prev
next
out of 32

Tutorial de SubSeven

Embed Size (px)

Citation preview

Tutorial de SubSeven

Estn Ustedes ante el troyano ms famoso y ms peligroso de todos los tiempos. An hay muchos ordenadores infectados por SubSeven. Cada puerto de los ordenadores est identificado principalmente con alguna famosa aplicacin. Pues bien, el puerto 27379 es el puerto del troyano SubSeven. Pero algunos principiantes an no saben cmo usar el troyano ms famoso. Aqu va un curso muy detallado para el uso (espero que no abuso) de SubSeven. Slo para principiantes.Que Ustedes lo disfruten!. Cuando algn principiante que se acerca al mundo de los virus y los troyanos quiere aprender sobre el funcionamiento de estos programas, se encuentra con muy poca informacin en castellano que merezca la pena. Si la informacin la aportan pginas de seguridad informtica, se encontrar nuestro amigo principiante con anlisis tcnicos sobre la infeccin que provoca el troyano, pero el mutismo ser absoluto sobre la utilizacin del mismo. Es como si pensaran que mostrando a las claras cmo funciona un troyano, todo el mundo fuera a utilizar luego el troyano para infectar a todo el mundo. Esto es absurdo. Desde aqu pensamos que la informacin debe siempre fluir libre y sin censura. Slo ser a posteriori nuestra educacin la que acte en la toma de decisiones. De otra parte tenemos aquellas pginas sobre hacking (o como se las quiera denominar) donde por lo general solemos encontrarnos los troyanos, pero no leemos ninguna informacin adicional sobre su uso. De vez en cuando aparece algn tutorial sobre NetBus, Back Oriffice o SubSeven, pero suelen estar muy mal escritos, con cientos de faltas de ortografa y un nivel de expresin ciertamente psimo. Ahora quiero realizar un tutorial decente sobre el uso de SubSeven. Les advierto que slo est orientado hacia los principiantes, por lo que aquellos con experiencia en estos asuntos no necesitarn para nada su lectura. Quiero dejar difano que con la explicacin del funcionamiento de SubSeven, no pretendo alentar ni fomentar el uso ilegal de este troyano. Simplemente lo hago con propsitos didcticos. Si conocemos cmo maneja un atacante un troyano como ste, podremos entender mejor a los riesgos que nos exponemos cuando alguien invade nuestro ordenador con uno de estos programas.

Tutorial de SubSeven v2.1 M.U.I.E. Hay varias versiones de Sub7 pero la ms interesante es sta que vamos a tratar en este tutorial. Para empezar nuestras lecciones, vamos a descargarnos el troyano para Windows desde aqu . Si Usted tiene Mac, sepa que Sub7 tambin existe para Mac. Aqu le ofrezco las descargas: Descargue el servidor de Sub7 para Mac desde aqu Descargue el cliente de Sub7 para MacOS X/OS 8.6 con CarbonLIB desde aqu Descargue el cliente de Sub7 para MacOS Classic desde aqu En este tutorial voy a basarme en la versin para Windows, pero imagino que la versin de Sub7 para Mac debe ser casi idntica. Ya me contarn Ustedes. En primer lugar voy a advertirle que su antivirus va a detectar la presencia de este troyano en cuanto lo descargue. Para ello lo mejor es que desactive el antivirus cuando empiece la descarga. No active el antivirus en ningn momento durante las pruebas con Sub7.

El editor de SubSeven. Hay varias versiones de Sub7 pero la ms interesante es sta que vamos a tratar en este tutorial. Para empezar nuestras lecciones, vamos a descargarnos el troyano para Windows desde aqu (enlace corregido). Si Usted tiene Mac, sepa que Sub7 tambin existe para Mac. Aqu le ofrezco las descargas: Descargue el servidor de Sub7 para Mac desde aqu o desde aqu Descargue el cliente de Sub7 para MacOS X/OS 8.6 con CarbonLIB desde aqu Descargue el cliente de Sub7 para MacOS Classic desde aqu En este tutorial voy a basarme en la versin para Windows, pero imagino que la versin de Sub7 para Mac debe ser casi idntica. Ya me contarn Ustedes. En primer lugar voy a advertirle que su antivirus va a detectar la presencia de este troyano en cuanto lo descargue. Para ello lo mejor es que desactive el antivirus cuando empiece la descarga. No active el antivirus en ningn momento durante las pruebas con Sub7.

El editor de SubSeven. Una vez que haya descargado el troyano en archivo zip (MUIE.zip), debe crear una carpeta en cualquier lugar de su ordenador y volcar todo su contenido en ella. Aqu deber ser cuidadoso y analizar visualmente los archivos antes de proceder a su uso. Tenemos que identificar las tres partes bsicas de un troyano: editor, cliente y servidor. Para ello fijmonos en el nombre de los archivos. Esto es lo que nos encontramos cuando extraemos todo lo que hay dentro de MUIE.zip: - EditServer.exe - ICQMAPI.dll - server.exe - SubSeven.exe - skins Aqu est todo muy difano. EditServer.exe es el editor del servidor, server.exe es el servidor y SubSeven.exe es por lgica el cliente. ICQMAPI.dll es una librera para el correcto funcionamiento del cliente de Sub7. Sin esa librera no funcionara el cliente en nuestro ordenador. La carpeta skins contiene archivos complementarios para el funcionamiento de algunas caractersticas de Sub7. Vamos primero a decir que grosso modo el servidor es en realidad el programa que infecta. Es el programa que cuando la vctima haga doble clic sobre l, quedar infectada. Por tanto nunca hagan Ustedes doble clic sobre ese archivo o quedarn infectados automticamente. Y cmo controlamos entonces el servidor desde nuestro ordenador a travs de Internet?. Aqu es donde entra el cliente. El cliente es un pequeo programa que nos permite controlar grficamente todo lo que el servidor puede hacer en el ordenador de la vctima. Por tanto el cliente es la parte benigna e inofensiva del troyano. Por activar un cliente nunca infectaremos nuestro ordenador a pesar de que el antivirus indique lo contrario. La tercera parte de Sub7 que nos interesa es el editor. ste es un pequeo programa que configura, es decir, edita el servidor a nuestro gusto. Si no editamos el servidor, ste ser tambin perfectamente operativo, pero no notificar hacia nuestra cuenta de e-mail o hacia nuestro canal de IRC. Es por consiguiente interesante saberlo manejar. Vamos con l.

