Resultados 1 al 13 de 13

Tema: Subseven

  1. #1 Subseven 
    Iniciado
    Fecha de ingreso
    Oct 2007
    Mensajes
    4
    Descargas
    0
    Uploads
    0
    Hola a todos, ps hace poco me baje el subseven legends para aprender un poco y no c como verificar que no contenga otro tipo de troyano k exponga mi ekipo a algun daño, alguien sabe como verificar o estar seguro???

    __________________________________________________ ______________
    NEWB ^.^
    Citar  
     

  2. #2  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Seguro sólo lo estarás no ejecutándolo. Puedes escanearlo con otros antivirus, pero si contiene software no detectado vas a ser vulnerable con toda seguridad.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Oct 2007
    Mensajes
    4
    Descargas
    0
    Uploads
    0
    bueno y entonces k debo hacer para estar completamente seguro???
    Citar  
     

  4. #4  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Buenas! Puedes escanear tus propios puertos y viendo cuáles tienes abiertos... si hay alguno sospechoso que apareció después de la ejecución es evidente que estarás infectado. Aunque en estos casos en los que se usa conexión directa suele saltar un firewall instalado (si es que lo tienes), ya que al instalar un troyano con conexión directa, lo que se hace básicamente es iniciar un nuevo servicio.

    Cosa distinta es que use una conexión inversa... (el troyano es el cliente), en cuyo caso no te enterarás de nada. Para estos casos, sólo un antivirus actualizado puede detectarlo, ya que éstas busquedas de virus se basan en encontrar cadenas constantes dentro del ejecutable.

    También tienes la opción de debuggear y monitorizar los procesos activos antes y después de la ejecución del ejecutable sospechoso, para estudiar su comportamiento y "viendo" qué es lo que hace (accesos al registro, inyecciones dll, conexiones, etc...)

    Lo mejor, como dice j8, es no ejecutar nada de lo que no estás seguro...

    Saludos.
    Citar  
     

  5. #5 Re: 
    Iniciado
    Fecha de ingreso
    Oct 2007
    Ubicación
    Barcelona
    Mensajes
    3
    Descargas
    0
    Uploads
    0
    Hola hystd, me puedes explicar un poco mas eso que dices de instalar un troyano con conexion directa?
    Yo he programado un troyano y ahora tengo la dificultad de q, para poder conectarme, necesito primero abrir el puerto en el router de la victima, y si tiene firewall modificar los permisos para q no impida la conexion..

    Sabes como se hace para pasar por encima del router y del firewall? con paquetes UDP en vez de TCP kizas? como lo hace el subseven, el netbus, el backorifice.. etc?

    Gracias!
    Citar  
     

  6. #6  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Hola buenas! Antes de nada decirte que desconozco una manera para abrir un puerto en el router remotamente. Se puede hacer localmente accediendo a través de la puerta de enlace y configurandolo adecuadamente.

    Si existe algún método j8 seguro que sabrá decírnoslo xD. Se podría hacer algo conociendo el modelo tal vez. O simplemente cargando un fichero de configuración (que haremos nosotros), y cargándolo en el sistema remoto. j8 es quién mejor te puede guiar en ese aspecto.

    En cuanto a lo de "saltar" un router o un firewall, me refiero a que si programas tu troyano con conexión inversa, entonces pasarán desapercibidos. Esto es así porque el troyano no inicia ningún servicio en la máquina remota, sino simplemente se conecta como un cliente. Es simplemente cambiar la filosofía tradicional de este tipo de conexiones entre sistemas. Tu haces de servidor, dando los permisos correspondientes en tu sistema, y el cliente se conecta a través de tu IP. En este caso, si posees router para tu conexión, deberás configurar tu conexión en modo DMZ.

    El problema que se te plantea sería que no tuvieras IP estática, sino dinámica, entonces aquí entra la creatividad de cada uno... puedes programar tu aplicación de manera que modifique la cadena que contiene tu IP (que es la del servidor) dentro del cliente, en función de la que tienes actualmente. Por ejemplo haciendo que el cliente se conecte con un servidor que contiene en un fichero tu IP actualizada. Existen varías técnicas que te permiten modificar el código fuente en tiempo de ejecución, aunque en este caso, sólo sería cambiar una string de tu aplicación


    Saludos.
    Última edición por hystd; 03-10-2007 a las 15:54
    Citar  
     

  7. #7  
    Iniciado
    Fecha de ingreso
    Oct 2007
    Mensajes
    4
    Descargas
    0
    Uploads
    0
    Buenas, acabo de escanear el archivo con un antivirus actualizado y todos los programas aparecen infectados, el cliente, el server y el serveredit, ahora quede mas confundido, en el server es obvio que lo reconociera como virus, pero que hay de los otros programas???

