GnomixLand



#############################-Disclaimer Legale-#############################
Tutto il materiale qui presente è stato scritto a puro scopo didattico, l'autore non
si assume nessuna responsabilità per le informazioni qui riportate e si pone come un
aperto contrastatore della diffusione di trojan. Questo materiale può essere divulgato,
modificato e chi vuole può pure metterci il prorpio nome, la gloria non fa per me!
#############################################################################

COSA è RICHIESTO:

		-un Trojan da "lavorare"
		-un editor esadecimale
		-un compressore per eseguibili
		-una gran dose di cattiveria


COSA TROVERETE IN QUESTO FILE:
		
		-PREMESSA (DA LEGGERE ASSOLUTAMENTE)
		-BREVE SAGGIO SUI TROJAN
		-NASCONDERSI AD UN ANTI-VIRUS
		-COME USARE UN TROJAN ESSENDO UN PO' MENO LAMER

-------------------> PREMESSA (da leggere assolutamente) <-------------------

Magari qualcuno si chiederà perchè scrivere qualcosa al riguardo dei trojan. "Non sono
gli strumenti della perversione che ci distraggono dalla retta via che conduce al puro
hacking?" potrebbero pensare quei giovani che trovano su News Group centinaia di
messagi di diffida nei confronti di chi cerca spiegazioni sui trojan o il metodo
più rapido per leggere la posta della Ragazza_che_fa_le_corna. Certo, in quei casi il trojan
appare una lammerosa soluzione più per apparire dei fighetti della rete che per
fare qualcosa di costruttivo! Ma davvero i trojan sono da escludere a priori dalla
pratiche di buoni newbies. O forse un uso intelligente può dare buoni frutti,
e, perchè no, accrescere la nosta limitata conoscenza (obiettivo che distingue
l'hacker dal lamer...secondo me). Ecco, in questo breve saggio (dio che parola
grossa per due righe!), volevo cercare di citare alcuni pregi raramente riconosciuti
ai trojan.

Prima di iniziare la parte pratica un po' di sana teoria. Girando per la rete io ho
sempre sentito associare la parola trojan a programmi di bassa considerzione come NetBus
o BO. Eppure pochi ricordano che di trojan (un po' diversi) ne fanno uso gli hacker.
Infatti i trojan non sono solo le applicazioni clientserver preconfezionate che
usiamo per aprire il lettore CD del nostro "caro" compagno di banco ma qualsiasi
programma malizoso che una volta eseguito si mette a fare qualcosa contro la 
volontà di chi lo esegue (a meno che non sia masochista) in modo più o meno
nascosto. Alcuni trojan vengono usati per mantenre un accesso ad un server hackerato,
altri procurano le password di sistema a user non root, altri ancora nascondono
la presenza di un utente su un server o evitano di loggare in alcuni file.
Insomma, quando una persona utilizza un programma che vuole metterlo in quel
posto ad altri nel modo più facile possibile usa un trojan (perchè si chiamano
trojan credolo sapiate tutti..per quella troia di Elena..ops...per la storia
del cavallo di Troia no?). Altra piccola considerazione meriterebbero le backdoar.
Ho notato che molti non distinuguono fra i due considerandoli la stessa minestra.
Eppure io personalmente per backdoar ho sempre inteso quelle modifiche apportate
a file come il login di *nix per mantenere un acceso  al sistema. Non so se sia
giusta la mia distinzione, forse non è importante ma per ho sempre indicato
col termine backdoar un file di norma presente su un server al quale si fanno
delle adeguate modifiche per ottenere dei vantaggi (come al netstat). Se mi
volete smentire: mimmuz_2000@yhoo.it

-------------------------> BREVE SAGGIO SUI TROJAN <-------------------------

E finalmente veniamo al dunque. Subito smentisco quelli che si sarnno illusi che parli di trojan
per *nix che diano vantaggi a chi si sta già divertendo nella pratica dello hacking vero e propio:
anche qui sarnno di scena i trojan "calssici", quelli che si trovano in ogni angolo di internt che
sono al vertice nelle classifiche di programmi più scaricati!