Hagamos sin miedo doble clic sobre el archivo EditServer.exe. Previamente habremos desactivado el monitor de nuestro antivirus. No se corte Usted. Hgalo sin miedo. Para todo hay una primera vez. Esto es lo que ver:

Muy bien, ya ha dado el primer paso en el uso de un troyano por primera vez en su vida. Ahora pasemos a analizar las posibilidades que nos ofrece el editor. Fjese arriba en esta parte:

Pulsemos el botn "browse" que vemos en la pantalla. Ahora busquemos el servidor del troyano, es decir, server.exe (tendremos que ir para ello a la carpeta de Sub7 que creamos al principio). Cuando lo tenga seleccionado pulse el botn "Abrir". Puede estar tranquilo: Usted no activar el servidor en su ordenador, simplemente va a leer sus datos con el editor.

Para ello pulse "read current settings". Qu es lo que ve ahora?. Est bien, se lo voy a mostrar:

Desde luego han variado pocas cosas con respecto a lo que estaba viendo antes. Pero ah tiene Usted los datos de configuracin del servidor. Ahora es conveniente personalizarlos para que el troyano est a nuestra disposicin. Pasemos entonces a la siguiente seccin: "Startup method(s)". Si se fija, slo est seleccionada una opcin: WIN.INI. Qu quiere decir esto?. Bien, Win.ini es un archivo que tenemos en nuestro ordenador y que puede ser modificado para activar en el inicio de Windows cualquier programa. Si activamos en el editor WIN.INI (como de hecho est) entonces el servidor de Sub7 se activar cada vez que la vctima encienda su ordenador, sin necesidad de tener que hacer doble clic sobre el servidor todos los das. Los otros cuatro mtodos de autoinicio tienen la misma funcin, slo que varan otros

archivos del ordenador e incluso el registro. Usted puede seleccionar cualquiera de los cinco mtodos o una combinacin de varios de ellos (e incluso todos). Si no selecciona ninguno, entonces el servidor no se volver a activar automticamente despus de que la vctima apague el ordenador. En "key name" puede Usted editar la clave con la que Sub7 aparecer en el registro de la vctima. Puede ser cualquier nombre que se le ocurra o dejar el que Usted lee por defecto: WinLoader. Pasemos ahora a "Notification options". Esta parte es muy importante porque es la que realmente personaliza el troyano. Veamos este grfico ahora:

Primero rellene el campo "victim name". ste es el nombre de la vctima que aparecer cuando Usted entre en su ordenador con el cliente. Podemos poner cualquier nombre que se nos ocurra. Pasemos a "enable ICQ notify to UIN". Aqu hemos de poner nuestra UIN. La UIN es nuestra cuenta de ICQ. Cuando nos asociamos a ICQ, nos dan un nmero que es el que aqu hemos de poner para que el troyano nos comunique mediante ICQ que est activo y podemos entrar en la IP que nos marca la notificacin. Hay que sealar primero la casilla y luego subir los datos nuestros. Esa UIN que leemos por defecto (14438136) no es nuestra, as que deberemos cambiarla. Si no disponemos de cuenta en ICQ, entonces es mejor no marcar la casilla. La siguiente casilla corresponde a la notificacin mediante IRC, es decir, lo que conocemos por chat. Si Usted no tiene ningn canal privado de IRC o no conoce ningn canal de infectados de Sub7 en espaol, entonces no la marque. Por defecto el troyano apunta hacia un canal de chat llamado irc.subgenius.net en el puerto 6667. No vare nada si no conoce ningn canal de ese tipo. La ltima notificacin apunta hacia su cuenta de correo electrnico. Yo nunca he recomendado este sistema porque es el ms inseguro de todos. Adems Usted debe probar

con su propia cuenta antes de editar la casilla "enable e-mail notify". Para ello active la casilla antes mencionada y en "notify to" ponga su cuenta de correo electrnico. Despus pulse sobre la flecha que aparece en "server" y busque en cualquiera de los servidores que aparecen ah. Pruebe con uno y si no recibe notificacin en su cuenta de e-mail, entonces cambie y use el siguiente servidor SMTP. Si no tuviera suerte con ninguno de los servidores que se incluyen en la lista de Sub7, entonces puede probar a introducirlos manualmente visitando antes esta pgina: http://avax.narod.ru/eng/freesmtp.htm Cuando un servidor SMTP funcione correctamente tras haber pulsado Usted el botn "test", entonces recibir la notificacin en su cuenta de e-mail. En ese momento sabr que el mtodo funciona y podr pasar a la siguiente seccin de configuracin. Si no lo ha conseguido, entonces lo mejor es que no marque la casilla. Puede tambin, si lo desea, marcar varias casillas al mismo tiempo para recibir mltiples notificaciones. Pasemos ahora a "Installation" y fijmonos en esta parte de la pantalla:

Estamos ahora en "automatically start server on port:". Esto es muy importante editarlo bien porque si no lo hacemos as, luego no sabremos cmo conectar con el servidor. ste es el puerto de escucha del servidor que por defecto es el 27374. Podemos usar cualquier valor numrico desde 0 hasta 65535. Pero si vamos a usar otro valor distinto de 27379, entonces hemos de recordar ms tarde que en el cliente debemos poner tambin el mismo nmero. Si no buscamos el servidor en el mismo puerto que hemos puesto aqu, entonces no podremos

conectar con l. Otra opcin que tenemos es "use random port". Esto quiere decir que cada vez que la vctima se conecte el puerto vara al azar, as que puede ser cualquier nmero desde 0 a 65535. Si el notificador no nos indica el nmero del puerto al azar, es materialmente imposible adivinarlo. Podemos optar por marcar la casilla o dejarla en blanco. En "server password" podemos introducir una clave para que slo nosotros podamos acceder al ordenador de la vctima y as evitemos que otra persona acceda tambin. La clave hemos de introducirla otra vez en "reenter" para asegurarnos de que la hemos tecleado bien. Seguidamente, si hemos introducido nuestra clave, sealaremos tambin la casilla "protect server port & password" para buscar ms seguridad. En "enable IRC Bot" no marque nada si no sabe nada de IRC y qu son los bots. En caso contrario, pulse sobre "Bots Settings" y configure el bot a su gusto. Vaya ahora a "server name". ste es el nombre con el que actuar silente el servidor del troyano una vez que se instale en el ordenador de la vctima. Si Usted selecciona "Use random name", entonces el servidor generado en el ordenador de la vctima tendr nombres aleatorios. He de indicarle empero que esos nombres son muy llamativos porque estn atiborrados de consonantes juntas que no tienen ningn sentido. Es ms razonable elegir la otra opcin ("specify a filename") y ponerle al servidor un nombre que pase inadvertido. Por ejemplo, windows32.exe. Vaya ahora a "melt server after installation". Esta funcin es interesante puesto que eliminar el servidor una vez se haya instalado y slo dejar el archivo que antes nombramos como windows32.exe en el ejemplo. Si no marcamos la opcin entonces no eliminar el archivo original. En "enable fake error message" podemos optar por marcar la casilla para que el troyano intente engaar a la vctima en la primera ejecucin. Sealemos la casilla y pulsemos el botn "configure". Esto es lo que vemos:

Si con la configuracin que vemos en pantalla, la vctima hiciera doble clic sobre el servidor de Sub7, ste sera el mensaje que aparecera sobre su pantalla:

Esta pantalla de advertencia simula un error en la ejecucin del programa, por lo que la vctima creer que su programa no funciona correctamente y as nunca creer que se trata de un troyano que ha infectado su ordenador. Nosotros podemos configurar el mensaje como nos plazca, usando cualquier palabra en "message title" y en "message text". El tipo de botn tambin es seleccionable sobre una gama de seis posibilidades (buttons). Despus podemos probar el tipo de mensaje desplegado pulsando "test message". Cuando tengamos el mensaje definitivo procederemos a guardarlo en el servidor pulsando sobre "apply settings". Me gustara resaltar que hoy da este mtodo de engao en la infeccin se ha vuelto muy sospechoso y pocas vctimas permanecen impvidas despus de la pantalla de advertencia. A decir verdad un archivo que se comporte de esa manera en su ejecucin es altamente sospechoso de contener cdigo vrico en su interior. Ms interesante y sutil es el mtodo de engao mediante la fusin de archivos. Esto quiere decir que podemos unir nuestro troyano a otro archivo inofensivo y hacer que cuando la vctima ejecute el archivo fundido, el servidor de Sub7 se instale silenciosamente en su ordenador mientras el archivo usado como anzuelo realmente funcione. As es difcil que sospeche.

Si va a usar este mtodo, yo le recomiendo que visite mi seccin llamada Binders y all encuentre un binder actual que se pueda hacer indetectable, porque el binder que trae el editor de Sub7 es obviamente detectado por todos los antivirus del mundo. Si an as lo quiere usar, slo ha de sealar la casilla "bind server with EXE file" y pulsar sobre "browse". A continuacin busque el archivo tomado como anzuelo y ya est. Al final tendr en un solo archivo el servidor y el archivo inofensivo. Pasemos ahora a esta otra parte de la pantalla del editor de Sub7:

Aqu podemos proteger el servidor para que no pueda ser editado por nadie ms que por nosotros. Para qu queremos esto?. Muy sencillo: imagnese que la vctima se apercibe de que alguien le ha introducido en su ordenador el servidor de Sub7. A lo mejor la vctima es algn conocido con el que Usted se relaciona en el ICQ y, por tanto, conoce su nmero de ICQ o UIN. Si la vctima intenta acceder al servidor desde otro editor, entonces ver todos los datos personales que Usted ha introducido (nmero de ICQ, e-mail, etc) y deducir que es Usted la persona que la infect. Para ello debemos proteger el servidor de tal forma que slo Usted pueda acceder a l. Si marcamos la casilla "protect server so it cant be edited/changed", ya estaremos seguros de que slo nosotros accederemos a los datos personales del editor. Acto seguido Usted deber indicar una clave de acceso al servidor rellenando el campo "password" y repitiendo la misma clave en el campo "reenter". No confunda esta clave con la clave de acceso al servidor mediante el cliente que antes ya explicamos. Esta clave que estoy explicando ahora slo es para el acceso con el editor. Para acabar con la configuracin del editor, vea ahora esta otra parte de la pantalla:

Si Usted seala "close EditServer after saving or updating settings", entonces el editor se cerrar automticamente cuando Usted haya finalizado con la edicin del servidor. En caso

de que Usted no sealara esta casilla, tendra que cerrar el editor manualmente. Abajo tiene tres posibilidades. Si pulsa "save new settings", todo lo que ha editado se grabar directamente sobre el archivo server.exe que se encuentra en su carpeta de Sub7. Si pulsa "save a new copy of the server with the new settings", entonces todos los datos de configuracin irn a un nuevo servidor que Usted tendr que nombrar y guardar (server.exe en este caso permanece inalterado). Si Usted decide pulsar "quit without saving" entonces saldr del editor sin grabar los datos de configuracin en el servidor. Una vez que tenga su servidor personalizado tras la edicin, ya puede instalarlo en un ordenador para controlar ste como si se tratara de su ordenador. Realmente el servidor es el archivo que infecta y el que debemos detener cuando alguien nos intente infectar con l.

