Escrito por eL Qva$aR ...... Http://quasar.timofonica.com
--------------------------------------------------------------------
- {Q#} - {Q#} - {Q#} - {Q#} -
{Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} -
--------------------------------------------------------------------
MANUAL DE INSTRUCCIONES DEL BO (PA' TORPECILLOS)
------------------------------------------------
By eL Qva$aR - {Q#}
0.- Indice.
------------
1.- Que es
el BO?
2.-
Caracteristicas del BO.
3.- Comandos.
4.-
Consejillos.
5.- Detectores
y avisadores.
1.- Que es el BO?
Pues resulta que el BO no es mas ni menos que un
virus. Lo que ocurre es que
es un virus muy potente pero muy sencillo. Potente,
porque un ordenador
infectado con el BO permite a cualquier persona
(conectada a internet) entrar
y disponer del PC completamente. Sencillo, porque no
se trata de un virus
convencional. No es un virus con efecto destructivo y
de esos tan infecciosos
y escondidos que son tan complicados de desinfectar.
Sencillamente se trata
de un troyano.
Un troyano es un virus que viene escondido en otro
programa y que necesita ser
ejecutado por el usuario para instalarse en el
sistema. No es infeccioso, es
decir no tiene un trozo de codigo destinado a que el
virus infecte todo lo que
pilla, mas bien simpre forma parte del programa en el
viene o fue puesto. No
contamina a otros programas. Cuando se ejecuta el file
se instala y desaparece
dejando unicamente la huella de su efecto para el que
fue dise¤ado.
Si es detectable, aunque por las caracteristicas del
virus (troyano)la
malloria de los antivirus no lo detectan.
No trae efecto destructivo propiamente dicho. La
'destruccion' la causan los
espabilaos que se van colando en el ordenador y hacen
de sus malas gracias.
2.- Caracteristicas del BO
----------------------------
El BO en verdad es un programa que establece una
conexion cliente servidor
entre la victima y el espabilao.
El programa cliente forma parte del ordenata del
agresor mientras el servidor
debe ser instalado en el ordenata de la victima. Por
eso, la parte infecciosa
del virus no la trae el, sino que son las propias
personas quienes lo
distribuyen por las ventajas que el propio virus
facilita al agresor cuando
esta instalado.
Funciona en ventanukos95, osr2 y ventanukos98. Lo
unico que hace en su
instalacion es modificar una DLL del ventanukos a la
que a¤ade multitud de
nuevos comandos accesibles por el agresor desde su
ordenador.
3.- Comandos del cliente
--------------------------
- App add -
Sirve
para asignar una aplicadion a un puerto y tener acceso a ella
a traves
de ese puerto mediante via telnet. La mallor utilidad de
este
comando es cargar el command.com y asignarle un puerto.
ejemplo:
Exen location _parametres= c:\command.com
Port = 23
Ahora
se le hace telnet a la victima y veremos como se convierte en un shell del dos.
Esto abre oportunidades interesantes, como es ejecutar comandos de dos que
desde otro lado no podiamos. Si sabemos que la victima ya tiene un atacante que
ha abierto un HTTP server, le ejecutamos el comando netstat a la victima y
averiguamos asi quien es el otro atacante.
- App del -
Cuando
se abre una aplicacion se le coloca un ID (numero de
aplicacion abierta). Para borrar una aplicacion abierta necesitamos
ese ID.
Es el primer nimero que sale cuando abrimos la aplicacion.
- Apps list -
Lista
las aplicaciones abierta. Aunke las haya abierto otro
tambien
las muestra. Esto tambien abre muchas oportunidades...
pensad
pensad...
- Directory Create -
Crea
directorio. MD del dos
- Directory List -
DIR
del dos......lista directorios
- Directory remove -
Pues
este borra los directorios...
- Exports add -
- Exports delete -
- Exports list -
- File copy -
Copia
un fichero de un lugar a otro del ordenata de la victima.
- File delete -
Te
cargas lo que le pongas.
- File find -
Busca
un file en el ordenador de la victima. Es muy util cuando no
sabemos
donde esta un fichero que hemos abierto o subido.
Ejemplo: cuando hacemos un keylog.
- File freeze -
Comprime
ficherillo en el ordenata de la victima.
- File melt -
Lo
descomprime.
- File view -
Es el
TYPE del DOS. Muestra el contenido de un fichero (de texto).
- Http Disble -
Desactiva
servidor HTTP
- Http enable -
Activa
servidor HTTP. Esto permite acceder al ordenador de la victima
mediante el navegador. Esta forma de hacerlo es la mas practica de
todas
pero la mas detectable. Estariamos al descubierto con un simple
netstat. El modo de funcionar es muy sencillo. Se le indica al bogui
el
puerto (ejemplo 83) y la unidad (ejemplo c:). Luego en el navegador
ponermos en el espacio de url: http://IP_de_la_victima:port. En
nuestro
ejemplo: http://234.432.123.53:83
Al
final de la pagina esta la opcion UPLOAD por si queremos dejarle algun regalo.
