Come ben tutti (almeno spero) sappiamo SubSeven è un trojan o meglio dire un R.A.T. (Remote Access/Admin Tool) e serve a infiltrarsi in altri computer a insaputa dei possessori di questi ultimi.
Quando siete in possesso di un computer tramite Sub7 per esempio potete farne quello che volete(muovere il mouse, aprire il cassetino del cd-rom, sniffare password ecc....)
Ma veniamo al punto: Sub7 come quasi tutti i trojan è composto da 3 parti: Client, EditServer e Server.
Il client è utilizzato da noi per comandare il pc infetto del malcapitato, il server bisogna farlo eseguire sul pc della vittima in modo che venga infettato, l'EditServer è lo strumento che invece useremo per settare e camuffare al meglio il server.
Qui di seguito vi elenco alcune cose fondamentali da fare prima di utilizzare Sub7:
1)Procuratevi il famoso programma per chattare di nome ICQ (www.icq.com)
2)Non aprite mai il server sul vostro computer!(non si sà mai)
3)Disabilitate autoprotezioni e antivirus che segnalano come virus anche il client e l'edit server!
Download:
Sub Seven 2.2
Guida
Server già impostato
(da far eseguire sul pc della vittima) GuidaClientAprendo il file
SubSeven.exe ci troveremo davanti al cosidetto CLIENT che
ribadisco è la parte che useremo noi per teleguidare il pc infetto.
Le opzioni sono tante e a volte incomprensibili e quindi anche se
l'interfaccia non è male passerei a spiegarvele tutte:
- Connection
Dopo aver aperto questa voce ci troveremo davanti a 5 opzioni:
IP Scanner: permette di scansionare un certo range di indirizzi
IP in modo da verificare su ognuno se è installato o meno il lato
server di Sub7.
Ad esempio scrivendo su start ip:62.10.1.1 e su end ip:62.10.255.255
e cliccando su Scan, Sub7 cercherà la presenza del server in tutti
gli IP che iniziano per 62.10. Questa opzione è adeguata se state
cercando vittime di server di Sub7 senza password...
Get Pc Info: basterà cliccare sul pulsante RETRIEVE per
avere tutte le informazioni sul pc della vostra vittima (quanto spazio
ha nell'hard disc ecc...) e potrete salvarvi queste informazioni con
il pulsante SAVE;
Get Home Info: anche qui cliccando sul pulsante RETRIEVE
saprete i dati personali della nostra vittima (dove abita, numero di
telefono, ecc...). Vi ricordo che la maggior parte delle volte però
questa opzione non funzionerà visto che è ben poca la gente che
memorizza sul proprio pc le informazioni personali;
Server Options: da qui potrete settare il server che ha
infettato la vostra vittima. con il pulsante SET PASSWORD
metterete una nuova password al server (attenti a nn dimenticarvela),
con CHANGE PORT e SETDEFAULT PORT potrete cambiare la
porta utilizzata dal server (vi consiglio di lasciare quella
predefinita), con DISCONNECT VICTIM potrete disconettere la
vostra vittima da internet (funziona solo con connessioni a modem), REMOVE
SERVER disinfetta completamente la vostra vittima dal server di
Sub7, RESTART e CLOSE SERVER servono a far ripartire e a
chiudere il server. I pulsanti di update servono a aggiornare il
server con nuove opzioni o versioni aggiornate (vi consiglio di
settare al meglio il server prima di spedirlo in modo da nn
modificarlo più tardi)
IP Notify: La notifica IP è importantissima! Come spero
sappiate, nel 99% dei casi, un IP cambia ad ogni connessione quindi se
non volete perdere la vostra vittima vi consiglio di installare ICQ,
prendere nota del vostro numero e segnarlo su UIN (naturalmente
nella sezione ip notify) dopodichè cliccate su ENABLE e ogni
qualvolta la vostra vittima si conneterà vi arriverà un messaggio
tramite ICQ che vi dirà l'ip della vittima in quel momento e vi
ricorderà anche la vostra password.