El cliente de SubSeven. Pasemos ahora al ataque, es decir, vamos a manejar directamente el servidor mediante nuestro cliente. Para seguir este tutorial no es necesario que Usted infecte ningn ordenador: puede abrir el cliente y observar las funciones al mismo tiempo que va leyendo mi tutorial. Si desea seguir las lecciones en conexiones reales con el servidor, sta es la vertiente ms delicada en el uso de un troyano, as que yo le recomiendo que infecte su propio ordenador para hacer las pruebas o que infecte el ordenador de algn amigo que est de acuerdo en realizar el experimento. Sin autorizacin de nadie no debemos infectar ningn ordenador. Aqu no estamos para daar a nadie sino para aprender. Empecemos a aprender entonces. Lo primero que vamos a hacer es abrir el cliente. No tenga miedo tampoco y atrvase a hacer doble clic sobre el archivo SubSeven.exe que est en su carpeta de SubSeven. He de advertirle una vez ms que debe tener desactivado su antivirus para realizar el experimento. Aunque su antivirus indique que el cliente le va a infectar con el troyano Sub7 si usa el cliente, no le haga caso. Eso no es cierto!. El cliente de un troyano nunca infectar su ordenador. Se ha decidido ya a dar su segundo paso en su primera experiencia emocionante con un troyano?. Bien, pues fjese en la pantalla que tiene delante ahora. Ver algo como esto:

Voy a tratar de explicar las funciones ms importantes de Sub7 para que Usted vea su gran potencial para controlar ordenadores remotos. Vayamos primero a "ip/uin". En mi pantalla de ejemplo Usted ve una direccin IP en el cuadro "ip/uin". En este caso es 62.219.224.124. sa es la IP del ordenador infectado. Usted debe poner la IP que le comunique el notificador de Sub7. Despus observamos que hay otro cuadro llamado "port". se es el puerto que abre el servidor del troyano. Por defecto es el 27379. Si Usted lo cambi antes en el editor, ahora deber poner el mismo puerto, si no lo hace ser imposible la conexin con el servidor. Ahora llega el momento ms emocionante. Vamos a conectarnos con el servidor instalado en el ordenador remoto!. Para ello pulsemos el botn "connect". Si no podemos conectar porque no hayamos introducido correctamente la IP de la vctima o el puerto (o bien porque el ordenador est protegido por un cortafuegos), entonces veremos esto:

Una vez que hayamos entrado en el ordenador de la vctima, podemos proceder al control de su ordenador. Vayamos con los primeros pasos. Haga clic sobre el tringulo invertido que aparece en "connection", tal y como lo ve aqu:

Una vez pulsado veremos desplegadas estas opciones:

Vayamos primero a "ip scanner" y pulsemos sobre esa opcin. Qu vemos ahora?

En "start ip" pongamos una IP cualquiera y en "end ip" podemos poner la IP que nos parezca pero en un valor ms elevado que la anterior. En el ejemplo prctico de nuestro grfico vemos que la primera IP es 193.152.228.1 y la segunda es ms elevada (193.152.229.255). Los cuatro tercetos de nmeros van desde 0 hasta 255. Una vez seleccionado el rango de IP, proceda a scanear la red en busca de infectados. Para ello pulse sobre "scan". La lista de IP infectadas ir saliendo en la pantalla de abajo con fondo azul claro. Con este mtodo bastante tosco Usted podr buscar ms ordenadores infectados al azar por Internet y entrar en ellos si lo desea. Pero el problema de realizar este tipo de scannings ciegos (sin saber a qu ordenadores apunta) es que alguien puede loguear nuestra IP cuando tratamos de acceder a un ordenador remoto. Esto podra traernos problemas, por lo que algunos hackers utilizan el propio ordenador de la vctima para realizar un scanning que realmente muestra la IP de la vctima y no la del hacker. Para ello deberemos estar conectados antes a una vctima y luego pulsar sobre "remote scan". Cuando decidamos detener el scanning, deberemos pulsar sobre "stop

remote scanner". sta es una funcin que convierte en cierto modo al ordenador infectado en un proxy. Tengan cuidado en su manejo y sean ticos. Pulsemos ahora sobre "get pc info" en la siguiente opcin. Esto es lo que vern:

Si pulsamos la opcin "retrieve", entonces tendremos los datos completos del ordenador infectado. Podremos saber el nombre del ordenador (computer name), nombre de usuario (user name), carpeta de Windows (windows folder) y todas las opciones que Usted lee en esta pantalla. Puede optar por guardar todos los datos que lee en su pantalla pulsando el botn "save" o limpiar su contenido en "clear". Pulse ahora sobre "get home info" y ver ms datos del ordenador infectado:

Pulsando sobre "retrieve" los obtendr tambin. En este caso no se pueden guardar. Pulse a continuacin sobre "server options" y esto es lo que ver:

Si pulsa sobre "change port", Usted podr cambiar el nmero del puerto del servidor. Por ejemplo puede cambiarlo por otro valor: el 60000 o el que le parezca. Para invertir el proceso pulse sobre "set default port" y volver otra vez el puerto por defecto: el 27379. En "set password" Usted puede cambiar la contrasea de acceso al servidor por otra. Para eliminarla simplemente pulse "remove password". Si pulsa sobre "disconnect victim" se desconectar de la vctima. En "restart server" el servidor se reiniciar. En "remove server" Usted eliminar el servidor del ordenador infectado. Ya sabe que si pulsa esa opcin, nunca ms podr acceder al ordenador de la vctima pues habr borrado el troyano de su ordenador. Es una buena opcin para desinfectar un sistema infectado sin necesidad de antivirus ni ninguna operacin ms de limpieza. En "close server" Usted cerrar el servidor y todos los clientes que estn conectados en ese momento se quedarn sin conexin hasta el siguiente reinicio de Windows. Podemos incluso actualizar el servidor en las opciones "update server from local file" (para hacerlo desde un archivo local) y "update server from URL file (para hacerlo a travs de Internet). No es recomendable esta opcin. Vayamos ahora a la ltima opcin del cuadro "connection". Estamos en "ip notify". Qu vemos ahora?

Aqu Usted podr cambiar los datos de configuracin de las diversas notificaciones. Es decir, Usted podr editar de nuevo el servidor una vez que est instalado en el ordenador de la vctima y a travs de Internet. Cambie los datos necesarios (debe hacerlo igual que en la leccin explicada antes del editor de Sub7) y cuando los haya incluido pulse sobre "enable" en cada una de las opciones que haya variado. Si desea eliminar algn mtodo de notificacin, pulse entonces sobre "disable". Ahora vayamos al segundo conjunto de opciones llamado "keys/messages". Proceda tal y como lo ve aqu:

Como vemos, tenemos otras 6 opciones ms. Probemos la primera de ellas. Para ello pulsemos sobre "keyboard" y veamos ahora esto:

ste es el llamado keylogger de Sub7. Un keylogger es un programa que registra todas las pulsaciones de las teclas de un ordenador. Para saber ms sobre los keyloggers consulte en esta web nuestra seccin Keyloggers. Para activar el keylogger online pulse sobre "open keylogger". Sub7 tambin puede recoger y enviar posteriormente todo lo tecleado offline. Para ello pulse "get offline keys". Si desea salir del keylogger, pulse sobre "disable keyboard". Tambin puede enviar pulsaciones al ordenador infectado, pero esto pondra sobreaviso a la vctima. Salgamos del keylogger y pulsemos ahora sobre "chat". Veremos esta pantalla:

Con esta opcin podremos chatear con la vctima. En nuestra pantalla aparecer esta pantalla de chat. En "nickname for chat" deberemos poner nuestro nick (apodo). En "victim

chat size" podemos poner cualquier valor numrico en tanto por ciento para indicar el tamao de la pantalla de chat en el ordenador de la vctima (por defecto es el 25%). En el cuadro "victim" podemos elegir a nuestro gusto el color del texto de la vctima y el tamao de la letra (lo mismo podemos hacer en nuestra parte del cliente ("client"). Para empezar a chatear con la vctima tenemos que pulsar sobre "chat with the victim". Este chat tambin nos permite chatear con otro cliente de Sub7 que est atacando a la victima al mismo tiempo. para ello pulsemos sobre "chat with other clients". Si pulsamos sobre la opcin "matrix" podremos jugar a ese clebre juego. No me detendr en explicaciones. Vayamos ahora a la opcin "msg manager". sta es la imagen que Usted ver:

Esto es muy parecido a lo que vimos en el editor. Se maneja de la misma manera (pulse aqu para comprender cmo funciona). Ahora la vctima ver el mensaje online en cuanto pulsemos sobre sobre "send message". Vayamos ahora a la siguiente opcin llamada "spy". Cuando la activemos, esto es lo que veremos:

Con esto podremos espiar los datos que la vctima intercambia en clientes de chat como ICQ, AOL, MSN y Yahoo!. Para ello pulsemos sobre "enable" en cada uno de los servicios. Cuando deseemos desactivar el servicio pulsemos sobre "disable". Podemos incluso "robarle" a la vctima los nmeros de sus amistades del ICQ. Para ello pulsemos sobre "ICQ takeover" y pulsemos en "takeover". Vayamos ahora a "advanced" y despleguemos las opciones:

Tenemos de nuevo seis nuevas opciones. Pasemos a describir la primera de ellas. Pulsemos entonces sobre "ftp/http" y observemos esta pantalla:

Esto convierte a Sub7 en un servidor de FTP. Incluso podramos entrar en el ordenador de la vctima con un navegador como Internet Explorer si especificamos en "to use a browse to navigate through files, use" la direccin FTP real de la forma que vemos en pantalla: ftp://[email protected]:puerto. En "contrasea" deberemos colocar la clave que hayamos editado en el campo "ftp password". En 127.0.0.1 deberemos colocar la IP de la vctima. Por ltimo en "puerto" deberemos poner el puerto que hayamos editado en el campo "ftp port" (en nuestro ejemplo es el 21). Ahora vayamos a "find files". Fjese en esta pantalla:

Podemos buscar archivos concretos o grupos de estos con esta funcin. En el ejemplo que vemos en la imagen, si pulsamos sobre "find file(s)" nos buscar en el ordenador de la

vctima todos los archivos JPG que encuentre en el disco duro C:\. Si cambiamos los datos en "look for..." (tipo de archivo) y "look in folder" (tipo de directorio) podemos buscar otros archivos en otras carpetas o directorios. Si marcamos "search sub-directories" entonces tambin buscar en las subcarpetas. Ahora nos vamos a "passwords" y observamos esta pantalla:

Si pulsamos en "get cached passwords", conseguiremos todas las contraseas ocultas bajo asteriscos en el ordenador de la vctima. Si pulsamos en "get recorded passwords" conseguiremos las claves grabadas. En "retrieve RAS passwords" conseguiremos las contraseas de las conexiones al ISP. Tambin es posible conseguir las claves del ICQ ("get icq passwords") y AIM ("get aim passwords"). La siguiente opcin es "reg edit". Con esta funcin nos introduciremos en el registro de la vctima y podremos modificarlo a nuestro gusto. Si Usted no sabe qu es el registro, no vare absolutamente nada en el ste. Puede causar daos irreversibles en el ordenador de la victima. En "app redirect" Usted puede ejecutar comandos desde MS-DOS que se ejecutarn en su ordenador. En este ejemplo vemos la utilizacin del comando netstat para conocer las conexiones de la vctima. Vea el ejemplo:

Por ltimo podemos optar por "port redirect". Una funcin que redirecciona los puertos y que nunca he podido probar su funcionamiento. Pasemos ahora al siguiente grupo de opciones. Pulsemos en "miscellaneous" y veamos seis opciones ms:

Primero analicemos la opcin "file manager". Pulsemos sobre ella y veamos esta pantalla:

Esta funcin es la ms importante de un troyano porque nos permite manejar todos los archivos en el ordenador remoto. La interfaz de Sub7 es muy grfica y el esquema del disco duro de la vctima se ver representado en esta pantalla. Empecemos pulsando "get drives" para obtener los directorios de su disco duro. Una vez los haya obtenido, es tan fcil obtener cualquier archivo o carpeta como si lo hiciramos en nuestro ordenador. Vaya haciendo clic sobre las carpetas para abrirlas y ver su interior. Cuando quiera bajar un archivo desde el ordenador de la vctima, seleccinelo primero y luego pulse el botn "download". En "edit file" puede editar los archivos, en "delete" puede borrar el archivo que seale, en "create dir" puede crear una nueva carpeta, en "play wav" puede ejecutar un archivo de sonido WAV, en "print" puede imprimir un documento de texto, en "upload" puede subir un archivo de su ordenador al ordenador de la vctima, etc. Con esta funcin puede controlar perfectamente el ordenador de la vctima e incluso inocularle nuevos troyanos o virus (una funcin que yo jams aprobara). Maneje con cuidado el "file manager". Pulsemos ahora sobre "windows manager" y veamos esta pantalla:

Con esta funcin podemos ver todas las aplicaciones que estn instaladas en el ordenador de la vctima (refresh) y eliminarlas (disable), hacer que corran ocultas (hide) o visibles (show). En "process manager" tendremos algo muy parecido para los procesos de Windows. Si pulsamos sobre "kill app" una vez seleccionado el proceso en pantalla, ste se detendr. Otra funcin poco importante es "text-2-speech". Si la pulsamos veremos esto:

Bsicamente lo que hace es reproducir en los altavoces de la vctima los fonemas que le indiquemos en esta pantalla. En el ejemplo he colocado la palabra en ingls "mother" (madre). Si ahora pulsamos en "say it" en los altavoces de la vctima se escuchar esa palabra (o la que le indiquemos). Antes podemos probar en nuestro propio ordenador pulsando sobre "test on local computer". E incluso podemos probar si en el ordenador de la vctima est instalada la tecnologa TTS necesaria para que este sistema funcione. Su efectividad es baja.

En "clipboard manager" podemos espiar el contenido del portapapeles en el ordenador de la vctima si pulsamos sobre "read clipboard text" como vemos en el ejemplo:

Si pulsamos sobre "set clipboard text" podremos cambiarle el texto del portapapeles por el que sealemos en la minipantalla azul. Por ltimo si pulsamos "empty victims clipboard" le vaciaremos el contenido del portapapeles. En "irc bot" estamos en un caso muy similar (por no decir idntico) al bot que tenamos que editar en el editor (pulse aqu para recordarlo). A partir de aqu las funciones que encontramos en Sub7 son poco importantes. Entramos ya en el terrenos de las llamadas funciones ldicas. Estn en "fun manager":

Repase todas ellas y ver que slo sirven para gastarle bromas a la vctima. Tal vez en cuanto a funciones de espionaje, pueda ser un poco interesante buscar en desktop/webcam una opcin llamada "webcam/quickcam capture" tal y como lo ve en esta pantalla:

Si activamos dicha funcin, veremos en nuestra pantalla lo que la webcam capture en el ordenador de la vctima. Si activamos "full screen capture", veremos en nuestra pantalla una captura completa de imagen de la pantalla de vctima. En "flip screen" podemos invertir la imagen verticalmente u horizontalmente en el ordenador de la vctima. En "print" podemos escribir un texto en nuestra pantalla y luego hacerlo imprimir en la impresora de la vctima. En "browser" podemos enviar a la vctima a una direccin de Internet determinada tal y como lo vemos en el ejemplo:

En "resolution" podemos variar la resolucin del monitor de la vctima (en "refresh" tendremos la lista de las posibles resoluciones a elegir). En "win colors" podemos variar los colores de Windows en el ordenador infectado. Escojan los colores de la paleta que aparece cuando hacemos clic sobre cualquiera de los tres cuadros coloreados:

Si despus de los cambios desea restaurar los valores iniciales, pulse "restore default colors". Para aplicar los cambios ha de pulsar "change colors". En su propio ordenador puede ver cmo quedar la pantalla de la vctima si pulsa "test color" una vez que haya elegido los colores. Pasemos ahora a observar ms funciones ldicas de poca importancia en "extra fun". Vean esta pantalla:

Si seleccionamos "screen saver" podemos personalizar un salvapantallas en el ordenador de la vctima con el nombre que queramos:

El texto por defecto es "buhahahahaha", pero podemos cambiarlo por el que deseemos. La fuente del texto tambin es elegible en "font", as como el tamao ("size"). Podemos variar la velocidad de movimiento del texto en "scrolling speed" (mueva la flecha a derecha e izquierda pulsando sobre ella y moviendo el ratn mientras mantiene el botn derecho del ratn pulsado). Tambin puede elegir el color del texto pulsando sobre el cuadro rojo de "text color" y el color de fondo si pulsa sobre el cuadro blanco de "background color". Puede guardar los cambios en "save settings" y activar el salvapantallas en "run screen saver". En "restart win" puede apagar Windows de forma normal ("normal shut down"), de forma brusca ("force windows shut down"), reiniciar el sistema ("reboot system"), etc. En "mouse" puede gastar bromas tontas con el ratn como esconderlo ("hide mouse"), cambiar la funcin de sus botones ("reverse buttons"), moverlo ("move/control mouse") y arrastrarlo a una posicin determinada ("set mouse trail to"). En "sound" podemos grabar cualquier sonido que se ejecute en el ordenador de la vctima. Veamos esta pantalla para entenderlo mejor:

Si seleccionamos "record for" podremos elegir el nmero de segundos que queremos grabar (en la pantalla muestra 5 segundos). En "view/change volume settings" podemos ajustar el volumen en todas las entradas de sonido ("wave balance", "synth balance" y "cd balance"). Para activar la grabacin pulse "start recording", y para escuchar el archivo grabado pulse sobre "play received WAV file". En "time/date" podemos variar la fecha del ordenador infectado. Por ltimo, en "extra" podemos realizar acciones tan insignificantes como abrir o cerrar el CD-ROM ("CD ROM *open/close"), encender o apagar el monitor ("monitor *on/off"), activar o suprimir Control + Alt + Del ("Ctrl+Alt+Del *on/off"), etc. Son funciones ldicas que no tienen la menor importancia. Bueno, estamos en las ltimas opciones de Sub7. Pasemos a "local options".

Seleccionemos ahora "quality" y veamos esta otra pantalla:

Aqu Usted puede modificar la calidad de la captura de pantalla continua ("continuous screen capture quality"), la calidad de la captura de pantalla completa ("full screen capture quality") y la calidad de la captura de webcam ("webcam capture quality"). Si su conexin a Internet es lenta (mdem) entonces lo mejor es que la calidad sea baja ("low). Si Usted tiene ADSL o cable, le convendra ponerla alta ("high"). Para ello sitese en la flecha azul invertida y arrstrela con el botn derecho del ratn pulsado. En "local folder" podemos elegir la carpeta de nuestro ordenador donde queremos que nuestros archivos bajados de la vctima estn. Pulse "click here to change local folder" para ubicarla donde desee. En "skins" podemos elegir el aspecto grfico del cliente de Sub7. Podemos ubicarnos encima de cualquiera de los skins y pulsar "apply". Yo por ejemplo me he ubicado encima de un skin llamado "Energy" y esto es lo que veo:

Como ve Usted, ha cambiado el aspecto y el color del cliente. Si ahora se coloca encima de otro skin como Paranoid, ver otro aspecto distinto. De vez en cuando en Internet se publican skins. Puede cargar uno nuevo pulsando en "load" y seleccionando el nuevo skin. Incluso puede editar cualquier skin si pulsa "edit current skin" (le puede variar el color de los mens, de las ventanas, etc). Si desea volver a la configuracin original, pulse "default". En "misc options" veremos esta pantalla:

Si pulsamos "erase all sub7 options and start over", Sub7 eliminar todos los cambios que

hayamos realizado en la configuracin del cliente. Si marcamos la casilla "enable hints..." entonces tendremos unas breves explicaciones en ingls cada vez que pasamos el cursor por una funcin del cliente. Si marcamos "minimize client to tray" podremos minimizar el cliente en el icono que se crea en la parte inferior derecha de la pantalla. Al marcar "animate windows" veremos un efecto de animacin cuando abrimos algunas ventanas del cliente. Cuando marcamos "when downloading images, show them" podremos ver las imgenes cuando las bajamos. Si marcamos "when downloading text files, run notepad" se activar el bloc de notas cuando bajemos un archivo de texto. Veamos ahora esta ltima pantalla:

Es lo que nos encontramos cuando seleccionamos "advanced". Lo mejor es no variar nunca estos datos. En "matrix connection port" vemos el puerto por defecto para el intercambio de datos con el servidor en el juego Matrix (7215). En "keylogger port" vemos el puerto para la transmisin de datos del keylogger (2773). En "spy port" vemos el puerto para el intercambio de datos entre el servidor y el cliente en el espionaje de los dilogos de los Canales de chats. An me dejo alguna funcin de poca importancia sin explicar, pero creo que con lo que han aprendido hasta aqu ya comprenden perfectamente el funcionamiento de un troyano como Sub7. Como ven, posee multitud de funciones. Es excelente como herramienta de administracin remota. Slo depende de nosotros el uso que le queramos dar. Me propuse hacer un tutorial decente sobre Sub7 en castellano y creo que aqu est. Jzguenlo y espero que les ayude a entender un poco mejor el mundo de los troyanos. Si a alguien le he servido de ayuda, ya me doy por satisfecho.


