi non sono dei veri e propri virus) che si avviano automaticamente ogni volta che venga avviato il computer. Quindi per verificare se il proprio Pc non sia infetto da trojani, quali Netbus, BackOrifice e Paradise (per citarne alcuni) si possono "eseguire" due metodi:

-Verificare, mediante SysEdit e Regedit, se vengono eseguiti automaticamente stringhe, file o programmi "sconosciuti". (scelta + consigliata anche se più rischiosa...).

-Chiedere ad un vostro AMICO di provare a connettersi al vostro pc mediante netbus... Se lui non riesce a connettersi con nessun programma allora significa che siete salvi (solo però dai programmi da lui utilizzati...). Nel caso in cui riesca a connettersi con uno dei programmi siete nella... MERDA!!! In questo caso per disinfettarvi o utilizzate programmi appositi (gli anti-virus aggiornati mensilmete riconoscono quasi sempre trojani) o per essere sicuri al 100% fate tutto voi mediante l'utilizzo di SysEdit e Regedit sennò eseguire un certo comando format all’ hard disk.

Utilizzo di Regedit e SysEdit
SysEdit e Regedit sono due programmi che si trovano rispettivamente nella directory c:\windows\system e c:\windows

(ATTENZIONE se non vi sentite in grado di operare NON FATELO, infatti l’operazione si va a fare nel registro di windows, ciò vuol dire che se fate bordelli CAXXI VOSTRI).

SysEdit: avviare il programma e verificare che il file Autoexec.bat e Win.ini non eseguano automaticamente stringhe, file o programmi "sconosciuti". In questo caso cancellare la/e stringa e riavviare il computer e se tutto funziona (prova ad avviare anche alcuni programmi) correttamente potresti aver eliminato l'intruso.

Regedit: avviare il programma e verificare se nella stringa Run (precisamente in: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenteVersion\Run) vengano richiamate applicazioni "sconosciute" (i più comuni sono nuke.exe e fast.exe). In questo caso cancellare la/e stringa e riavviare il computer e se tutto funziona (prova ad avviare anche alcuni programmi) correttamente potresti aver eliminato l'intruso.

N.B. Prima di fare modifiche decisive con SysEdir e Regedit SALVA i file da modificare; molte volte quello che ritieni estraneo, sono stringhe necessarie per l'avvio corretto del proprio computer.

COME NASCONDERE UN TROJAN

Cosa è richiesto::

-un Trojan da "lavorare"

-un editor esadecimale

-un compressore per eseguibili

-una gran dose di cattiveria

Prima di iniziare la parte pratica un po' di sana teoria. Girando per la rete io ho sempre sentito associare la parola trojan a programmi di bassa considerazione come NetBus o BO. Eppure pochi ricordano che di trojan (un po' diversi) ne fanno uso gli hacker. Infatti i trojan non sono solo le applicazioni client\server preconfezionate che usiamo per aprire il lettore CD del nostro "caro" compagno di banco ma qualsiasi programma malizioso che una volta eseguito si mette a fare qualcosa contro la volontà di chi lo esegue (a meno che non sia masochista) in modo più o meno nascosto. Alcuni trojan vengono usati per mantenere un accesso ad un server hackerato, altri procurano le password di sistema a user non root, altri ancora nascondono la presenza di un utente su un server o evitano di loggare in alcuni file. Insomma, quando una persona utilizza un programma che vuole metterlo in quel posto ad altri nel modo più facile possibile usa un trojan (perchè si chiamano trojan credo lo sappiate tutti..per quella troia di Elena..ops...per la storia del cavallo di Troia no?). Altra piccola considerazione meriterebbero le backdoor. Ho notato che molti non distinguono fra i due considerandoli la stessa minestra. Eppure io personalmente per backdoor ho sempre inteso quelle modifiche apportate a file come il login di *nix per mantenere un acceso al sistema. Non so se sia giusta la mia distinzione, forse non è importante ma ho sempre indicato col termine backdoar un file di norma presente su un server al quale si fanno delle adeguate modifiche per ottenere dei vantaggi (come al netstat).

