Con esta pregunta voy escribir sobre las opciones que nos permite un troyano de hoy en dia.
conexion tcp(la normal):este tipo de conexion es el habitual, el clasico, aparte que casi todos los programas lo utilizan, su funcion es llamar a nuestro server utilizando este protocolo de comunicaciones, nos implica el conocer a que direccion llamar, casi toda la mayoria de troyanos llevan esta conexion, eso si, nos implica decirle que al server que direccion tenemos.
conexion udp(inversa): esta conexion tiene la particularidad, que una vez la victima se conecta, el server nos llama para decirnos que esa persona se a conectado, si en ese momento tenemos el cliente del troyano activado, automaticamente estaremos conectados a ese pc.El assasin es uno de los pioneros usando este tipo de conexion...
Bueno conocido ya como un troyano puede realizar una conexion al pc de la vicitima, tocas aber como hacernos con la direccion de la victima.
METODOS DE NOTIFICACION IP
Notificacion:es un procedimiento para saber que direccion ip tiene nuestra "presa", se utiliza mas por las ip dinamicas, recordemos que estas ip cambian de nuemro cada vez que se conectan, de esa manera se le pierde el rastro, para eso el troyano incluye estos chivatos llamados notificadores.
TIPOS DE NOTIFICACION
ICQ: Este es muy habitual, nuestro troyano se hace pasar por usuario de este mensajero y nos envia la ip de la victima a nuestro uin(numero de usuario), icq tienes filtros que detectan como falsos usuarios a los mensajes del troya.Optix parece que aun puede es capaz de saltarse filtros.
MSN: Este seria el mas usado, pero como apenas funciona debido al filtro de msn, pues se queda casi como algo inutil, con introducirle nuestra cuenta de correo es sufuciente, otra cosa es que nos notifique.
IRC: Este metodo parece que aun se resiste, consiste en introducirle al server del troyano, el servidor y la sala irc donde queremos ver la notificacion de la ip infectada. La direccion irc puede ser de un server privado o un server publico especial para estos menesteres, por ejemplo sub 7 tenia el irc.subgenius.net , pero mejor no usar ese tipo de server ya que se comparten ip infectadas.
Smtp: notificacion por correo, es bastante facil de usar, lo malo es encontrar servidores smtp que funcionen regularmente, aparte si no estas muy atento al correo cuando te das cuenta ya se a desconectado..
servidores stmp(no se si funcionan)
Citar
smtp.veloxmail.com.br
smtp.sul.com..br
smtp.alternex.com.br
centerof.thesphere.com
misl.mcp.com
jeflin.tju.edu
arl-mail-svc-1.compuserve.com
alcor.unm.edu
mail-server.dk-online.dk
lonepeak.vii.com
burger.letters.com
aldus.northnet.org
netspace.org
mcl.ucsb.edu
wam.umd.edu
atlanta.com
venus.earthlink.net
zombie.com
nccn.net
telis.org
cvo.oneworld.com
bi-node.zerberus.de
underground.net
alcor.unm.edu
venus.earthlink.net
mail.airmail.net
redstone.army.mil
pentagon.mil
urvax.urich.edu
vax1.acs.jmu.edu
loyola.edu
CGI: Es ya una notificacion mas avanzada, se basa en enviar el numero ip a una direccion de una pagina web modificada por un script que acepta cgi, es un poco fracaso esta notificacion, ya que muchos webmaster apuestan por bloquear esa informacion, lo suyo es un servidor cgi propio...
PHP: lo mismo que la cgi, solo que en formato php.
No ip: Esta de moda ahora mismo, es de las mas usadas,consiste en convertir nuestra ip dinamica en estatica, lo que hacemos es contratar un servicio que nos ofrece la posibilidad de redireccionar nuestra ip a un servidor de este servicio, esto hace que cada vez que conectamos tengamos misma ip,misma ip es igual a mejor notificacion, el assasin necesita esto para poder localizarnos cuando nos llame, asi no se lo decimos mas nosotros donde estamos, hay notificadores de ip estatica para usar e incluso permite crearnos servidores para recibir esa notificacion, por ejemplo notificacion por ftp.
