Aca dejo un posteo mio de otro foro porque es temprano y no tengo muchas ganas de escribirlo todo de vuelta =P :
Tutorial de SubSeven ------***** por Bakura182 *****------
---**ESTE TUTORIAL ES PARA PRINCIPIANTES QUE QUIERAN INTRODUCIRSE EN EL MUNDO DE LOS TROYANOS Y NO SEPAN COMO EMPEZAR Y QUE UTILIZAR.
CON MUCHAS GANAS Y PILAS, UNA VES LEIDO ESTE TUTORIAL YA HABRAS OBTENIDO CONOCIMIENTOS SUFICIENTES COMO PARA PASAR AL SIGUIENTE NIVEL**---
Para empezar nuestras lecciones, vamos a descargarnos el troyano para Windows. Si Usted tiene Mac, sepa que Sub7 también existe para Mac.
El editor de SubSeven.
Hay varias versiones de Sub7 pero la más interesante es ésta que vamos a tratar en este tutorial la version 2.15 o gold (la mayoria de las versiones son todas identicas a la hora de configurar).
En este tutorial voy a basarme en la versión para Windows, pero imagino que la versión de Sub7 para Mac debe ser casi idéntica.
En primer lugar voy a advertirle que su antivirus va a detectar la presencia de este troyano en cuanto lo descargue. Para ello lo mejor es que desactive el antivirus cuando empiece la descarga. No active el antivirus en ningún momento durante las pruebas con Sub7.
El editor de SubSeven.
Una vez que hayas descargado el troyano en archivo zip o rar, debes crear una carpeta en cualquier lugar de tu ordenador y descomprimir todo su contenido dentro de la carpeta. Aquí deberá ser cuidadoso y analizar visualmente los archivos antes de proceder a su uso. Deberemos saber identificar las tres partes básicas de un troyano: editor, cliente y servidor.
Para eso deberemos fijarnos en el nombre de los archivos. Esto es lo que nos encontramos cuando extraemos todo lo que hay dentro del archivo Zip:
- EditServer.exe
- ICQMAPI.dll
- Server.exe
- SubSeven.exe
- Tutorial ingles
- Tutorial español
EditServer.exe es el editor del servidor, server.exe es el servidor y SubSeven.exe es por lógica el cliente. ICQMAPI.dll es una librería para el correcto funcionamiento del cliente de Sub7. Sin esa librería no funcionaría el cliente en nuestro ordenador.
Vamos primero a decir que el servidor es en realidad el programa que infecta (es que lo es no?). Es el programa que cuando la víctima haga doble clic sobre él o sea lo ejecute, quedará infectada. Por tanto nunca hagan Ustedes doble clic sobre ese archivo o quedarán infectados automáticamente, ha no ser que quieran probar con ustedes mismos, no se preocupen se puede borrar .
¿Y cómo controlamos entonces el servidor desde nuestro ordenador a través de Internet?. Aquí es donde entra el cliente. El cliente es un pequeño programa que nos permite controlar gráficamente todo lo que el servidor puede hacer en el ordenador de la víctima. Por tanto el cliente es la parte benigna e inofensiva del troyano. Por ejecutar un cliente (Sub7.exe) nunca infectaremos nuestro ordenador a pesar de que el antivirus indique lo contrario.
La tercera parte de Sub7 que nos interesa es el editor. Éste es un pequeño programa que configura, es decir, edita el servidor a nuestro gusto. Si no editamos el servidor, éste será también perfectamente operativo, pero no notificará hacia nuestra cuenta de e-mail o hacia nuestro canal de IRC. Es por consiguiente interesante saberlo manejar. Vamos con él.
Hagamos sin miedo doble clic sobre el archivo EditServer.exe. Previamente habremos desactivado la proteccion de nuestro antivirus. Hágalo sin miedo. Para todo hay una primera vez. Esto es lo que verá:
Muy bien, ya has dado el primer paso en el uso de un troyano por primera vez en su vida. Ahora pasemos a analizar las posibilidades que nos ofrece el editor.veamos arriba en esta parte:
[img]https://2img.net/r/ihimizer/img219/4061/clipimage001nh5.gif]/img]
Pulsemos el botón "browse" que vemos en la pantalla. Ahora busquemos el servidor del troyano, es decir, server.exe (tendremos que ir para ello a la carpeta de Sub7 que creamos al principio). Cuando lo tenga seleccionado pulse el botón "Abrir". Puede estar tranquilo: Usted no activará el servidor en su ordenador, simplemente va a leer sus datos con el editor. Para ello pulse "read current settings".
Esto es lo siguiente que vera:
Desde luego han variado pocas cosas con respecto a lo que estaba viendo antes. Solo ha aparecido el icono de DOS. Pero ahí tiene Usted los datos de configuración del servidor. Ahora es conveniente personalizarlos para que el troyano esté a nuestra disposición. Pasemos entonces a la siguiente sección: "Startup method(s)".
Si se fija, sólo está seleccionada una opción: WIN.INI. ¿Qué quiere decir esto?. Bien, Win.ini es un archivo que tenemos en nuestro ordenador y que puede ser modificado para activar en el inicio de Windows cualquier programa. Si activamos en el editor WIN.INI (como de hecho está) entonces el servidor de Sub7 se activará cada vez que la víctima encienda su ordenador, sin necesidad de tener que hacer doble clic sobre el servidor todos los días.
Los otros cuatro métodos de autoinicio tienen la misma función, sólo que varían otros archivos del ordenador e incluso el registro. Usted puede seleccionar cualquiera de los cinco métodos o una combinación de varios de ellos (e incluso todos). Si no selecciona ninguno, entonces el servidor no se volverá a activar automáticamente después de que la víctima apague el ordenador. En "key name" puede Usted editar la clave con la que Sub7 aparecerá en el registro de la víctima. Puede ser cualquier nombre que se le ocurra o dejar el que Usted lee por defecto: WinLoader.
Pasemos ahora a "Notification options". Esta parte es muy importante porque es la que realmente personaliza el troyano. Veamos este gráfico ahora:
Primero rellene el campo "victim name". Éste es el nombre de la víctima que aparecerá cuando Usted entre en su ordenador con el cliente. Podemos poner cualquier nombre que se nos ocurra. Por ejemplo "Catched", que es el que uso yo jeje y significa "atrapado"...
Pasemos a "enable ICQ notify to UIN". Aquí hemos de poner nuestra UIN. La UIN es nuestra cuenta de ICQ. Cuando nos asociamos a ICQ, nos dan un número que es el que aquí hemos de poner para que el troyano nos comunique mediante ICQ que está activo y podemos entrar en la IP que nos marca la notificación. Hay que señalar primero la casilla y luego subir los datos nuestros. Esa UIN que leemos por defecto (14438136) no es nuestra, así que deberemos cambiarla. Si no disponemos de cuenta en ICQ, entonces es mejor no marcar la casilla.
La siguiente casilla corresponde a la notificación mediante IRC, es decir, lo que conocemos por chat. Si Usted no tiene ningún canal privado de IRC o no conoce ningún canal de infectados de Sub7 en español, entonces no la marque. Por defecto el troyano apunta hacia un canal de chat llamado irc.subgenius.net en el puerto 6667. No varíe nada si no conoce ningún canal de ese tipo.
La última notificación apunta hacia su cuenta de correo electrónico. Yo nunca he recomendado este sistema porque es el más inseguro de todos. Además Usted debe probar con su propia cuenta antes de editar la casilla "enable e-mail notify". Para ello active la casilla antes mencionada y en "notify to" ponga su cuenta de correo electrónico. Después pulse sobre la flecha que aparece en "server" y busque en cualquiera de los servidores que aparecen ahí. Pruebe con uno y si no recibe notificación en su cuenta de e-mail, entonces cambie y use el siguiente servidor SMTP.
Cuando un servidor SMTP funcione correctamente tras haber pulsado Usted el botón "test", entonces recibirá la notificación en su cuenta de e-mail. En ese momento sabrá que el método funciona y podrá pasar a la siguiente sección de configuración. Si no lo ha conseguido, entonces lo mejor es que no marque la casilla. Puede también, si lo desea, marcar varias casillas al mismo tiempo para recibir múltiples notificaciones. pero no es necesario marcar estas casillas, puedes dejarlas sin marcar.
Pasemos ahora a "Installation" y fijémonos en esta parte de la pantalla:
Estamos ahora en "automatically start server on port:". Esto es muy importante editarlo bien porque si no lo hacemos así, luego no sabremos cómo conectar con el servidor. Éste es el puerto de escucha del servidor que por defecto es el 27374. Podemos usar cualquier valor numérico desde 0 hasta 65535. Pero si vamos a usar otro valor distinto de 27374, entonces hemos de recordar más tarde que en el cliente debemos poner también el mismo número. Si no buscamos el servidor en el mismo puerto que hemos puesto aquí, entonces no podremos conectar con él.
Otra opción que tenemos es "use random port". Esto quiere decir que cada vez que la víctima se conecte el puerto varía al azar, así que puede ser cualquier número desde 0 a 65535. Si el notificador no nos indica el número del puerto al azar, es materialmente imposible adivinarlo. Podemos optar por marcar la casilla o dejarla en blanco.
En "server password" podemos introducir una clave para que sólo nosotros podamos acceder al ordenador de la víctima y así evitemos que otra persona acceda también. La clave hemos de introducirla otra vez en "reenter" para asegurarnos de que la hemos tecleado bien.
Seguidamente, si hemos introducido nuestra clave, señalaremos también la casilla "protect server port & password" para buscar más seguridad.
En "enable IRC Bot" no marque nada si no sabe nada de IRC (no es necesario marcar esta casilla) y qué son los bots. En caso contrario, pulse sobre "Bots Settings" y configure el bot a su gusto.
Vaya ahora a "server name". Éste es el nombre con el que actuará silente el servidor del troyano una vez que se instale en el ordenador de la víctima. Si Usted selecciona "Use random name", entonces el servidor generado en el ordenador de la víctima tendrá nombres aleatorios. He de indicarle empero que esos nombres son muy llamativos porque están atiborrados de consonantes juntas que no tienen ningún sentido. Es más razonable elegir la otra opción ("specify a filename") y ponerle al servidor un nombre que pase inadvertido. Por ejemplo, windows32.exe, explorer.exe ,etc... puedes inventar el que quieras, siempre con la extensión exe, sys, etc...
Vaya ahora a "melt server after installation". Esta función es interesante puesto que eliminará el servidor una vez se haya instalado y sólo dejará el archivo que antes nombramos como windows32.exe en el ejemplo. Si no marcamos la opción entonces no eliminará el archivo original. Es decir, infecta y desaparece, o puedes no marcarlo y dejar que permanezca.
En "enable fake error message" podemos optar por marcar la casilla para que el troyano intente engañar a la víctima en la primera ejecución. Señalemos la casilla y pulsemos el botón "configure". Esto es lo que vemos:
Si con la configuración que vemos en pantalla, la víctima hiciera doble clic sobre el servidor de Sub7, éste sería el mensaje que aparecería sobre su pantalla:
Esta pantalla de advertencia simula un error en la ejecución del programa, por lo que la víctima creerá que su programa no funciona correctamente y así nunca creerá que se trata de un troyano que ha infectado su ordenador. Nosotros podemos configurar el mensaje como nos plazca, usando cualquier palabra en "message title" y en "message text". El tipo de botón también es seleccionable sobre una gama de seis posibilidades (buttons). Después podemos probar el tipo de mensaje desplegado pulsando "test message". Cuando tengamos el mensaje definitivo procederemos a guardarlo en el servidor pulsando sobre "apply settings". Esta opcion tampoco es necesaria.
Me gustaría resaltar que hoy día este método de engaño en la infección se ha vuelto muy sospechoso y pocas víctimas permanecen impávidas después de la pantalla de advertencia. A decir verdad un archivo que se comporte de esa manera en su ejecución es altamente sospechoso de contener código vírico en su interior.
Más interesante y sutil es el método de engaño mediante la fusión de archivos. Esto quiere decir que podemos unir nuestro troyano a otro archivo inofensivo y hacer que cuando la víctima ejecute el archivo fundido, el servidor de Sub7 se instale silenciosamente en su ordenador mientras el archivo usado como anzuelo realmente funcione. Así es difícil que sospeche.
La casilla "bind server with EXE file" sirve para adjuntar un archivo EXE con el server. Vamos a pulsar sobre "browse". Y a continuación busque el archivo tomado como anzuelo y ya está. Al final tendrá en un solo archivo el servidor y el archivo inofensivo.
Pasemos ahora en la parte inferior de las opciones, la cual consiste en proteger el servidor para que no pueda ser editado por nadie más que por nosotros. ¿Para qué queremos esto?. Muy sencillo: imagínese que la víctima se apercibe de que alguien le ha introducido en su ordenador el servidor de Sub7. A lo mejor la víctima es algún conocido con el que Usted se relaciona en el ICQ y, por tanto, conoce su número de ICQ o UIN. Si la víctima intenta acceder al servidor desde otro editor, entonces verá todos los datos personales que Usted ha introducido (número de ICQ, e-mail, etc) y deducirá que es Usted la persona que la infectó. Para ello debemos proteger el servidor de tal forma que sólo Usted pueda acceder a él.
Si marcamos la casilla "protect server so it can´t be edited/changed", ya estaremos seguros de que sólo nosotros accederemos a los datos personales del editor. Acto seguido Usted deberá indicar una clave de acceso al servidor rellenando el campo "password" y repitiendo la misma clave en el campo "reenter". No confunda esta clave con la clave de acceso al servidor mediante el cliente que antes ya explicamos. Esta clave que estoy explicando ahora sólo es para el acceso con el editor.
Para acabar con la configuración del editor, vea ahora esta otra parte de la pantalla:
Si Usted escoge "close EditServer after saving or updating settings", entonces el editor se cerrará automáticamente cuando Usted haya finalizado con la edición del servidor. En caso de que Usted no señalara esta casilla, tendría que cerrar el editor manualmente.
Abajo tiene tres posibilidades. Si pulsa "save new settings", todo lo que ha editado se grabará directamente sobre el archivo server.exe que se encuentra en su carpeta de Sub7. Si pulsa "save a new copy of the server with the new settings", entonces todos los datos de configuración irán a un nuevo servidor que Usted tendrá que nombrar y guardar (server.exe en este caso permanece inalterado). Si Usted decide pulsar "quit without saving" entonces saldrá del editor sin grabar los datos de configuración en el servidor.
Una vez que tenga su servidor personalizado tras la edición, ya puede instalarlo en un ordenador para controlar éste como si se tratara de su ordenador. Realmente el servidor es el archivo que infecta y el que debemos detener cuando alguien nos intente infectar con él.
continua...