Dopodichè abbiamo IRC notify e se siete pratici della famosa Internet
Relay Chat nn vi serviranno certo spiegazioni per settare l'IP notify
tramite IRC.
Infine c'è l'Email Notify in cui immetete il vostro indirizzo email e
l'SMTP server (esempio: se la vittima usa libero per la connessione
usate mail.libero.it) e dopo aver cliccato ENABLE il vostro
fedele trojan vi spedirà per posta l'IP della vittima ogni volta che
lei sarà online.
Con DISABLE naturalmente disattiverete l'opzione di notifica
IP.
- Keys/Messages
Keyboard: da qui potremmo attivare il keylogger e vedere tutto
quello che il povero infetto digita sulla sua tastiera, basterà
cliccare su START LOGGING, se per caso Sub7 vi dice che manca
un file e vi chiede se volete uploadarlo sul pc della vittima voi
rispondete SI, dopodichè grazie a SEND KEYS potremo premere
tasti come se fosse la vittima a scrivere. GET e CLEAR
OFFLINE KEYS vi serviranno a recuperare tutto quello che la
vittima ha digitato nel periodo Off-Line (Get per leggere e Clear per
cancellare tutto). Infine DISABLE KEYBOARD con cui potrete
impedire alla vittima di digitare qualsiasi tasto (ricordate che se ci
cliccate sopra non potrete riabilitare la tastiera del malcapitato);
Chat: Grazie a questa opzione potrete aprire una chat sul pc
della vittima oppure chattare con altre persone connesse al pc di
quest'ultima. Scegliete pure il vostro nick, la dimensione dei font e
cliccate su CHAT WITH THE VICTIM (per chattare con la vittima)
oppure CHAT WITH OTHER CLIENT (per chattare con altri che come
voi sono nel suo pc);
Matrix: Questo programmino farà partire sul pc della vittima
una finestra MS-DOS con testo verde; prima di visualizzarla potrete
personalizzare il testo;
Msg Manager: Componete dei bei messaggi di errore e poi
spediteli alla vostra vittima con SEND MESSAGE e con TEST
MESSAGE potrete testarli prima sul vostro pc;
Spy: Cliccando su ENABLE consente di spiare ICQ, Yahoo,
Msn e AOL Messenger;
ICQ Takeover: Grazie a questa opzione potrete impadronirvi
dell'ICQ della vittima, basterà cliccare su REFRESH e poi su TAKEOVER!
- Advanced
FTP/HTTP: questa opzione serve ad aprire la porta 21 della
vittima e a collegarsi ad essa come se fosse un FTP Server;
Find files: grazie a questa funzione potete trovare qualsiasi
tipo di file sul pc della vittima specificandone il nome ed il
percorso, quindi vi consiglio di usare il file manager descritto più
avanti;
Passwords: permette di trovare qualsiasi password registrata
sul PC della vittima: ICQ, e-mail, ecc... (ogni bottone serve a
trovare le relative password);
Reg edit: cliccando su OPEN REGISTRY EDITOR potrete
modificare il registro di Windows della vittima (se non conoscete bene
com'è fatto un registro vi consiglio di lasciar perdere);
App redirect: grazie a questa opzione potrete eseguire delle
applicazioni MS-DOS;
Port redirect: permette di ridirezionare i dati che arrivano ad
una porta del PC vittima su un determinato IP ad una certa porta
scelti.