Tutorial de word

Tutorial de word

Education
Tutorial: Uso básico de RapidMiner - users.dcc.uchile.clusers.dcc.uchile.cl/~nbaloian/DSS-DCC/Software/Tutorial RapidMiner... · Tutorial: Uso básico de RapidMiner Introducción

Tutorial: Uso básico de RapidMiner - users.dcc.uchile.clusers.dcc.uchile.cl/~nbaloian/DSS-DCC/Software/Tutorial RapidMiner... · Tutorial: Uso básico de RapidMiner Introducción

Documents
TUTORIAL Criação de Engrenagens em Acrílico - …maxwellbohr.com.br/downloads/robotica/mec1000_kdr5000/tutorial... · Esse tutorial irá abordar a produção de engrenagens de

TUTORIAL Criação de Engrenagens em Acrílico - …maxwellbohr.com.br/downloads/robotica/mec1000_kdr5000/tutorial... · Esse tutorial irá abordar a produção de engrenagens de

Documents
Tutorial de slide

Tutorial de slide

Education
Tutorial de thatquiz

Tutorial de thatquiz

Documents
Tutorial de slideboom

Tutorial de slideboom

Education
Tutorial De Weblog

Tutorial De Weblog

Technology
Tutorial de CSS

Tutorial de CSS

Documents
TUTORIAL DE MONICA

TUTORIAL DE MONICA

Education
Tutorial Tutorial Verilog - iuma.ulpgc.esnunez/clases-FdC/verilog/Verilog Tutorial v1.pdf · Tutorial Tutorial Verilog Este tutorial pretende ser una guía de aprendizaje para el

Tutorial Tutorial Verilog - iuma.ulpgc.esnunez/clases-FdC/verilog/Verilog Tutorial v1.pdf · Tutorial Tutorial Verilog Este tutorial pretende ser una guía de aprendizaje para el

Documents
Support.ebsco.com Tutorial de Mi EBSCOhost Tutorial

Support.ebsco.com Tutorial de Mi EBSCOhost Tutorial

Documents
Tutorial de-blogger

Tutorial de-blogger

Documents
Tutorial De Gmail

Tutorial De Gmail

Education
Tutorial de Gambas - MachiquesTeletriunfador · Tutorial de Gambas – Programación Visual en Linux Página 2 de 41 Tutorial de Gambas

Tutorial de Gambas - MachiquesTeletriunfador · Tutorial de Gambas – Programación Visual en Linux Página 2 de 41 Tutorial de Gambas

Documents
Tutorial de glogster

Tutorial de glogster

Documents
TUTORIAL DE SCALA Cristian C. Lozano J. - Diana C ...ferestrepoca.github.io/paradigmas-de-programacion/progfun/tutorial... · TUTORIAL DE SCALA Lenguajes de Programación Universidad

TUTORIAL DE SCALA Cristian C. Lozano J. - Diana C ...ferestrepoca.github.io/paradigmas-de-programacion/progfun/tutorial... · TUTORIAL DE SCALA Lenguajes de Programación Universidad

Documents
Tutorial De PowerPoint

Tutorial De PowerPoint

Education
Tutorial de Integração HTML - Zenviadesenvolvedores.zenvia.com/tutoriais/tutorial-de-integracao-html.pdf · Tutorial de Integração - HTML ... número de telefone, entre ... informações

Tutorial de Integração HTML - Zenviadesenvolvedores.zenvia.com/tutoriais/tutorial-de-integracao-html.pdf · Tutorial de Integração - HTML ... número de telefone, entre ... informações

Documents
Tutorial de-slideshare

Tutorial de-slideshare

Education
Tutorial de Wiki

Tutorial de Wiki

Education
WinRAR: El tutorial. Tutorial I: Compresión de archivos

WinRAR: El tutorial. Tutorial I: Compresión de archivos

Self Improvement
Tutorial de skydrive

Tutorial de skydrive

Education
Tutorial de InRail - pdi.topografia.upm.espdi.topografia.upm.es/jjarranz/apuntes/Tutorial de InRail.pdf · Tutorial de Intergraph InRail TOPOGRAFÍA APLICADA A LA INGENIERÍA E.U.I.T

Tutorial de InRail - pdi.topografia.upm.espdi.topografia.upm.es/jjarranz/apuntes/Tutorial de InRail.pdf · Tutorial de Intergraph InRail TOPOGRAFÍA APLICADA A LA INGENIERÍA E.U.I.T

Documents
Tutorial De

Tutorial De

Documents
Tutorial Land - manual.compegps.commanual.compegps.com/manual/CompeGPSLand-Tutorial-Mapes-Catala.pdf · Tutorial Land Tercer capítulo: ... cessita de l’accessori d’AutoCAD de

Tutorial Land - manual.compegps.commanual.compegps.com/manual/CompeGPSLand-Tutorial-Mapes-Catala.pdf · Tutorial Land Tercer capítulo: ... cessita de l’accessori d’AutoCAD de

Documents
tutorial de solicitudes en línea TRASLADO INTERNOtransparencia.ucal.edu.pe/images/manual_de_alumno... · tutorial de solicitud de rectificación de inasistencia tutorial de solicitud

tutorial de solicitudes en línea TRASLADO INTERNOtransparencia.ucal.edu.pe/images/manual_de_alumno... · tutorial de solicitud de rectificación de inasistencia tutorial de solicitud

Documents
Tutorial de photopeach

Tutorial de photopeach

Education
TUTORIAL DE TITULACIÓN LICENCIATURAS - EDUCEM...Instituto Universitario del Centro de México Tutorial de Titulación Actualizado Junio 2014 TUTORIAL DE TITULACIÓN LICENCIATURAS

TUTORIAL DE TITULACIÓN LICENCIATURAS - EDUCEM...Instituto Universitario del Centro de México Tutorial de Titulación Actualizado Junio 2014 TUTORIAL DE TITULACIÓN LICENCIATURAS

Documents
Tutorial de-blogger3390

Tutorial de-blogger3390

Documents
Tutorial de ilustração animada · Tutorial de Ilustração Animada Tutorial de ilustração animada Esse tutorial tem a finalidade de mostrar alguns recursos básicos e itens técnicos

Tutorial de ilustração animada · Tutorial de Ilustração Animada Tutorial de ilustração animada Esse tutorial tem a finalidade de mostrar alguns recursos básicos e itens técnicos

Documents