Per chi ancora non ne avesse sentito parlare (o siete dei veri bravi ragazzi e non avete mai avuto
la tentazione oppure vivete su Plutone perchè marte sarebbe troppo vicino!) gli ormai stra-citati
trojan (non specificherò più "di basso livello") sono composti da due file eseguibili; il primo è
un semlice client che verrà utillizzato da chi piazza il trojan per accedere al secondo file, il
server. Quest'ultimo è il file che va lanciato sul pc vittima e si mette in ascolto su una porta 
prestabilita pronto a fare ad eseguire cioè che il client gli dirà. E adesso una precisazione. Se 
il server e il client dialogano in base a pacchetti non criptatati e i comandi del server sono 
abbastanza semplici nessuno ci vieta di utillizzare un quaslsiasi telnet come client. Certo che 
per alcuni trojan più complessi telnet è molto limitato se non inutilizzabile però con i più semlici
 può andare.
Come abbiamo apepna visto il trojan vero e propio è il server ed è il file che si deve tentare di
 mascherare il meglio possibile per non farlo rilevare ne ad un utente attento e nemmeno dagli
anti-virus. Fra i metodi più usati per nscondere il server agli utenti/vittime ci sono i Fake 
Error Message (far comparire un messaggio di erore per giustificare che il file eseguibile in 
apparenza non faccia nulla), i metodi per far passare il programma in esecuzione come un servizo 
e nasconderlo alla limitata tasklist di Win9x (NT è fatto meglio!) e quelli di far sparei l'exe 
dopo la prima esecuzione oppure il modificare l'icona con una allettante. A questi si sono aggiunti 
dopo trucchi come quelli del sub7 2.2: facendo un netstat da sconnessi si ha la lista delle porte 
aperte...quindi se un server è in funzione su un pc è facile trovarlo ecco quindi che la nuova 
versione del sub7 aspetta di essere on.line per mettere in ascolto una porta così da confondere 
chei andasse a controllare la lista delle porte aperte e delle connesioni a queste.
Quelli appena descritti sono, come già detto, metodi abbastanza validi per nascondere un trojan 
ad una vittima non troppo attenta, ma come fare per rendere ivisibili i server ai tanto
temuti anti-virus?

-----------------------> NASCONDERSI AD UN ANTI-VIRUS <----------------------

Nascondersi ad un Anti-Virus è abbastanza semplice. Un Anti-Virus cerca nei file se ritrova
stringe o pezzi di codice uguali a quelle che nel suo database sono segnalate come virus,
trojan o possibili programmi maliziosi. Ora, dato che, a differenza dei virus che in un
sistema tendono essenzialmente a riprodursi senza farsi riconoscere, un trojan deve solo
limitarsi a girare sulla macchian vittima senza farsi beccare, basta modificare il codice
del trojan per renderlo completamente invisibile. "Certo", direte voi, "facile a dirsi,ma
come si fa in pratica?". facile anche questo! Avete presente quei programmiche comprimono
gli eseguibili matendendo le loro funzioni di file exe come Pklite o WWWPack32? Bene,
basta comprimere i file con questi programmi e gli anti-virus cercheranno finchè vorranno...
il trojan non c'è per loro!
Purtroppo comprimendo gli i server dialcuni trojan come BO si perdono le impostazioni 
personalizzate che abbiamo datoal server. Infatti se apriamo il server non ancora compresso 
e non configurato di BO e un server non compresso ma configurato da noi sempre di BO 
con un editor esadecimale (provate Hex Workshop...per ora vi basterà) vediamo che alla 
fine del file ci sono delle differenze...quello configurato è più lungo e i byte che ha in 
più alla fine di se stesso contengono la configurazione da noi data. Se adesso comprimiamo 
questo file e lo riapriamo con un editor esadecimale e lo scorriamo fino in fondo vediamo 
che i byte di configurazione sono spariti. ma nessun problema, basterà copiare qeusti byte
da un altro server configurato e non compresso in quello compresso. Spero sia tutto chiaro.
Altro problema nella "lotta per nacondersi agli AV" potrebbe essere quello che trojan come 
NetBus danno: questi creano, appena aperti, un file DLL che serve da plugin (nel caso di 
NetBus è un KeyLogger). Dato che non possiamo accedere direttamnte a questi file per 
comprimerli, e dato che gli AV li riconoscono la soluzione migliore è quella di non farli
proprio apparire. Apriamo di nuovo il nostro fido editor e cerchiamo le stringe col nome
del file DLL (nel caso di NetBus si chiama KeyHook.dll) e al posto del nome scrivete NUL
e poi una serie di 0 tale da coprire tutto il nome del file...compresa l'estensione
altrimnti NetBus creerà il file NUL0000.DLL..che sarebbe ancora rilevabile dagli AV.
Fatta anche questa modifica abbiamo gabbato completamente l'AV!

-------------> COME USARE UN TROJAN ESSENDO UN PO' MENO LAMER <--------------

"Ma una volta che si infetta un pc con uno di questi trojan adattati alle nostre esigenze e
una volta connessi alle nostre vittime cosa facciamo con questi trojan?"...sarebbe una buona
domanda! La prima cosa che in genere viene in mente a quelle persone psicolabili che girano 
sulla rete gridando "SONO UN HACKER!" è quella di formattare, cancellare e far venire una fifa
boia a quello sfigato che è caduto nella loro trappola. E non c'è nulla di più sbagliato!
Prima di tutto perchè ci si fa subito scoprire e si perdono tutte quelle potenzilità che
ci offre un pc trojanizato in rete, in secondo luogo perchè cancellare o modificare i file
di un qualsiasi pc è da considerarsi una lamerata! Certo, magari al netstat qualche cosa
si può fare oppure si può sostituirlo (mai eliminarlo) per essere certi di non farsi beccare,
ma dato che i nostri trojan non ci loggano è l'unico file a cui, per qunto poco, è permesso
fare modiiche da quella che dovrebbe essere la morale di un lamer_in_via_di_guarigione. 
Detto cosa NON fare vediamo cosa fare. Prima di tutto dare uno sguardo alle password...
procurarsi qualche account può essere utile (ma ricordate che non vi da massimo anonimato,
mamma telecom ha i tebulati delle vostre telefonate!). Dopo le pass è ora di qualcosa di 
più interessante! Vi siete mai chiesti cosa sia quel redirect port presente nella maggior
parte dei trojan ben fatti? NO!?!?!? Male! Questa "redirezione" può essere la salvezza
quando stiamo cercando un modo veramente anonimo di fare qualche cosa. In pratica col
nostro cavallo di troia preferito noi diciamo al server di aprire sul pc vittima una
porta da noi stabilita e di connetersi ad un host su una porta da noi selezionati prima.
Ora, se noi ci connettiamo al nostro server malefico sulla porta appena aperta ci 
ritroviamo connessi all'host scelto sulla porta selezionata. A questo punto tutto quello
che noi invieremo al nostro trojan sarà inviato al nuovo host e quello che l'host ci 
risponderà ci sarà ripetuto dal trojan. E dato che i trojan non loggano...una volta eliminato 
il trojan dal pc vittima (meglio essere paranoici!) il nostro IP non appare da nessuna
parte dato che la connessione è stata effettuata dal trojan. Carino per noi, un po' 
meno per i trojanizzati. Se non sono stato chiaro ecco un esempio:

Vogliamo mandare una mail anonima ad un nostro amico e non vogliamo che appaia il nostro IP.
Come smpt usiamo quello della Telkoz. Sul trojan impostiamo come host (o IP) mail.tin.it
e come porta la 25 e poi diamo come porta da apire sul trojan 4321. Ora apriamo 
telnet e ci connettiamo all'IP dove si trova il trojan e come porta mettiamo propio
 4321. A questo punto saremmo connessi con mail.tin.it in modo anonimo e una volta 
inseriti i soliti comandi per le fake mail il nostro amico riceverà una mail ma non 
dal nostro IP. Fico! Pensate cosa si può fare di diverso dalle fake mail.

E con questo ho concluso, spero di avervi dato un ragionevole motivo per usare i trojan
in modo più intelligente e meno distruttivo, e pure una buona ragione per non usarli! 
Secondo me la differenza sostanziale fra hacker o presunti tali e lamer sta nel fatto
che i primi hanno voglia di imparare, i secondi di fare i figehtti sulla rete. Forse
leggendo questo file siete sulla strada che porta verso la prima categoria.

Se mi volete insultare, criticare o per chiarimenti la mia e-mail è mimmuz_2000@yahoo.it
oppure per chi volesse fare due chicchere su ICQ mi beccate a questo UIN 67313050.

E prima di concludere un paio di doverose dediche.

- A Kiara (perchè lo scrivi con la K...io preferisco Chiara!) che sa mettere quel pizzico
di follia nelle mie chattate con lei.
- A Laura che invece porta serietà e buon umore quando fa capolino in ICQ

©  GnomixLand
http://www.gnomixland.com/