- Miscellaneous
File manager: con C: potrai visualizzare tutto il
contenuto del hard disk della vittima, con download potrai
scaricarti il file selezionato, con UPLOAD potrai mandare dei
file dal tuo pc a quello della vittima, con EDIT potrai
modificare un qualsiasi file selezionato, con GET SIZE saprai
la dimensione di un file, con CREATE DIR potrai creare una
nuova cartella, con PLAY WAV, SET WALLAPER e PRINT
potrete rispettivamente eseguire files audio wave, impostare lo sfondo
del desktop e stampare un qualsiasi documento, con DELETE
invece potrete cancellare dei files sul PC della vittima;
Windows Manager: grazie a questa opzione potrete controllare le
finestre aperte della vittima nascondendole con HIDE, facendole
riapparire con SHOW, disabilitandole con DISABLE ecc... (per
attivare il tutto bisogna cliccare su REFRESH);
Process manager: con questa funzione potrete vedere tutti i
processi (task) attualmente in corso sul pc della vittima e con KILL
APP potrete terminare quello selezionato;
Text-2-speech: dovrebbe far parlare il pc della vittima tramite
speaker ma richiede che ci sia installato il programma Text Speech
sul malcapitato computer;
ClipBoard Manager: potrete leggere il contenuto degli appunti
(clipboard) della vittima con READ TEXT, cancellarlo del tutto
con EMPTY VICTIM'S CLIPBOARD oppure impostarlo scrivendo
qualcosa e cliccando su SET CLIPBOARD TEXT;
IRC Bot: consente il settaggio di un BOT al fine di utilizzare
come tale le risorse del PC della vittima.
- Fun Manager
Desktop/WebCam: con il pulsante OPEN SCREEN PREVIEW
potremo avere un'anteprima continua del desktop della vittima dopodichè
cliccando su ENABLE inizieremo a visualizzarla, con FULL
SCREEN CAPTURE potremo invece catturare un anteprima maggiormente
dettagliata, mentre con WEBCAM CAPTURE vedremo quello che la
vittima sta filmando con la sua webcam;
Flip screen: potrete rigirare lo schermo della vittima come vi
pare e piace grazie al pulsante FLIP SCREEN ricordando di
selezionare una delle 2 modalità orizzontale o verticale (la vittima
potrà ripristinare lo schermo con un doppio click);
Print Text: potrete scrivere qualcosa scegliendo il font più
adatto e farlo uscire sulla stampante della vittima grazie al pulsante
PRINT TEXT;
Browser: potrete aprire il browser della vittima a un indirizzo
selezionato da voi;
Resolution: consente di cambiare la risoluzione dello schermo
(il pulsante REFRESH vi dice la risoluzione in uso);
Win Colors: selezionando dei colori a scelta, con CHANGE
COLORS verranno impostarli come interfaccia di Windows sul PC
della vittima, con TEST COLORS potrete vederne gli effetti sul
vostro PC, mentre grazie a RESTORE COLORS potrete rimettere in
sesto i colori precedentemente impostati
- Extra Fun
Screen Saver: scegliete uno screen saver e fatelo correre sullo
schermo della vittima con RUN SCREENSAVER oppure salvatelo con SAVE
SETTINGS;
Restart Win: in questa opzione ci sono 5 pulsanti che in modi
diversi spengono o riavviano il computer della vittima;
Mouse: con il pulsante REVERSE BUTTON invertirete le
funzioni dei tasti destro e sinistro del mouse e le rimetterete a
posto con RESTORE BUTTONS, HIDE MOUSE nasconde il
puntatore mentre SHOW lo farà riapparire, con CONTROL/MOVE
MOUSE potrete muovere mouse della vittima con il vostro e con STOP
fermate il tutto, infine MOUSE TRAILS serve a settare la
traccia del mouse sul PC della vittima;
Sound: potrete registrare quello che la vittima sta ascoltando
in quel momento e anche impostare il volume;
Time/date: cambia la data e l'ora di sistema del malcapitato
PC;
Extra: opzioni aggiuntive molto carine:
*Desktop: con HIDE scompariranno le icone del desktop e
con SHOW ricompariranno;
*Start Button: HIDE nasconde lo start button mentre SHOW
lo riattiva;
*Taskbar: nasconde la taskbar con HIDE e la riattiva con
SHOW;
*Cd-Rom: apre e chiude il cassetto del CD-ROM;
*Speaker: Accende e spegne lo speaker della vittima;
*Monitor: spegne e riaccende il monitor;
*Ctrl-Alt-Del: simula la pressione della combinazione di tasti
CTRL+ALT+CANC sulla tastiera della vittima;
*Scroll Lock, Num Lock e Caps Lock: simulano la pressione dei
relativi tasti sulla malcapitata tastiera;
- Local Options
Quality serve a settare la qualita dei desktop capture;
Local Folder setta la cartella in cui salverete i capture
screen e i vari file che downloaderete dal pc della vittima;
Skins cambia le skins di Sub7 a vostro piacimento;
Misc Options sono opzioni varie di Sub7 (vi consiglio di
lasciare tutto com'è);
Advanced lasciate stare anche queste se non siete dei veri
esperti;
Run Edit Server esegue l'EDIT SERVER descritto nel
prossimo paragrafo.
