[Home][Links][Chat][Forum][News][Utility][Download][mIRC]
 
-=Main Menu=-
 

 

  -Forum
  -Chat
  -News
  -La Storia
  -Download
  -Upload
  -Guestbook


 

-=Guide=-

 

 

  -Hacker

  -- Guida all'Hacking

  -- Guida NetBus

  -- Guida NetBios

  -- Hack NetBios

  -- Guida all'anonimato

  -- Guida allo Spoofing

  -- Guida Telnet

  -- Mail Bombing

  -- Attacco di un hacker

  -- Social Engineering

  -- Cosa è un Trojan

  -- Guida ai Trojan

  -- Siti Utili

  -- Hackare ISS

  -- Lista Bug
  -Cracker
  -Lamer
  -Perfect Guida
  -Exploit
  -Linux
  -Guide Varie

 

 
-=Utility=-
 

 

  -Download
  -Programmi
  -Scherzi
  -Crew
  -Scanner
  -mIRC
  -File Sharing

 

 
-=Credits=-
   

 
-=Spot=-
   

  

 
 
HACKER

-=Messagge=-

BENVENUTI

Tutto il materiale messo a vostra disposizione

è solamente a scopo dimostrativo ogni altro

tipo di uso non è nella nostra responsabilità

                                                 Lo Staff

-=Votaci=-

Vota questo sito:

 

 

 

 

 

-=Trojan=-

 

GUIDA AI TROJAN

 

-+-+-+-+-+-+-+-+-+-+HacK bOOk-+-+-+-+-+-+-+-+-+-+

 

Esso è solo stato pubblicato per offrire una conoscenza maggiore in questo ambito, NON per altri scopi. Il testo non si può modificare ne tanto meno vendere senza il consenso dell'autore. Se non si rispettano le norme l'utente avrà commesso azione illegale.

 

 

===ooO===0===Ooo===oO About all Trojan. Oo===ooO===0===Ooo===

 

Innanzitutto vorrei chiarire il concetto di trojan o backdoor (se già sapete tutto vi consiglio di passare avanti).Un trojan o Cavallo di troia ,che deriva dalla leggendaria storia e dopo scoprirete xchè questo nome,una volta eseguito il file patch risiede sul computer e ne fa un server accessibile facilmente tramite un clint o collegamento e quindi prenderne il controllo senza che l'utente se ne possa accorgere (da cui il nome di "cavalli di troia").Molti di loro dopo eseguiti non danno alcun messaggio ,alcuni invece simulano un errore delle librerie. per accederci da remoto al computer infetto basta prelevare il suo IP. Non essendo i trojan ed i backdoors dei veri e propri virus (anche se sono altrettanto pericolosi) non tutti gli antivirus sono in grado di rilevarli; vi consiglio di procurarvi uno o più antivirus in grado di aggiornarsi tramite internet, anche perchè nascono nuovi backdoors ogni giorno...

I trojan più recenti sono quelli più in basso.

-+-+-+--+Rimuoverli-+-+-+-+-+

 

Esiste un sistema per tenere sotto controllo tutte le porte aperte ed è questo, scrivete sotto dos : netstat -a .

se oltre alla porta 0 ne è aperta un'altra allora iniziate anche a preoccuparvi. Io vi consiglio con un antivirus aggiornato di scansionare la cartella windows se rileva virus NOn cancellateli ancora come riporta l'antivirus(non preoccupatevi se non siete in rete il trojan non potrà farvi niente).Oppure adesso esistono mille programmi per la rimozione dei trojan come "The cleaner" anche per specifici,ad esempio programmi che scovano il server back orifice e lo cancellano definitivamente ,lo stesso col Netbus.Quindi avete più possibilità...

Un'altra osservazione da fare è questa,tutti questi virus si eseguono in background(significa dietro le quinte ,termine usato nei sistemi linux) quindi per vedere ad ogni avvio cosa la macchina esegue andate nel regedit e fatene una copia con il comando "export" poi andate in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

da qui potrete vedere tutto quello che partirà in avvio.

Cmq adesso vi riporto come ripulire alcuni di questi trojan,quando scrivo poi è meglio che riavviate il sistema,ad esempio cancellate una riga nel registro poi cancellate il file...:  

 

                      BACK ORIFICE

 

Descrizione:il file patch è un'applicazione ".exe" senza icona ed è circa 180kb.

Il file si piazza in c/windows/del.exe ma come la versione 1.20 può darsi si trovi in c:\Windows\System.Trovatelo e cancellatelo da Dos.

Poi andate nel regedit e cancellate la voce ,mi sembra si trovi in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

.

 

                     NETBUS

 

Descrizione:il patch si chiama appunto "patch.exe" ma si trova sempre rinominato ovviamente ha come icona una "piccola parabola" , è grande circa 483kb.

Andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga. Poi andate in c:\Windows\ e cancellate il file che vi hanno mandato e avete precedentemente eseguito. Attenzione può avere anche l'estensione .ini cancellatelo cmq.

 

                         TELECOMMANDO

 

 

Descrizione :il server è Odbc.exe ed è circa 206kb.

Si piazza in c:\Windows\System ma voi andate nel regedit in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga SystemApp     "ODBC.EXE" poi cancellate il file file odbc.exe da Windows\System

 

 

                              GIRLFRIEND

 

Descrizione:il patch è Windll.exe circa 336kb o 302kb, ha per icona il simbolo di Windows oppure un piccolo fax. Il file si piazza in C:\WINDOWS\Windll.exe

Quindi andate in regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 e poi cancellate il file in c:\windows.

 

                                 MASTER'S PARADISE 98

 

Descrizione:il patch è SysEdit.exe sono circa 462kb.

Andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

cancellate la riga e poi andate in c:\windows e cancellate sysedit.exe e KeyHook.dll .

 

 

                              DEEP THROAT

 

Descrizione :il patch è Systray.exe ,circa 304kb.

Quindi andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 cancellate la riga e poi cancellate il file systray.exe da c:\Windows.

 

                               NETBUS PRO2

 

Come il Netbus ,infatti si piazza sempre in c:\windows\ però nel regedit ci sono delle varianti che sono :

 

HKEY_CURRENT_USER\NetBus

HKEY_CURRENT_USER\NetBus Server\General

HKEY_CURRENT_USER\NetBus Server\Protection

HKEY_CURRENT_USER\NetRex

HKEY_CURRENT_USER\NetRex Server\General

HKEY_CURRENT_USER\NetRex Server\Protection

 

 

                                  POLY (sconosciuto)

 

Descrizione:il file patch è un .exe circa 389kb,ha l'icona di un filmato multimediale quando lo si esegue appare una finestra che ci comunica che mancano le librerie del quicktime.

Si piazza in c:\windows è "rhwtcnxb.exe" ma può darsi anche ci siano delle varianti,per sicurezza fate uno scan con un antivirus aggiornato ,il norton2000 preferibilmente e controllate.

Quindi andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga ,che mi sembra simuli una .dll .

Poi cancellate il file in c:\windows.

 

 

 

 

 

 

 

         TIPS per sfruttare i trojan

 

 

Innanzitutto per vedere se un utente è infettato da un trojan e conoscete la porta di aperture (ad esmpio per il Netbus è la 12345)  andate con telnet all'host che sarà l'ip della vittima e la porta del trojan   esempio pratico :

            123.242.24.23:12345          vi diraà anche che versione (nometrojan)!     .

 

Se avete individuate un ip infetto da Netbus e volete illuderlo da password(solo voi potete accedere al computer) fate i seguenti comandi col telnet:

una volta scritto l'ip e la porta del netbus

Password;1;any

poi

ServerPwd;lapasswordchevolete

Attenzione:funziona dalla versione precedente alla 1.70 ,per controllarlo verificatelo con telnet.

 

Potete cambiare anche l'icona ad un trojan,prendete un programma  che crea icone come il microangelo e prendiamo un icona che ci garba. Poi la apriamo con l'editor di icone e facciamo un copia di tutto e incolla sull'icona del trojan sempre editandolo.

Si avrà una Patch meno sospettabile.

 

Potete anche creare un bel "pacchetto" per nascondere meglio.Mettete in un file zippato la patch rinominata Setup.exe con una bella icona di istallazione! Poi ci mettete dei file .doc magari chiamandoli leggimi.doc o leggimi.txt ,fate dei file di help,dei file .bin o altro per simulare un bel programma ,se volete anche un'immagine fatta da voi(per simulare l'immagine che parte appena si esegue l'istallazione)!!Così sarà un programma "in regola".

 

un'altro metodo sarebbe quello di mettere come icona al patch quella del self-extractor del winzip,catturandola con il microangelo che ha l'apposita opzione, che in realtà è un .exe quindi insospettabile!

Scritto da Syn^

 

 

-=Info=-

 

 

Il tuo IP:

 

 

-=News=-

 
Rassegna Stampa Tecnologia

 

 

-=Spot=-

 

 

 

-=Spot=-