Servicios no ip
Citar
http://at.stomped.com/ http://at.stomped.com
http://www.cjb.net/ http://www.cjb.net
http://www.dtdns.net/
http://www.dhs.org/
http://www.ddns.org/
http://www.dyndns.org/
http://dyndns.dk/ http://dyndns.dk
http://www.dynodns.net/
http://dyns.cx/
http://www.eyep.net/
http://filmillz.com/
http://kpn.cx/ http://kpn.cx
http://www.justlinux.com/ http://www.justlinux.com
http://www.myip.org/
http://nicolas.cx/
http://www.ns1.net/
http://www.ods.org/
http://selfhost.com/
http://stech.net/
http://www.staticky.com/
http://www.tsx.org/
http://www.yi.org/^
Bueno aqui queda otro pequeño texto de los varios que pienso poner, el proximo texto sera encaminado a las opciones de camuflage del troyano cuando consigue entrar en un pc y de sus armas para acabar con sus enemigos, los firewalls y antivirus.
una vez dentro del pc victima...
Saludos, sigue el manual, que por cierto en respuesta a mails que me han llegado pidiendo manuales de optix y alguno otro mas troya, pòr ahora empiezo con lo teorico hasta que llegue a lo practico, si hay lammers que quieren solo joder y no aprender como funciona un troyano, http://www.google.com/ www.google.com, hay manuales....
Bueno hoy posteo que ocurre cuando un server invade un pc ajeno y que hace para evitar sus enemigos los firewalls y antivirus.
lammer: hola nena, que tal, mira que guapo soy,toma esta foto.
pc de la nena ignorante: desea aceptar el archivo tiobueno.jpg.exe?
nena ignorante le da a aceptar.
pc de la nena:descargandose archivo
nena: haber que guapo eres,click
Bien la nena ignorante, ignorante porque acepta una extension jpg.exe xddd , pues a dado el fatidico click, y el server que hace o puede hacer?
Bien cuando es ejecutado, se pueden producir estos procedimientos, primero si esta la opcion de mensaje falso de error, pues en ese momento sale una ventanita de error para despistar(o no sale), se produce la notificacion de la que hemos hablado antes, el server se puede esconder en c:windows o c:windowssystem, incluso tiene opcion de de borrarse automaticamente cuando se a instalado en el pc ajeno.
registro en sistema operativo
Bueno el server no venia para quedarse un dia, a venido a pasar un buen tiempo en el pc infectado, asi que necesitara alquilarse una o varias habitaciones en el hotel lamentable llamado windows .Vamos necesita registrarse.
tipos de registro
lo primero decir que el troya se adapta a registros de diferentes windows.
si haceis un regedit, y veis en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
hay dos tipos de entradas run y run services.
run= se suelen instalar ahi los troyanos, ahi es donde al iniciar windows el troyano se carga en la memoria, este tipo de registro es valido en todos los windows.
run services= este metodo de registro esta diseñado para ordenadores con sistema operativo windows 2k/xp, se puede añadir junto con el de run y tener dos entradas, la funcion es la misma, la de iniciarse.
registry key name: asi o parecido se llama al nombre que queremos darle al server cuando se meta en el registro, mejor usar nombres comunes a programas de uso general, no lo llameis destructor xddd.
win.ini: este es otro registro que el server, puede realizar dentro de la carpeta de windows, al estar apartado del registro pues se mira menos si hay algo,lo que hace simplemente es darle una instruccion al archivo win.ini para que se ejecute el troyano al iniciarse windows.
System.ini: mas de lo mismo y otro archivo algo escondido para editar con frecuencia.
Bueno aqui ya se puede ver mas o menos donde se meten los troyas.
method special o sub7 special: se puede utilizar para un tercer registro, imaginaros el troya en run-run services y en una ruta designada por el troyano y con el nombre de registro diferente al de run- run services.
podia ser:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun=msnmesenger.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices=msnmesenger.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce=emule.exe(metodo special)
Bueno, ya sabemos como se coloca el server, pero el server tiene que pasar una "dura prueba" para poderse registrar.