Edit ServerCome già detto il lato server di Sub7 (server.exe) ha un icona non specificata e un nome poco rassicurante, chi lo potrebbe mai aprire? Come si può ingannare la vittima? La risposta è: Edit Server!
Grazie a questo programmino che si può aprire eseguendo edit server.exe (oppure dalle local option del client) potremmo settare al meglio il nostro Server.
Innanzitutto sulla riga SERVER (in alto a sinistra) cliccando su BROWSE dovremo caricare il file server.exe
Per rendere il file un pò più innocente possiamo cambiargli l'icona con il pulsante CHANGE SERVER ICON scegliendo un'icona che possa facilmente ingannare la vittima.
Su STARTUP METHODS potremmo scegliere (spuntando le caselle) i vari metodi in cui il server dovrà partire a ogni esecuzione di Windows (io vi direi di spuntare le caselle REGISTRY RUN, REGISTRY RUN SERVICES e WIN.INI mettendo in KEY NAME un nome innocente come "WinConfig" o cose del genere.
In NOTIFICATION OPTION vi consiglio di usare ICQ come IP notify ma va benissimo anche la notifica via e-mail; per l'icq notify vi basterà scrivere il vostro numero di ICQ nella riga UIN e spuntare la casella ENABLE (date anche un nome alla vostra vittima nella riga VICTIM NAME).
Nella voce INSTALLATION selezionate la voce "automatically start server on port:27374" (e cioè la porta di default di Sub7) e selezionate SERVER PASSWORD inserendo una password che protegga il server in modo che solo chi la saprà potrà accedervi; spuntate la kasella "protect port server and password" (se non la selezionate la password non funge).
In SERVER NAME selezionate "random name", oppure se volete dare un nome fisso al server dopo l'installazione inserite un nome nella riga "specify a filename" e selezionatela.
Selezionate la voce "melt server after installation" che serve a far scomparire automaticamente il server dopo l'installazione (un altro file exe verrà creato nella cartella di Windows della vittima).
A questo punto avete 2 possibilità:
1. spuntare la casella ENABLE FAKE ERROR MESSAGE che serve a visualizzare un messaggio di errore all'apertura del server in modo che la vittima pensi a un normale errore di sistema e non ad un Trojan (dovrete configurare il messaggio con il bottone CONFIGURE);
2. selezionare BIND SERVER WITH EXE FILE che serve a unire il server.exe con un altro eseguibile (unitelo a un giochino o a qualcos'altro di divertente e insospettabile).
Dopo aver configurato il server se avete scelto il "fake error message" salvatelo con il bottone SAVE NEW SETTINGS, mentre con SAVE NEW COPY OF THE SERVER se avete deciso di unirlo ad un altro eseguibile.
Vi consiglio di spuntare anche la casella "protect server so it cant be edit/changed" e di mettere una password in modo che solo voi possiate leggere e modificare i settings del vostro server (con il pulsante READ CURRENT SETTINGS)
Dopo aver fatto tutto ciò spedite il server alla vostra vittima nel modo che più vi aggrada (tramite e-mail, icq, ecc..) e aspettate che lo esegua; quando vi arriverà la prima notifica IP (tramite ICQ, e-mail o IRC, in base a come l'avete impostata) aprite il client di Sub7, mettete l'ip della vittima nella riga IP/UIN, lasciate la porta su 27374 e cliccate su CONNECT! Il client vi chiederà la password del server e voi inserirete quella che avevate impostato dopodichè sarete finalmente connessi.