1. Uvod
2. Sto je to trojanski konj?
3. Kako nekome poslati trojanca?
3.1. E-mailom
3.2. Na disketi ili nekom drugom mediju
4. Opis nekih trojanaca
4.1. NetSpy - nisam ja pisao
4.2. Kuang2 - nisam ja pisao
4.3. SubSeven - nisam ja pisao
5. Brisanje trojanaca
*************
* 1. Uvod *
*************
v1ru5 ne odgovara za ikakvu stetu koju proizvede ovaj tekst. Tekst je napisan samo u edukativne svrhe.
Evo nesto sam zelio napisati o trojanskim konjima, jer su oni dosta rasprostranjeni na mrezi i
gotovo svako do sada mozda se susreo sa nekim trojancem, kojeg nije znao postaviti da radi ili
obrisati.
Naravno ovaj tekst namjenjen je pocetnicima, i onima koji se jos smatraju da su pocetnici.
Sigurno ste culi da se neki klinci na chatu, newsima, ircu, forumu ili negdje drugdje na
internetu hvale kako su pomocu raznih trojanaca (NetBus-a, SubSevena - ova dva su skoro
najpoznatija pa sam samo njih naveo) upali u necje racunalo ili na neki server. No to nije neka
mudrost, potreban vam je samo neki glupan koji ce pokrenuti server datoteku koju mu vi
posaljete. No o tome cu nesto kasnije.
**********************************
* 2. Sto je to trojanski konj? *
**********************************
Ima dosta teorija koje govore sta je trojanski konj, pa evo jedna:
Trojanski konj "TROJAN HORSE" je program koji radi nešto nedokumentirano što je programer naumio, ali korisnik
ne bi odobrio kada bi za to znao. Trojanski konj je program koji uz glavnu zadaću, obavlja i posao koji je
nepoznat i vjerojatno nepoželjan za korisnika. Trojanina možemo instalirati nenamjerno kao: dio legitimnog
programa (dio koda) koji obavlja radnje koje nisu opisane kao njegov primarni zadatak i vjerojatno su nepoželjne
(ne obavezno). legitimni program koji je "hacknut" (kojemu je promijenjen izvorni kod) bez znanja korisnika i
autora. Bilo koji program koji je na prvi pogled koristan ali zapravo potajice radi nešto drugo Trojanin se
najčešće instalira na kompjuter zajedno sa nekim drugim programom i zauzme jedan port (koji, to zavisi od
samog trojana) i potom osluškuje. Kada primi neku naredbu preko mreže (interneta ili intraneta) on ju izvršava.
Ta naredba može biti trivijalna poput otvaranja CD – ROM drivea ili izbacivanja neke poruke na zaslon do
ozbiljnijih – brisanja nekih datoteka (najčešće sistemskih), ubacivanja novog trojanina pa čak i do
formatiranja diska jer uljez ima potpunu vlast nad računalom. Također postoje i rat trojani – to su upravo
ti trojani koji osluškuju naredbe za mreže. Trojanin može biti konfiguriran tako da prilikom svakog spajanja
na mrežu ne čeka naredbu nego odmah šalje podatke na određeni IP – ti podatci mogu biti neke lozinke, brojevi
kreditnih kartica i slično. Trojanin može biti mjesecima instaliran na računalu a da ga uopće ne primijetiš.
Može pratiti tvoj rad, marljivo sakupljati podatke o tebi koje upisuješ po raznim stranicama na Netu i potom
ih jednog dana polati nekome. Konačno neovisno o definicijama, većina ljudi koristi termin “Trojanski konj”
za program ovog tipa koji se NE razmnožavaju. Neki od poznatijih trojanina: Blade Runner, Doly Trojan, Fore,
FTP trojan, Invisible FTP, Larva, WebEx, WinCrash, a vjerojatno najozloglašeniji su RAT trojani NetBus, Bo i
SubSeven.
**************************************
* 3. Kako nekome poslati trojanca? *
**************************************
Sada cu vam reci kako je najlakse poslati nekog trojanca nekoj osobi.
Dakle, koristite SubSeven, ili kuang2logger, NetSpy (a vrijedi i za druge trojane). Napravili ste server file
(o tome cu nesto kasnije), i neznate kome poslati, nemate necji e-mail, neznate da li ce ta osoba zeliti
pokrenuti vaseg trojanca, onda napravite sljedece.
*******************
* 3.1. E-mailom *
*******************
Napravite na Yahoou korisnicki racun npr da vam e-mail glasi ovako
ivana_zg_cro@yahoo.com.
Ovo za ivana mozete promjeniti u bilo koje zensko ime jer tako ce neki bolje nasjesti. Kada je to gotovo odete
na neki chat, i za nik upisite to ime koje ste stavili na e-mail adresu.
Pricate malo, bla, blaa, bla, odete na privatni razgovor s nekime muskim, govorite mu da ste iz zagreba, da
volite nogomet (to vecina decki voli), pitate ga gdje on zivi, ...., onda ga pitate da li zeli da mu posaljes
svoje slike. On ce u 98% reci da zeli i dat ce ti e-mail adresu.
Ako da adresu od yahoo-a onda propada stvar, jer yahoo i neki veliki posluzivaci besplatnih e-mail adresa
koriste antivirus pri gledanju poste.
Ako je dao adresu od hineta, iskona, vipa onda odete na yahoo i od tamo mu posaljete u attachu server
datoteku od trojana (naravno prvo ga moras preimenovat u skile.exe ili slicno).
Kada posaljete on ce to pokrenuti, naravno ako nema AntiVirus i ako ste koristili Kuang2 onda ce vam on
slati na e-mail pasworde i ostalo sto ste zeljeli.
Ima jos dosta toga, ja sam svojim prijateljima poslao server datoteku od SubSevena i rekao da je to napredni
chat program i da kada se spoje na internet procitaju mi svoj IP, te mi posalju preko iskonovog chata, da ja
mogu pokrenuti program, jer je kako sam rekao chat napredan ima dosta namjestanja i dosta opcija. Ja sam dobio Ip
adrese pokupio im pasworde za internet, pregledo disk i otisao, a oni su me kasnije pitali zasto nisam pokrenuo
chat ili zasto program ne radi, ja sam im jednostavno odgovorio da je program bio napravljen za Linux ili Mac pa
zato oni nisu mogli komunicirati s menom (a oni su bili glupi i nisu skuzili da muljam).
Djeca dosta vole igrice, pa zasto ne bih server datoteku od Kuang2loggera preimenovali u naprimjer karte.exe, ili
pak danas je popularna ona igra "Milijunas", pa onda ju nazovite milijunas.exe. Za poruku napisete da je to igrica
koju ste vi napravili i da ima dosta pitanja, te da nije tako teska. Neka isproba pa da ti kaze kako mu se svidja.
No i vi mozete nesto smisliti u tome smislu.
Mozete napraviti da u vec postojeci program ubacite trojanca, pa ga onda posaljete.
Sve se moze napraviti samo to treba prvo dobro razmisliti.
*********************************************
* 3.1. Na disketi ili nekom drugom mediju *
*********************************************
Kao sto sam vec rekao djeca vole igrice, pa tu svoju igricu mozete razdjeliti preko disketa, ili sto je modernije
preko CD-a.
U VisualBasicu ili C++ napravite neki program npr.: Adresar, neki Album ili tako nesto, povezete taj program sa
server datotekom trojanca i kada zrtva pokrene program otvori mu se Adresar (ili neki program koji ste vi vec
napravili), a uz taj program otvorit ce mu se i trojan koji ce se upisat u njegovo racunalo.
*****************************
* 4. Opis nekih trojanaca *
*****************************
Postoji puno vrsta trojanaca.
Ove tekstove dolje ja nisam napisao, vec sam ih samo prepisao i stavio u totorial.
*****************
* 4.1. NetSpy *
*****************
Ovo se odnosi na verziju 1.1
Sta je NetSpy?
NetSpy je trojanac koji krade sve ukucane lozinke i salje ih na vas mail. Nevidljiv je za Registry
Editor, blokira ProcessMate i nemoguce ga je obrisati iz Registry-a i iz .INI fajlova dok je aktivan.
Kako se koristi?
Ono sto sledi je detaljno upuststvo za koriscenje ovog trojanca.
1. Startujte NetSpyCFG.exe
2. Izaberite Startup metode kojima zelite da se NetSpy startuje pri podizanju Windowsa.
Ako ne znate za sta sluze ili ako nemate neki poseban razlog da neki od njih bude iskljucen,
ukljucite ih sve
3. U polje From E-Mail napisite e-mail zrtve. Ovo nije obavezno, ali neki mail serveri to zahevaju.
4. U polje To E-Mail napisite adresu na koju zelite da se passwordi salju tj. upisite svoju e-mail
adresu.
5. Polje SMTP Server popunite adresom SMTP servera. Mozete staviti SMTP server domena na kome se nalazi
destinaciona adresa. Na primer ako se passwordi salju na mail koji se nalazi u @hotmail.com ili
@yahoo.com domenu stavite hotmail-ov ili yahoo-ov SMTP server.
Ako znate ko je provajder zrtve, onda stavite njegov SMTP server. Npr. SMTP server PTT-a je smtp.ptt.yu,
dok je EUnet-ov relay.eunet.yu itd.
6. U polje Victim Name upisite ime ili nadimak svoje zrtve. Ovo ce vam pomoci pri pracenju pristiglih
passworda i bice vam lakse da odrzavate red u Inbox-u Sadrzina ovog polja nema nikakvog znacaja u
procesu slanja passworda tako da mozete da upisete sta god hocete.
7. Registry Key je ime kljuca pod kojim ce NetSpy biti upisan u registry. NetSpy koristi RegEdit Stealth
tehnologiju i ne moze se videti koriscenjem Registry Editora. Ali ipak postoje i drugi programi kojima
se moze videti sadrzaj registry-a i zato bi bilo pozeljno da stavite nesto neupadljivo i nesumljivo kao
na primer Trojanac ili Password Stealer )))) Naravno salim se u ovo polje upisite nesto kao WinLoad,
Kernel32 ili nesto slicno.
8. U polju Install file name upisite ime fajla u koji ce NetSpy da se iskopira pri infekciji.
9. Polje Fake error message popunite laznom porukom o gresci koja ce biti ispisana kada zrtva bude pokusala
da startuje program.
10. Moja preporuka je da opcije RegEdit Stealth, Disable ProcessMate, Guard Registry keys i Guard .INI files
ostavite ukljucene.
11. Kliknite na dugme Save...
12. Kada se otvori prozor Create Dropper EXE upisite ime EXE fajla u kojem zelite da se sacuva NetSpy u polje
Save as EXE. Ako zelite da u dropper ubacite neki program koji ce se startovati zajedno sa trojancem
(npr. neka igrica ili slicno) ukljucite opciju Bind EXE to trojan i upisite ili izaberite ime programa
koji treba da se ubaci.
13. Kliknite na dugme okie. Ako je sve proslo kako treba NetSpy Setup ce vam ispisati poruku, a dropper ce
biti sacuvan u istom folderu u kome se nalazi NetSpy Setup.
14. Ostalo vam je jos samo da posaljete dropper zrtvi ili da ga sami startujete na njegovom/njenom racunaru
To je to nadam se da ste shvatili.
*****************
* 4.2. Kuang2 *
*****************
Kuang2 theVirus v0.21
Kuang2 Client v0.21
Kuang2 Infector v0.12
Šta je ovo?
Kuang2 theVirus je prvi Windows i Internet virus na svetu koji omogućava korisniku da se preko mreže "prikači"
na zaraženo racunalo.
Kuang2 Client je program pomoću koga se komunicira sa zaraženim računarom.
Kuang2 Infector omogućava korisniku da zarazi bilo koji Windows .exe fajl Kuang2 theVirus-om.
Performanse virusa su odlične. Ako se koriste sa plug-inovima (na primer: Kuang2 VeryFun, Kuang2 veryLite
itd.) može se slobodno zaboraviti na NetBus i slične ogromne i trome programe.
Kako se koriste?
Prvo treba zaraziti žrtvu na jedan od dva načina:
- žrtvi se pošalje se sam Kuang2 theVirus. Ime .exe fajla može da bude promenjeno, naravno. Ovaj način nije
preporučljiv jer virus ostaje aktivan i samim time ne može da se obriše sa diska, pa je zato i sumljiv;
- žrtvi se pošalje neki exe fajl (igra, program, instalacija) koji je inficiran virusom Kuang2 theVirus.
Ovaj način se preporučuje. Virus se aktivira, ali negde drugde, tako da žrtva može da obriše dobijeni fajl ako
hoće. Pošto se ovaj način preporučuje za širenje zaraze tu je i program Kuang2 Infector kojim se može inficirati
bilo koji željeni fajl.
Kada je žrtva zaražena i kada je na mreži treba naći njen IP broj. Za to se može koristiti bilo koji IP skener
ili koji god drugi mogući način (icq,...).
Sada Kuang2 Client preuzima posao u svoje ruke. Nakon uspešne konekcije sa serverom, tj. sa zaraženim
računarom, u središnjem delu se prikazuju ime zaraženog računara i spisak raspoloživih diskova. Moguće je
uploadovati, downloadovati i brisati fajlove, ali i startovati željene aplikacije (pluginove!). Svaki upload i
brisanje fajlova se uredno evidentira u središnjem delu prozoru gde je prikazan sadržaj žrtvinog računara. Ipak,
ponekad je potrebno osvežiti sadržaj nekog foldera i za to služi opcija: "Mark as Unseen" u meniju koji se dobija
kada se klikne desnim dugmetom na neki folder. Ako se klikne desnim dugmetom na fajl dobija se standardni popup
meni.
Tehničke osobine
Kuang2 theVirus se ne vidi u registriju, a ni u ctrl+alt+del task listi. Prvi put kada se startuje na
nekom čistom računaru on inficira neke od sistemskih fajlova da bi obezbedio da bude aktivan i kada se sistem
restartuje. Zatim počinje da inficira sve ostale Windows PE EXE fajlove na svim fiksnim diskovima. Pri tome ne
menja vreme kreiranja fajla. Inficiraju se i fajlovi sa setovanim ReadOnly atributom. Veličina inficiranog fajla
poraste za oko 11 KB.
Port koji se koristi je 17300.
Maksimalni broj istovremenih korisnika zakačenih za zaraženi računar je 5.
Internet protokol koji koriste Kuang2 theVirus i Kuang2 Client je jednostavan. Realizovan je da bude što brži,
što je rezultovalo malo nesigurnije formiranim serverom. Ujedno je vođeno računa i o veličini programa. Zato je
najbolje je da se klijent koristi "čisto". Brzina kojom se virus širi je oko 21 sekundu za 10 inficiranja, što
daje 1000 inficiranih fajlova za oko 35 minuta. Ovako hard disk ne radi sve vreme da ne bi izazvao sumnju žrtve.
Maksimalna dubina foldera do koje se ide je 12, kako virus ne bi gubio vreme sa razgranatim folderima. Postoje
fajlovi koji proveravaju svoju strukturu i prate da li je izmenjena. Takvi su, na primer, veliki broj
instalacionih fajlova. Ako su ovi programi inficiraju oni će prijaviti grešku, ali sve jedno, virus će ipak
biti startovan. Anti-virus je uključen u Kuang2 Client. Može da skenira i do 1200 fajlova za manje od 2 minuta!
Antivirus automatski čisti sve inficirane fajlove na celom zaraženom sistemu. Ako treba samo konstatovati da li
je virus aktivan na nekom računaru dosta je ostaviti polje za IP adresu prazno i kliknuti na 'Connect'. Ukoliko
se klijent uspešno konektuje na virus, to znači da je sistem inficiran. Anti-virus radi ali je jednostavan. Zato
je poželjno startovati ga bar dva puta, kada je sistem inficiran! Kuang2 theVirus je uspešno isproban na Win95,
Win97 i na Win98 na skupu od 2000 raznoraznih exe fajlova. Ne znam kako radi na NTu.
Nešto za kraj
Kuang2 theVirus je i dalje samo igračka. Pre svega, tu je specijalna verzija koja je potpuno konfigurabilna sa
jako puno opcija. Zatim je tu i poboljšanje virusa, tako da on bude mutirajući, polimorfni i stealth. Sa svim
ovim veličina koda se i dalje bitno ne menja.
Evo i jedan prirucnik koji je napisao Hipik__
Prirucnik za pocetnike (Keylogger-Kuang2 )
Prvo cu pojasniti sta je to ustvari keylogger. Kao sto i samo ime kaze to je jedan mali program,
ili bolje da ga nazovemo spijun, koji loguje, odnosno zapisuje, hvata, sve ono sto se kuca i sve to
lijepo pohranjiva u neki fajl obicno je to *.log ili *.txt ali iz iskustva znam da neki cak rade na
tom principu da naprave dll i u njega pohranjuju podatke. Neki keyloggeri nepohranjuju podatke.
Stoga na osnovu ove osobine mozemo ih podjeliti na:
1) Keyloggeri koji ne pohranjuju podatke i
2) Keyloggeri koji pohranjuju podatke
Keyloggeri koji ne pohranjuju podatke
Ova vrsta keyloggera je najslabija jer da bi onaj koji je postavio keylogger vidio sta zrtva radi mora
biti u isto vrijeme na NET-u kao i zrtva i kod sebe mora pokrenuti jos jedan dodatni program koji bi
"hvatao" ono sto keylogger salje, ali to nije sve ovakve vrste keyloggera moze da nadgleda svako ko hoce
jer oni vecina njih barem zasticena passwordom. A neki od njih dozvoljavaju da zrtvu nadgleda samo jedan
korisnik tako da onaj pravi zna da je njegova zrtva u to vrijeme na NET-u ali joj nemoze pristupiti. To je
prava ironija.Jos nesto ovi keyloggeri su krajnje nesposobni jer da bi slali podatke moraju otvoriti port
i na taj nacin zrtva moze posumnjati da joj je nesto nepozeljno pokrenuto na racunaru. Ali otvaranje ovoga
porta neznaci mnogo samo i za zrtve nego i druge korisnike koji barataju sa keyloggerima oni skeniraju
stalno standardne portove i na taj nacin pronalaze tudje zrtve. Kod ovih loggera nema nacina da se sazna
koji je password zrtva utipkala za konekciju, osim ako ne ode da provjeri svoj racun
Evo vam jedan primjer pa vi odlucite dali ova vrsta keyloggera valja ili ne:
Korisnik1 je postavio keylloger Zrtvi1, koja nista nezna, u medjuvremenu Korisnik1 odlazi i na zrtvu
skeniranjem nalece Korisnik2 i preuzima Zrtvu1 u svoje ruke prati sta sve Zrtva1 tipka Korisnik1 se vraca
vidi da je njegova zrtva na NET-u (u ovom slucaju mIRC-u) i pokusava da joj se ubaci i da prati njezino
tipkanje, naravno ne uspijeva. Korisnik1 nedovoljno informisan o keyloggeru koji je postavio Zrtvi1 misli
da ga je Zrtva skontala i odlazi. U medjuvremenu Korisnik2 koji je informisan profitira i zabavlja se na
racun Korisnika1.
Keyloggeri koji pohranjuju podatke
Ovu vrstu keyloggera mozemo podijeliti u dvije grupe:
a) Keyloggeri koji salju podatke na e-mail
b) Keyloggeri koji ne salju podatke
a)Keylogeri koji salju podatke na e-mail, kao sto im samo ime kaze sve ono sto se loguje salje na e-mail i
nakon sto posalju brisu log. Nedostatci ovih keyloggera su ti sto vecina njih loguje i previse (dakle ono
sto nas ne zanima) a onda nam sve to fino posalje na e-mail. Na taj nam nacin posalje previse podataka i zatrpa
e-mail. Takodje prilikom testiranja nekih primjetio sam da salju jedan te isti podatak (od 10 do 100 k ) na
e-mail pa i po pet puta. Naravno ovo se desava kada zrtvi puca veza. Ono sto je dobro sto do ovih podataka
koje vi primate e-mail nemoze niko doci osim vas, odnosno onih koji imaju pristup e-mailu. A keylogger nece
otvarati nikakve sumnjive portove vec standardni (ali samo dok salje) za slanje e-maila. Jedini bug je taj
sto neki od njih "zaborave" da su poslali podatke i da je vrijeme da izbrisu log u koji su zabiljezili podatke.
b)Keyloggeri koji nesalju podatke, vema su slabi i nesigurni. Ove keylogere mozemo po njihovoj sigurnosti
podijeliti na:
osigurane (sa passwordom)
neosigurane (bez passworda)
Dakle nakon sto loguju ono sto zrtva kca oni sve to fino pohranjuju u jedan log fajl, a onaj koji je postavi
svoj keylogger zrtvi da bi procitao ono sto je zabiljezeno ima kod sebe jedan korisnicki program koji cita
takvu vrstu fajlova, ukoliko je to vrsta programa koja je osigurana sa passwordom onda on mora znati password
da bi pristupio logu. Naravno ovakve vrste keyloggera su slabi jer ih je lahko otkriti zato sto otvore odredjeni
port, ili zato sto pune hard disk zrtve ako korisnik koji je postavio keylogger necisti log fajl. Medjutim to
nije problem cak sam imao priliku da testiram jedan slican keylogger koji je radio na sledeci nacin: Tek nakon
sto se zrtva konektuje on salje korisniku na ICQ broj da je zrtva dosla u to i to vrijeme i tek onda otvara
port, ukoliko korisnik zaboravi ili jednostavno ne brise logove on to sam ucini (ali na ovaj nacin izgube se
neke informacije o zrtvi koje mogu biti od znacaja). Jos jedan slican keylogger je bio da ne otvara port dok
ne primi odredjeni ping od korisnika (ovaj je najbolji sto se tice keyloggera koji nesalju podatke)
Takodje postoje specijalni keylogeri. Oni neloguju sve sta korisnik kuca nego samo odredjene stvari pa ih prema
tome djelimo na:
Keylogeri koji loguju Internet explorer, Outlook Express i ostale e-mail i internet browsere
Keyloger koji loguje password zapisan za mIRC Nick, ICQ
Key logger koji dekriptuje skoro sve spasene passworde (ovo i nije keylogger)
mIRC keyloger koji ce ukljuciti log zrtvi i poslati te logove na e-mail (nepouzdan, ali zabavan njegova
greska je sto se sam ugasi)
Keyloggeri koji biljeze samo ono sto se upisiva u polje sa zvjezdicama
Samounistivi keylogger koji se nakon odredjenog vremena sam ugasi (sa ovim keyloggerom prikrejete trag
tako da zrtva nikada nece znati da je imala pokrenut keylogger)
Dakle sada kada ste se upoznali sa keyloggerima dajem i spisak svih ocekivanih ali nezeljenih posljedica:
Neki od keylogera su pisani za englesku tastaturu pa nehvataju onako kako bi vi to zeljeli hrvatsku tastaturu
NPR umjesto Ž vidite @ i slicno nadam se da razumijete sta vam govorim
Logovi se ne brisu pa tako zauzimaju prostor, a na taj nacin i vrijeme korisnika ili njegov e-mail puni do vrha J
ICQ napomena neradi
Neki keyloggeri su pisani u VB-u pa osim postavljanja keyloggera morate postaviti jos i dll fajlove ili
neki ocx pa tek onda pokrenuti zrtvi
Ne posalje citav vec samo djelimicni log idr. Slicni problemi navedeni su u gornjem tekstu.
Prije nego vam pokazem kako se koristi keylogger kuang moram vas opomenuti na sledece:
nikada nemojte postavljati opciju da keyloger salje na vas e-mail (e-mail koji dajete svojim prijateljima)
nego napravite jedan novi e-mail ali nemojte unositi svoje prave podatke
Pazite kako cete postaviti svoj keylogger, dnosno kako cete ka uvaliti u tudji racunar. Neka to bude
prevarom ali ukoliko vas buduca zrtva zna nedozvolite da primjeti da ste to vi. Najbolje ga je postavljati
zrtvama koje su vec zarazene trojancem (SubSeven NetBus) ili nekim drugim koji vi znate
Ukoliko cete sa informacijama koje budete dobili od zrtve ucjenjivali pazite na koji nacin to cinite
Nikada se nemojte odati nekome da je on nekada bio vasa zrtva
Ako nekome namjerno postavite keylogger u namjeri da mu ga kasnije skinete za neku uslugu (novac) dok
budete gasili i brisali keylogger neka to traje duzi vremenski period i neka to bude sto komplikovanije.
Keylogger stavite na disketu i ponesite kuci uz objasnjenje da cete saznati na koji e-mail logger salje,
ali sa zrtvinog racunara izbrisite keylogger i svakov njegov trag. (pazite da ne ostane u kanti)
Opis rada Kuanga
Ovaj keylogger mi se najvise svidja a i najjaci je od svih najjednostavniji za koristenje. A evo i adrese
gdje ga mozete skinuti:
http://members.tripod.com/~weird173http://move.to/weird evo i e-mail programera koji je programirao ovaj keylogger
weird173@yahoo.com Kada skinete zip sa ove stranice u njemu ce biti upakovani sledeci fajlovi
K ReadMe.txt kraci opis keyloggera
K Setup Kuang.exe
K server.exe
Unzipujte sve fajlove koji su unutar zipa.
Prije nego nekome posaljete keylogger odnosno zarazite ga morate editovati server.exe (ustvari server.exe
je keylogger) to ce te uciniti sa Setup Kuang.exe programom. Kao sto je prikazano na donjoj slici:
Prvo kliknite Open da bi izabrali keylogger koji editujete (server.exe) zatim obiljezite opcije koje zelite da
vas loger radi
Log Windows content ova opcija je da loger zapise ime u programa u kojem zrtva pise (ukljuciti)
Ostale tri opcije ispod su za otkrivanje zapisanih passworda
Ostale su jos dvije opcije njih je svakako potrebno ukljuciti da bi razlikovali velikai mala slova i
specijalne tipke
Zatim upisite kada ce vas keylogger slati podatek, log, vama svaki 1, 2, 3 ... dana
Upisite odgovarajuci SMTP server npr ako zrtva ide preko bihneta mail.bih.net.ba ili najbolje univerzalni
smtp server
Upisite u oba polja e-mail na koji ce se slati ovaj log.
Zatim kliknite na Save da bi spasili ove podatke i to je to imate svoj keylogger. Sada ga mozete preimenovati
i poslati svojoj prvoj zrtvi
Evo vam i primjer kako to rade neki:
*******************
* 4.3. SubSeven *
*******************
SubSeven v2.1 Bot
Jednoga dana kada nisam ima sta da radim nasao sam nekoga sa
SubSeven 2.1 trojancom na njegovom box-u i odlucio sam da saznam
malo vise o SubSeven bot prednostima.
podesite opcije da se pridruzuju (join) na pravi server da identifikujete sebe
na bot-u kliknite na nickname i onda ukucajte @login server.password to je
tako ako ste podesili prefiks na komandu kao @ (to je default).
Session Start: Thu Mar 23 00:32:01 2000
@login hahahaha.top.security.password
password accepted
sub7bot komande za kanal
-----------------------------
-CHANNEL ONLY COMMANDS-
@update <URL> server automatski downloaduje trojanca i instalira se preko sebe
@run <komanda> [pokrece navedenu komandu]
-CHANNEL COMMANDS-
@newpass <nov password>
@ident <nov ident>
@op <nickname>
@say <sta da kaze>
@deop <nickname>
@cycle
@part <razlog>
@mode <modovi za kanal>
@join <kanal> <kljuc>
@kick <nick>
@ban <nickname>
@unban <nickname>
@quit <razlog>
@ping <ip> <velicina paketa> [pinguje navedeni IP i daje povratne informacije]
@mping <ip> <velicina paketa> <n> [pinguje navedeni IP sa navedenom velicinom
paketa 'n' puta]
@info [daje izvestaj o server settings - kao irc notify]
sub7bot privatne komande
----------------------------
Sve komande koje se nalaze u odeljku -CHANNEL ONLY COMMANDS- i -CHANNEL COMMANDS-
plus ove:
@raw <raw komanda>
@prefix <nov prefiks>
@reroute <kanal/nickname> <kanal/nickname>
@rroff [iskljucuje rerouting]
@spy_login <server> <port>
@spy_nick <nickname>
@spy_join <kanal> <kljuc>
@spy_part <razlog>
@spy_quit
@spy_start <kanal/nickname> <kanal/nickname>
@spy_stop
Ako koristite osnovne komande onda mozete dobiti uglavnom sve.
Nemojte misliti da ste hacker ako se kacite sa trojancima.
***************************
* 5. Brisanje trojanaca *
***************************
Ovaj dole tekst napisao je ACIdCooKie.
1. Potreban softwer
2. Savet
3. Kako ga ukloniti pomocu softwera
4. Kako ga ukloniti rucno...
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
1.
Za ovu malu operaciju o otkljanjaju troyanaca...koristicemo samo jedan program:
* - Process Mate v1.0 by Weird -
Ovaj programcic ce nam pomoci da vidimo koji su nam svi procesi aktivni trenutno...
znaci troyanca...kojeg ne promecujemo ce ovaj program da pokaze...
-----------------------------------
2.
Savetujemo Vam da pri ovome ne budete na internetu...
kako ne bi li Vam se neko nakacio na komp...
-----------------------------------
3.
Ukloniti obicnog troyanca uopste nije tesko sledite sledece postupke...
* - Ukljucite ProcessMate -
* - Kad ste ukljucili ProcessMate...pogledajte sve aktivne programe koje VI ne vidite...
* - E sada ako Vam je neki Program (troyan) kojeg ne vidite da je ukljucen , SUMLJIV... iskljuci te ga..
ako se skoro nista ne desi onda ste ga nasli...
* - Posto ProcessMate pokazuje FULL PATH...(gde se nalazi...) otidjite u taj dir i obrisite taj TROYANAC...
-----------------------------------
4.
*Skoro svi troyanci se kriju u REGISTRIJU...:
1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Ovde u RUN i u RUNSERVICES... ce te naci isto putanju i ime programa koji se podize kad i sistem...
Ako Vam je sumljiv neki aktivan program i njegovo ime... izbrisite ga iz registrija... probajte da resetujete
racunar...
ako je sve ok onda zatim obrisite i sam EXE (troyan)...
*Naravno postoji i onih koji se kriju u SYSTEM.ini
u system.ini ce te primetiti BOOT... evo kao sto vidite ovde se podize explorer.exe
Ako Vam je sumljiv neki program (troyan) sto je upisan u system.ini , izbrisite ga iz system.ini pa onda EXE
(troyana)
[boot]
shell=Explorer.exe