    Gracias por su ayuda!!
    Citar  
     

  8. #8  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    No sólo se trata de abrir un puerto, sino también de redireccionarlo adecuadamente. Nah, como bien dice Hystd no se puede. Hay formas de hacerlo, pero muy determinadas y poco comunes, como por ejemplo explotando alguna vulnerabilidad conocida, probando claves por defecto en routers con la interfaz de administración remota actavada también por defecto, etc. Pero ¿cómo sabemos que también estaba activado el servidor dhcp por defecto y que el rango de direcciones para asignar a los clientes permanece también por defecto y que el primer cliente en pedir configuración es el infectado y que está activo, etc, etc, etc. Personalmente lo veo inviable para sistemas detrás de routers. Si buscar instalar un servicio en una máquina básicamente lo que debes hacer es rezar por que ésta se encuentre en zona desmilitarizada y sin cortafuegos.

    Con la conexión inversa está todo esto solucionado, aunque cabe aclarar que si el servicio se instala y ejecuta a horarios indefinidos habría que mantener el servidor receptor de la conexión permanentemente activo.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  9. #9  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por KyleasKiske Ver mensaje
    Buenas, acabo de escanear el archivo con un antivirus actualizado y todos los programas aparecen infectados, el cliente, el server y el serveredit, ahora quede mas confundido, en el server es obvio que lo reconociera como virus, pero que hay de los otros programas???

    Gracias por su ayuda!!
    KyleasKiske, ¿acaso no forman todos parte de la misma suite? Pues ésa es la razón de que todos ellos estén incluídos en la base de datos de antivirus como herramientas maliciosas. Básicamente porque lo son.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  10. #10  
    Iniciado
    Fecha de ingreso
    Oct 2007
    Ubicación
    Barcelona
    Mensajes
    3
    Descargas
    0
    Uploads
    0
    Vale.. entiendo lo que decis.. pero yo hace años, cuando descubri el NetBus, me conectaba como cliente. Lo único q tenia q hacer era escanear el puerto 12345 y conectarme a las IPs q tenian ese puerto abierto. Significa eso q todas esas IPs a las q me conectaba eran de ordenadores sin router y sin firewall? q se conectaban mediante un modem o como DMZ?

    Pense q los troyanos "profesionales" usarian alguna tecnica para infiltrarse de alguna forma.. kiza usando paquetes UDP en vez de TCP, q pasan mas desapercibidos? Antes q casi todo el mundo usaba modem no hacia tanta falta, pero ahora q todos tienen router de que viven el subseven, netbus, backorifice.. etc? si para q funcionen tienes q direccionar puertos y dar permisos de firewall (o rezar por el milagro del DMZ y demas) : P

    Vale, pues a programar el troyano como cliente.. pero ahora el problema esta en tener un servidor con IP estatica al que se conecte para que vaya alli a mirar un fichero donde yo haya dejado mi IP actualizada (ya q es dinamica).. y una vez obtenida conectarse conmigo.. es eso, no?
    Y de donde saco yo un servidor con ip estatica?

    Gracias muchas
    Citar  
     

  11. #11  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    El tema de la ip estática lo puedes resolver con servicios de dominio sobre ips dinámicas (dyndns por ejemplo)

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  12. #12  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Ubicación
    online
    Mensajes
    789
    Descargas
    5
    Uploads
    0
    tambien tienes esto que es muy sencillo de usar:

    http://www.no-ip.com


    Saludos
    Citar  
     

  13. #13  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Sí, ése es otro ejemplo de servicio de dominio sobre ip dinámica

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. subseven en xp
    Por pocholo_jr en el foro INTRUSION
    Respuestas: 8
    Último mensaje: 09-08-2007, 22:46
  2. SubSeven
    Por Totomazinger en el foro GENERAL
    Respuestas: 5
    Último mensaje: 23-07-2006, 20:58
  3. subseven
    Por MoRGotH en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 19-11-2005, 16:42
  4. SubSeven v2.1
    Por dfgm en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 17-11-2005, 19:50
  5. subseven
    Por pirulo en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 21-11-2001, 17:08

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •