--==::°-E-t-E-r-N-i-T-y-C-r-E-w-°::==--

[-T-R-O-J-A-N-]

..::GuIdA DeFiNiTiVa::..

Viste le straurdinarie richieste sui tutorials riguardo alla creazione dei trojan riscontrate nelle precedenti versioni del sito ho deciso di creare finalmente uns guida esaustiva per tutti coloro che ne volevano sapere di più riguardo questo particolare ramo dell'hacking.

..::Lezione 1::..

[ Tojan Whois ]

Innanzitutto vorrei chiarire il concetto di trojan o backdoor (se gia' sapete tuto vi consiglio di passare avanti).Un trojan o Cavallo di troia ,che deriva dalla legendaria storia e dopo scoprirete xchè questo nome,una volta eseguito ill file patch risiede sul computer e ne fa un server accessibile facilmente tramite un client o collegamento e quindi prenderne il controllo senza che l'utente se ne possa accorgere (da cui il nome di "cavalli di troia").Molti di loro dopo eseguiti non danno alcun messaggio ,alcuni invece simulano un errore delle librerie.per accederci da remoto al computer infeto basta prelevare il suo IP.Non essendo i trojan ed i backdoors dei veri e propri virus (anche se sono altrettanto pericolosi) non tutti gli antivirus sono in grado di rilevarli; vi consiglio di procurarvi uno o piu' antivirus in grado di aggiornarsi tramite internet, anche perche' nascono nuovi backdoors ogni giorno...
I trojan piu' recenti sono quelli piu' in basso. I trojan inoltre posso essere anche di altra spezie particolarmente pericolosa quella definita con il termine "distruttiva" questi di solito sono piccoli programmi che una volta eseguiti dalla vittima provocano danni irreversibili al sistema, tali programmi vengono definiti "cavalli di troia" perchè si "truccano" da programma benignio e non si attivano in automatico ma lasciano che la vittima si "auto distrugga" facendo entrare nella sua citta il cavallo da solo.

[ The Best Of Trojan ]

Prima di capire come creare un trojan la cosa migliore è analizzare i trojan "famosi" quelli che si possono scaricare in tutti i siti lameri che si spacciano per siti hacker:

..::LiSta TrOjAn::..
BACK ORIFICE bhe' lo sapete controllate /windows/system....e il regedit la porta e' udp 31337
ENIGMA e' un setup.exe che da permesso di lettura e scrittura su una parte di c:
MIRC e' bersagliato, ci sono decine di script che ti fregano mabasta un occhiata per trovarli
DMSETUP di solito crea diverse directory fasulle, e' uno dei piu' vecchi e piu'....:)(occio ce ne sono circa 4 versioni)
BACKDOOR si installa con il nome di notepad. exe o notepa.exe quindi se non vi funziona o ne avete 2...zzi vostri
SYSPPROTECT98 dovrebbe apparire come un setup e crea un file chiamato system.eo(bha') e funge da server senza alcuna protezione
PICTURE vi fotte la vostra password di accesso a internet(cache) e la spedisce a un tizio in mail (forse una software house di antivirus hihihihih)
TELECOMMANDO il server e' una dll da 266k ed il client non l'ho
provato....sorry vi faro' sapere
PHASE-0 e' tipo netbus(.) carino e con molte opzioni per il reg, il server e' un .exe da 294k
NETBUS E' piu' famoso del BO, le versioni piu' note sono la 1.6, la 1.7 e la 2.0 pro b. Apre la porta tcp 12345 o 12346 ma e' facilmente riprogrammabile.
REMOTE WIN il server e' RmtEwxS.exe di 262k da le opzioni di est,
SHOUTDOWN reboot e shoutdown, e' possibile settare una password.
GATECRACHER e' completamente scritto in visual basic, il server e' BUG.exe di 56k, ha le funzioni piu' comuni come apri/chiudi cd, apri webbrowser, start screensaver, chiudi windows,cancella file e dir, format, killwin, ... e qualcos'altro....
ICKILLER e' simile al netbus l'interfaccia grafica lascia un po' a desiderare i comandi sono gli stessi il server si installa come explorer.exe
DEEP TROAT credo che sia della stessa crew del BO e' facile e molto simile al netbus a me e' sembrato un po' piu' lento.
WINHELPER altro trojan per mirc riscrive il mirc.ini
NETPATCH non l'ho mai incontrato ma credo che installi un server ftp sulla porta 31377(BO)
MASTER PARADISE GIRLFRIEND e' molto carino...logga tutti i tasti premuti in ogni
finestra di windows.....quindi anche le password d'accesso e rimane in ascolto del client sulla porta 21554
ANGEL installa un server ftp che da' completo accesso all'HD della vittima (credo senza pass)
DEVIL lo sto scaricando ma credo che sia del genere netbus visto quanto pesa!!
WARTOOL si installa come un explorer.exe ed al riavvio cancella tutti gli exe e le dll
GJAMER apre la porta tcp 12076 con un server ftp e www

 

Viste l'enorme quantità di trojan già presenti in circolazione forse è anche opportuno mostrare tutte le porte che tali trojan aprono sui pc infetti. In questo modo potrete controlare tramite ms-dos se anche voi siete stati infetta oppure se siete i lameroni di turno potrete già andare in giro per la rete a scannare ip in cerca di malcapitati da testare.

..::LiSta Porte TrOjAn::..
porta 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,
Invisible FTP, Larva,
WebEx, WinCrash
porta 23 - Tiny Telnet Server (= TTS)
porta 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi),
Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator,
WinPC, WinSpy
porta 31 - Agent 31, Hackers Paradise, Masters Paradise
porta 41 - DeepThroat
porta 59 - DMSetup
porta 79 - Firehotcker
porta 80 - Executor, RingZero
porta 99 - Hidden Port
porta 110 - ProMail trojan
porta 113 - Kazimas
porta 119 - Happy 99
porta 121 - JammerKillah
porta 421 - TCP Wrappers
porta 456 - Hackers Paradise
porta 531 - Rasmin
porta 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
porta 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor,
ServeU, Shadow Phyre
porta 911 - Dark Shadow
porta 999 - DeepThroat, WinSatan
porta 1001 - Silencer, WebEx
porta 1010 - Doly Trojan
porta 1011 - Doly Trojan
porta 1012 - Doly Trojan
porta 1015 - Doly Trojan
porta 1024 - NetSpy
porta 1042 - Bla
porta 1045 - Rasmin
porta 1090 - Xtreme
porta 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
porta 1234 - Ultors Trojan
porta 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
porta 1245 - VooDoo Doll
porta 1269 - Mavericks Matrix
porta 1349 (UDP) - BO DLL
porta 1492 - FTP99CMP
porta 1509 - Psyber Streaming Server
porta 1600 - Shivka-Burka
porta 1807 - SpySender
porta 1981 - Shockrave
porta 1999 - BackDoor
porta 1999 - TransScout
porta 2000 - TransScout
porta 2001 - TransScout
porta 2001 - Trojan Cow
porta 2002 - TransScout
porta 2003 - TransScout
porta 2004 - TransScout
porta 2005 - TransScout
porta 2023 - Ripper
porta 2115 - Bugs
porta 2140 - Deep Throat, The Invasor
porta 2155 - Illusion Mailer
porta 2283 - HVL Rat5
porta 2565 - Striker
porta 2583 - WinCrash
porta 2600 - Digital RootBeer
porta 2801 - Phineas Phucker
porta 2989 (UDP) - RAT
porta 3024 - WinCrash
porta 3128 - RingZero
porta 3129 - Masters Paradise
porta 3150 - Deep Throat, The Invasor
porta 3459 - Eclipse 2000
porta 3700 - Portal of Doom
porta 3791 - Eclypse
porta 3801 (UDP) - Eclypse
porta 4092 - WinCrash
porta 4321 - BoBo
porta 4567 - File Nail
porta 4590 - ICQTrojan
porta 5000 - Bubbel, Back Door Setup, Sockets de Troie
porta 5001 - Back Door Setup, Sockets de Troie
porta 5011 - One of the Last Trojans (OOTLT)
porta 5031 - NetMetro
porta 5321 - Firehotcker
porta 5400 - Blade Runner, Back Construction
porta 5401 - Blade Runner, Back Construction
porta 5402 - Blade Runner, Back Construction
porta 5550 - Xtcp
porta 5512 - Illusion Mailer
porta 5555 - ServeMe
porta 5556 - BO Facil
porta 5557 - BO Facil
porta 5569 - Robo-Hack
porta 5742 - WinCrash
porta 6400 - The Thing
porta 6669 - Vampyre
porta 6670 - DeepThroat
porta 6771 - DeepThroat
porta 6776 - BackDoor-G, SubSeven
porta 6912 - Shit Heep (not port 69123!)
porta 6939 - Indoctrination
porta 6969 - GateCrasher, Priority, IRC 3
porta 6970 - GateCrasher
porta 7000 - Remote Grab, Kazimas
porta 7300 - NetMonitor
porta 7301 - NetMonitor
porta 7306 - NetMonitor
porta 7307 - NetMonitor
porta 7308 - NetMonitor
porta 7789 - Back Door Setup, ICKiller
porta 8080 - RingZero
porta 9400 - InCommand
porta 9872 - Portal of Doom
porta 9873 - Portal of Doom
porta 9874 - Portal of Doom
porta 9875 - Portal of Doom
porta 9876 - Cyber Attacker
porta 9878 - TransScout
porta 9989 - iNi-Killer
porta 10067 (UDP) - Portal of Doom
porta 10101 - BrainSpy
porta 10167 (UDP) - Portal of Doom
porta 10520 - Acid Shivers
porta 10607 - Coma
porta 11000 - Senna Spy
porta 11223 - Progenic trojan
porta 12076 - Gjamer
porta 12223 - Hack«99 KeyLogger
porta 12345 - GabanBus, NetBus, Pie Bill Gates, X-bill
porta 12346 - GabanBus, NetBus, X-bill
porta 12361 - Whack-a-mole
porta 12362 - Whack-a-mole
porta 12631 - WhackJob
porta 13000 - Senna Spy
porta 16969 - Priority
porta 17300 - Kuang2 The Virus
porta 20000 - Millennium
porta 20001 - Millennium
porta 20034 - NetBus 2 Pro
porta 20203 - Logged
porta 21544 - GirlFriend
porta 22222 - Prosiak
porta 23456 - Evil FTP, Ugly FTP, Whack Job
porta 23476 - Donald Dick
porta 23477 - Donald Dick
porta 26274 (UDP) - Delta Source
porta 29891 (UDP) - The Unexplained
porta 30029 - AOL Trojan
porta 30100 - NetSphere
porta 30101 - NetSphere
porta 30102 - NetSphere
porta 30303 - Sockets de Troi
porta 30999 - Kuang2
porta 31336 - Bo Whack
porta 31337 - Baron Night, BO client, BO2, Bo Facil
porta 31337 (UDP) - BackFire, Back Orifice, DeepBO
porta 31338 - NetSpy DK
porta 31338 (UDP) - Back Orifice, DeepBO
porta 31339 - NetSpy DK
porta 31666 - BOWhack
porta 31785 - Hack«a«Tack
porta 31787 - Hack«a«Tack
porta 31788 - Hack«a«Tack
porta 31789 (UDP) - Hack«a«Tack
porta 31791 (UDP) - Hack«a«Tack
porta 31792 - Hack«a«Tack
porta 33333 - Prosiak
porta 33911 - Spirit 2001a
porta 34324 - BigGluck, TN
porta 40412 - The Spy
porta 40421 - Agent 40421, Masters Paradise
porta 40422 - Masters Paradise
porta 40423 - Masters Paradise
porta 40426 - Masters Paradise
porta 47262 (UDP) - Delta Source
porta 50505 - Sockets de Troie
porta 50766 - Fore, Schwindler
porta 53001 - Remote Windows Shutdown
porta 54320 - Back Orifice 2000
porta 54321 - School Bus
porta 54321 (UDP) - Back Orifice 2000
porta 60000 - Deep Throat
porta 61466 - Telecommando
porta 65000 - Devil

 

[Trojan Defense]

Esiste un sistema per tenere sotto controllo tutte le porte aperte ed è questo, scrivete sotto dos : netstat -a .
se oltre alla porta 0 ne è aperta un'altra allora iniziate anche a preoccuparvi.Io vi consiglio con un antivirus aggiornato di scansionare la cartella windows se rileva virus NOn cancellateli ancora come riporta l'antivirus(non preoccupatevi se non siete in rete il trojan non potra' farvi niente).Oppure adesso esistemo mille programmi per la rimozione dei trojan come "The cleaner" anche per specifici,ad esempio programmi che scovano il server back orifice e lo cancellano definitivamente ,lo stesso col Netbus.Quindi avete piu' possibilita'...
Un'altra osservazione da fare è questa,tutti questi virus si eseguono in background(significa dietro le quinte ,termine usato nei sistemi linux) quindi per vedere ad ogni avvio cosa la macchina esegue andate nel regedit e fatene una copia con il comando "export" poi andate in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
da qui potrete vedere tutto quello che partira' in avvio. Cmq adesso vi riporto come ripulire alcuni di questi trojan,quando scrivo poi è meglio che riavviate il sistema,ad esempio cancellate una riga nel registro poi cancellate il file...:

BACK ORIFICE Descrizione:il file patch è un'applicazione ".exe" senza icona ed è circa 180kb.
Il file si piazza in c/windows/del.exe ma come la versione 1.20 puo' darsi si trovi in c:\Windows\System.Trovatelo e cancellatelo da Dos.
Poi andate nel regedit e cancellate la voce ,mi sembra si trovi in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
NETBUS Descrizione:il oatch si chiama appunto "patch.exe" ma si trova sempre rinominato ovviamente ha come icona una "piccola parabola" , è grande circa 483kb.
Andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga.Poi andate in c:\Windows\ e cancelate il file che vi hanno mandato e avete precedentemente eseguito.Atenzione puo' avere anche l'estensione .ini cancellatelo cmq.
TELECOMMANDO Descizione :il server è Odbc.exe ed è circa 206kb.
Si piazza in c:\Windows\System ma voi andate nel regedit in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga SystemApp "ODBC.EXE" poi cancellate il file file odbc.exe da Windows\System

GIRLFRIEND Descizione:il patch è Windll.exe circa 336kb o 302kb, ha per icona il simbolo di Windows oppure un piccolo fax.Il file si piazza in C:\WINDOWS\Windll.exe
Quindi andate in dal regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e poi cancellate il file in c:\windows.
MASTER'S PARADISE 98 Descizione:il patch è SysEdit.exe sono circa 462kb.
Andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellate la riga e poi andate in c:\windows e cancellate sysedit.exe e KeyHook.dll .
DEEP THROAT Descizione:il patch è Systray.exe ,circa 304kb.
Qundi andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellate la riga e poi cancellate il file systray.exe da c:\Windows.
NETBUS PRO2 Come il Netbus ,infatti si piazza sempre in c:\windows\ pero' nel regedit ci sono delle varianti che sono :HKEY_CURRENT_USER\NetBus
HKEY_CURRENT_USER\NetBus Server\General
HKEY_CURRENT_USER\NetBus Server\Protection
HKEY_CURRENT_USER\NetRex
HKEY_CURRENT_USER\NetRex Server\General
HKEY_CURRENT_USER\NetRex Server\Protection
POLY (sconosciuto) Descizione:il file patch è un .exe circa 389kb,ha l'icona di un filmato multimediale quando lo si esegue appare una finestra che ci comunica che mancano le librerie del quicktime.
Si piazza in c:\windows è "rhwtcnxb.exe" ma puo' darsi anche ci siano delle varianti,per sicurezza fate uno scan con un antivirus aggoirnato ,il norton2000 preferibilmente e controllate.
Quindi andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga ,che mi sembra simuli una .dll .
Poi cancellate il file in c:\windows.

[ Sfruttare Trojan ]

Viste l'enorme quantità di trojan già presenti in internet un'idea blasonata nella mente dei più pigri sarebbe stata quella di sfruttare già i trojan presenti senza doversi impegnare più di tanto nella creazione di un trojan. Qui di seguito vi mostrerò qualche truchetto per usufruire dei trojan già presenti:

Innanzitutto per vedere se un utente è infettato da un trojan e conoscete la porta di aperture (ad esmpio per il Netbus è la 12345) andate con telnet all'host che sara' l'ip della vittima e la porta del trojan esempio pratico :
123.242.24.23:12345 vi dira' anche che versione (nometrojan)! .

Se avete individuate un ip infetto da Netbus e volete illuderlo da password(solo voi potete accedere al computer) fate i seguenti comandi col telnet:
una volta scritto l'ip e la porta del netbus
Password;1;any
poi
ServerPwd;lapasswordchevolete
Attenzione:funziona dalla versione precedente alla 1.70 ,per controllarlo verificatelo con telnet.

Potete cambiare anche l'icona ad un trojan,prendete un programma che crea icone come il microangelo e prendiamo un icona che ci garba.Poi la apriamo con l'editor di icone e facciamo un copia di tutto e incolla sull'icona del trojan sempre editandolo.
Si avra' una Patch meno sospettabile.

Potete anche creare un bel "pacchetto" per nascondere meglio.Mettete in un file zippato la patch rinominata Setup.exe con una bella icona di istallazione! Poi ci mettete dei file .doc magari chiamandoli leggimi.doc o leggimi.txt ,fate dei file di help,dei file .bin o altro per simulare un bel programma ,se volete anche un'immagine fatta da voi(per simulare l'immagine che parte appena si esegue l'istallazione)!!Così sara' un programma "in regola".

un'altro metodo sarebbe quello di mettere come icona al patch quella del self-extractor del winzip,catturandola con il microangelo che ha l'apposita opzione, che in realta' è un .exe quindi insospettabile!

..::Lezione 2::..