Se mi volete smentire: galodj@tiscalinet.it

-------------------------> BREVE SAGGIO SUI TROJAN <-------------------------

E finalmente veniamo al dunque.
Per chi ancora non ne avesse sentito parlare (o siete dei veri bravi ragazzi e non avete mai avuto la tentazione oppure vivete su Plutone perché Marte sarebbe troppo vicino!) gli ormai stracitati trojan (non specificherò più "di basso livello") sono composti da due file eseguibili; il primo è un semplice client che verrà utilizzato da chi piazza il trojan per accedere al secondo file, il server. Quest'ultimo è il file che va lanciato sul pc vittima e si mette in ascolto su una porta prestabilita pronto a fare ad eseguire cioè che il client gli dirà.

E adesso una precisazione. Se il server e il client dialogano in base a pacchetti non criptati e i comandi del server sono abbastanza semplici nessuno ci vieta di utillizzare un qualsiasi telnet come client. Certo che per alcuni trojan più complessi telnet è molto limitato se non inutilizzabile però con i più semplici può andare.

Come abbiamo appena visto il trojan vero e proprio è il server ed è il file che si deve tentare di mascherare il meglio possibile per non farlo rilevare ne ad un utente attento e nemmeno dagli anti-virus. Fra i metodi più usati per nascondere il server agli utenti/vittime ci sono i Fake Error Message (far comparire un messaggio di errore per giustificare che il file eseguibile in apparenza non faccia nulla), i metodi per far passare il programma in esecuzione come un servizo e nasconderlo alla limitata tasklist di Win9x (NT è fatto meglio!) e quelli di far sparire l'exe dopo la prima esecuzione oppure il modificare l'icona con una allettante. A questi si sono aggiunti
dopo trucchi come quelli del sub7 2.2: facendo un netstat da sconnessi si ha la lista delle porte aperte...quindi se un server è in funzione su un pc è facile trovarlo.

Quelli appena descritti sono, come già detto, metodi abbastanza validi per nascondere un trojan ad una vittima non troppo attenta, ma come fare per rendere invisibili i server ai tanto temuti anti-virus?

-----------------------> NASCONDERSI AD UN ANTI-VIRUS <----------------------

Nascondersi ad un Anti-Virus è abbastanza semplice. Un Anti-Virus cerca nei file se ritrova stringhe o pezzi di codice uguali a quelle che nel suo database sono segnalate come virus, trojan o possibili programmi maliziosi. Ora, dato che, a differenza dei virus che in un sistema tendono essenzialmente a riprodursi senza farsi riconoscere, un trojan deve solo limitarsi a girare sulla macchina vittima senza farsi beccare, basta modificare il codice del trojan per renderlo completamente invisibile. "Certo", direte voi, "facile a dirsi,ma come si fa in pratica?". facile anche questo! Avete presente quei programmi che comprimono gli eseguibili mantenendo le loro funzioni di file exe come Pklite o WWWPack32

(programmi che potete scaricare gratuitamente da www.spysystem.it)? Bene, basta comprimere i file con questi programmi e gli anti-virus cercheranno finchè vorranno... il trojan non c'è per loro!

Purtroppo comprimendo i server di alcuni trojan come BO si perdono le impostazioni personalizzate che abbiamo dato al server. Infatti se apriamo il server non ancora compresso e non configurato di BO e un server non compresso ma configurato da noi sempre di BO con un editor esadecimale (provate Hex Workshop...per ora vi basterà) vediamo che alla fine del file ci sono delle differenze...quello configurato è più lungo e i byte che ha in più alla fine di se stesso contengono la configurazione da noi data. Se adesso comprimiamo questo file e lo riapriamo con un editor esadecimale e lo scorriamo fino in fondo vediamo che i byte di configurazione sono spariti. ma nessun problema, basterà copiare questi byte da un altro server configurato e non compresso in quello compresso. Spero sia tutto chiaro (altrimenti lo sapete: galodj@tiscalinet.it). ;-)

Altro problema nella "lotta per nascondersi agli AV" potrebbe essere quello che trojan come NetBus danno: questi creano, appena aperti, un file DLL che serve da plugin (nel caso di NetBus è un KeyLogger). Dato che non possiamo accedere direttamente a questi file per comprimerli, e dato che gli AV li riconoscono la soluzione migliore è quella di non farli proprio apparire. Apriamo di nuovo il nostro fido editor e cerchiamo le stringe col nome del file DLL (nel caso di NetBus si chiama KeyHook.dll) e al posto del nome scrivete NUL e poi una serie di 0 tale da coprire tutto il nome del file...compresa l'estensione altrimenti NetBus creerà il file NUL0000.DLL che sarebbe ancora rilevabile dagli AV.

Fatta anche questa modifica abbiamo gabbato completamente l'AV!

E Mimmo mucha calza e mimmo cakka roba… ALLA CONSOOOOOOLE MIMMO AMERELLI (Emh scusate, troppa euforia…)

-------------> COME USARE UN TROJAN ESSENDO UN PO' MENO LAMER <--------------

"Ma una volta che si infetta un pc con uno di questi trojan adattati alle nostre esigenze e una volta connessi alle nostre vittime cosa facciamo con questi trojan?"...sarebbe una buona domanda! La prima cosa che in genere viene in mente a quelle persone psicolabili che girano sulla rete gridando "SONO UN HACKER!" è quella di formattare, cancellare e far venire una fifa boia a quello sfigato che è caduto nella loro trappola. E non c'è nulla di più sbagliato! Prima di tutto perchè ci si fa subito scoprire e si perdono tutte quelle potenzialità che ci offre un pc trojanizato in rete, in secondo luogo perché cancellare o modificare i file di un qualsiasi pc è da considerarsi una lamerata! Certo, magari al netstat qualche cosa si può fare oppure si può sostituirlo (mai eliminarlo) per essere certi di non farsi beccare, ma dato che i nostri trojan non ci loggano è l'unico file a cui, per quanto poco, è permesso fare modifiche da quella che dovrebbe essere la morale di un lamer_in_via_di_guarigione. ^____^

Detto cosa NON fare vediamo cosa fare. Prima di tutto dare uno sguardo alle password... procurarsi qualche account può essere utile (ma ricordate che non vi da massimo anonimato, mamma telecom ha i tabulati delle vostre telefonate!). Dopo le pass è ora di qualcosa di più interessante! Vi siete mai chiesti cosa sia quel redirect port presente nella maggior parte dei trojan ben fatti? NO!?!?!? Male! Questa "redirezione" può essere la salvezza quando stiamo cercando un modo veramente anonimo di fare qualche cosa. In pratica col nostro cavallo di troia preferito noi diciamo al server di aprire sul pc vittima una porta da noi stabilita e di connettersi ad un host su una porta da noi selezionati prima.

Ora, se noi ci connettiamo al nostro server malefico sulla porta appena aperta ci ritroviamo connessi all'host scelto sulla porta selezionata. A questo punto tutto quello che noi invieremo al nostro trojan sarà inviato al nuovo host e quello che l'host ci risponderà ci sarà ripetuto dal trojan. E dato che i trojan non loggano...una volta eliminato il trojan dal pc vittima (meglio essere paranoici!) il nostro IP non appare da nessuna parte dato che la connessione è stata effettuata dal trojan. Carino per noi, un po' meno per i trojanizzati. Se non sono stato chiaro ecco un esempio:

Vogliamo mandare una mail anonima ad un nostro amico e non vogliamo che appaia il nostro IP. Come smpt usiamo quello della Telkoz. Sul trojan impostiamo come host (o IP) mail.tin.it e come porta la 25 e poi diamo come porta da aprire sul trojan 4321. Ora apriamo telnet e ci connettiamo all'IP dove si trova il trojan e come porta mettiamo proprio 4321. A questo punto saremmo connessi con mail.tin.it in modo anonimo e una volta inseriti i soliti comandi per le fake mail il nostro amico riceverà una mail ma non dal nostro IP. Fico! Pensate cosa si può fare di diverso dalle fake mail.

E con questo ho concluso, spero di avervi dato un ragionevole motivo per usare i trojan in modo più intelligente e meno distruttivo, e pure una buona ragione per non usarli! Secondo me la differenza sostanziale fra hacker o presunti tali e lamer sta nel fatto che i primi hanno voglia di imparare, i secondi di fare i fighetti sulla rete. Forse leggendo questo file siete sulla strada che porta verso la prima categoria.

galodj