Si pinchamos sobre algun archivo nos lo bajamos o si es una imagen, un txt o un
html lo muestra directamente.
- Keylog begin -
Activa
el capturador de teclas. Podemos capturar asi todo lo que
escribe
la victima.
Se nos
pide el nombre del fichero donde se grabara.
Ejem:
C:\system.txt.
Luego
ya sea con file view o desde el HTTP server leemos el archivo
cada
'x' tiempo y sabes que hace.
- Keylog end -
Desactiva
el keylog.
- MM Capture avi -
Pues
eso...captura en ofrmato video lo que hace la victima.
Necesitamos especificar el nombre del fichero por un lado y el el
otro
los segundo y el tamaño de la imagen.
- MM Capture frame -
Captura
la pantalla pero se le puede dar dimensiones a la pantalla.
En
formato BMP.
- MM capture screen -
Captura
la pantalla tal y como es. Solo requiere el nombre del
fichero. Graba en BMP.
- MM List capture -
Lista
los procedimientos de captura que se estan llevando acabo...
- MM Play sound -
Hace
sonar un fichero wav que se encuentra en el ordenador de la
victima. Por lo tanto si queremos uqe suene algo nuestro priemro hay
que subirselo.
- Net connections -
Muestra
las conexiones netbios que estan en marcha.
- Net delete -
Borra
algun recuerso de red de netbios.
- Net use -
es el
comando NET USE de netbios. Asigna un recurso netbios a una
unidad.
Necesitamos pasword si es ke lleva. Normalmente si.
- Net view -
Es el
comando NET VIEW de netbios. Establece una relacion de los
recursos netbios abiertos.
- Ping host -
Pues
eso. Para saber si un host-victima esta en la red. SI en el
target
ponrmos tres subredes y la ultima con un '*' entonces escanea
ese
rango de ips. Ejemplo: si ponemos 234.231.432.* escaneara desde
234.231.432.1 hasta 234.231.432.255. Si sale PONG en la pantalla
receptora de mensajes es que tenemos victima.
- Plugin execute -
Ejecuta
plugin en ordenata de la victima. Hay que subirlo pues.
- Plugin kill -
Desinstala
plugin.
- Plugins list -
Lista
los plugins que hay.
- Process kill -
DEsactiva
los programas que iban en marcha.
- Process list -
Lista
d eprogramas en marcha...
- Process spawn -
Ejecuta
programas. Aunke cuando la he puesto en marcha la victima
siempre
ha desaparecido por lo que algunas veces igual se cuelga el
BO.
- Redir add -
REdirecciona
por t amodo de bouncer. Hace como de repetidor. A la
salida
del repetidor-victima tenemos su ip en lugar de la nuestra.
- Redir del -
LA
inversa de lo de antes.
- Redirs list -
Pues
eso....las lista.
- Reg create key -
Crea
una llave el archivo de registros del ventanucos.
- Reg delete key -
Se
cepilla la llave.
- Reg delete value -
Se
cepilla un valor del registro.
- Reg list keys -
Lista
las llaves...
- Reg list values -
Lista
valores...
- Reg set value -
Coloca
un valor en una llave del registro. Requiere nombre de la
llave
por un lado. Por otro tipo de dato:
S-
cadena de texto
B-
Numero binario
D-
Numeros decimales
y el
valor del dato...
- Resolve host -
Resuelve
la ip de un tercer host....
- System dialogbox -
Le
muesta una ventana del sistema a la victima. Se le indica el titulo de la
venta y
el texto que aparece en ella.
- System info -
Da
informacion acerca del host victima.
- System lockup -
Le
bloquea el ordenata....
- System passwords -
Le
saca los user y pass de las cuentas que hayan en el host y de
alguna
paginas web que han solicitado algun tipo de user/pass.
- System reboot -
Reinicia
el ordenata....
- TCP file receive/send -
Con
la ayuda de programas como netcat (esta en unix y en ventanucos)
se
pueden enviar y recibir ficheros. Segun el manual la linea del
netcat
seria: netcat -l -p 666 < file
4.- Consejillos
----------------
Como hemos visto hay varios comandos que nos permiten
hacer las mismas
funciones. Sin embargo segun se apliquen unas y otras
daran un toque minimo
de 'clase' o bien resultará chapucero, como ocurre en
la mayoria de los casos.
Cuando se detecta una victima..lo primero que se
deberia hacer antes que nada
es pedirle una info del sistema y capturar las
passwords, que a fin de cuenta
es lo que nos va a resultar mas util...y con
diferencia...
A partir de aqui las opciones son multiples.... pero
siempre unas denotan
mejores formas que otras como comentaba antes.
Si la finalidad es echarle un vistazo al disco duro, o
bien echarle un vistazo
a algun archivo de texto yo aconsejo los comandos
directory list y file view.
La otra manera de hacerlo seria o con el HTTP server o
con un Add application.
Sin embargo, estas ultimas estan en desventaja porke
como usar un port
establecido y continuo para realizar esto siempre es
muy detectable con un
simple netstat (comado que viene en el dos del
windows). Las victimas veran
una conexion establecida en el port 31337.
Sin embargo si se procede a bajarse algun archivo o
ver alguna imagen la
opcion mas rapida SI es el http server...aunke
corremos el riesgo descrito
antes.
Si nuestro objetivo es averiguar info de su sistema el mejor comando es el
system info y nada del Add application. Larazon es la
misma...el add
application se ve en un netstat.
SI se utiliza el Add Aplicattion cuando queremos
averiguar que conexiones
tiene establecidas. El comando que nos averigua eso
(netstat) no viene con
el vo y la mejor manera de verlo es haciendo un add
aplicattion del file
c:\command.com al puerto 23 (telnet). Conectamos con
telnet a la victima
('telnet IP_victima') y ejecutamos netstat. Esto nos
hace ver si tiene otro
atacante conectado....entre otras cosas.
Si la finalidad es hacerle saber que estamos ahi no se
debe:
- Insultar o despreciar con las ventanitas emergentes
(si se le pueden decir
otras cosas)
- Bloquear el host
- Resetear el host
- Borrar algo del host
- A¤adirle algo al host (sea directorios, files,
retocar autoexec, el
config..)
Yo creo que no es nada justo realizar nada de eso. Si
la finalidad es llamarle
la atencion coño...hacerlo con clase:
- Enviarle un archivo WAV con una advertencia grabada
y con musica de fondo..
yo tengo
uno..me quedo genial. Subirselo al host de la victima y hacerlo
sonar con
MMplay sound. A cuadros, se quedan a cuadros....
Sobre el keylog, cuando creais el archivo acordaros de
en cuanto podais y
despues de usarlo, borrarlo. Si se pretende llevar una
conversacion en
tiempo real y una vez activado el keylog, NO da tiempo
a combinar los
comandos System Dialogbox (para mandar mensaje) y file
view (para ver que
contesta). Entonces se puede proceder a una tecnica
mucho mas comoda aunque
corremos el riesgo de siempre (ser visto por el
netstat). La tecnica es abrir
un http server y pinchar alli, desde el navegador,
sobre el archivo creado por
el keylog. Asi podemos escribir desde el bogui los
mensajes y leer lo que
contesta (en el navegador) con solo cambiar de
ventana. Para actualizar el
archivo del keylog solo hace falta pulsar sobre el
reload del navegador.
Asi sale mas o menos en tiempo real la conversacion.
Una advertencia:
El BO es detectable con un detecta nukes (ICMPWATH) o
un firewall (CONSEAL)
o un TCP listen. Lo digo porke si estan en irc cuando
entrais vana ver la
conexion. Hay muchas probabilidades que no hagan
caso...pero el BO lo conoce
todo el mundo y cada vez es mas dificil camuflarlo.
5.- Detectores y Avisadores
----------------------------
Logicamente el BO se ha difundido muy rapido por su
facil manejo y las
posibilidades que ofrece. Por ello muy rapidamente
compañias y usuarios
se han puesto en marcha y ya estan muy difundidos los
detectores y avisadores.
Detactarlo lo detectan y lo borran (curan) la mayoria
de programas de virus:
- EL AVP (http://www.avp.com)
- La ultima version del Panda
- El ultimo McAfee
- Detectores como el BOdetect 1.5
(http://www.spiritone.com/~cbenson)
Luego tenemos los avisadores:
- EL NOBO en
portugues y ingles (http://web.cip.com.br/nobo)
Muestra un
mensaje y hace un log
- El BOSPY en
ingles (http://www.angelfire.com/id/chaplinhack)
Este es una
caña. Muestra todo conmo si estuvieras infectado pero la info
es
completamente falsa. Ademas de hacer tambien un log de quien conecta,
trae la
posibilidad de escribirle mensajes al atacante (y funciona!). Trae
las frases
que muestra por defecto (y son una kk) pero con un simple
editor
hexagesimal se convierte en una joya.
Por cierto
el fichero ocupa 150k o asi... todo lo que este por encima
o por
debajo...mal asunto.
--------------------------------------------------------------------
- {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} -
{Q#} - {Q#} - {Q#} -
--------------------------------------------------------------------
Escrito por eL Qva$aR ...... Http://quasar.timofonica.com
QuasaRR@geocities.com
Monografías
