Tema: Dudas con Subseven

[jesus7]

Hola a todos,tengo curiosidad por el programa subseven,una amigo y yo queremos probar como funciona pero tenemos algunas dudas:
 La primera es que he conseguido el programa en una red p2p pero al intentar abrirlo el antivirus no me deja,está bien el programa pero el antivirus lo detecta como tal,incluso sin ejecutarlo?o cabe la posibilidad de que sea otro virus?
 2º El programa consta de tres partes la que instalaremos en el ordenador "victima" el que instalaremos en el ordenador que "controla" y una tercera de configuración o algo así ¿? Bueno mi duda es si una vez instalados los programas los dos ordenadores quedan igual de vulnerables a un posible ataque exterior,o sólo la victima sería suceptible de un ataque por parte de otros?
 3º que es un "exploits"?y por último creo que hay programas que se dedican a infectar a todos los ordenadores posibles,con el programa "victima" y que tu puedes no darte ni cuenta y tenerlo ahí dentro latente,esto quiere decir que si alguien instala la parte del subseven que controla y se dedica a entrar direcciones IP posiblemente acabaría tomando el control de algún pc.
 
 Gracias.
 (No pretendo entrar en el ordenador de nadie,quede claro)

[BuHo]

El unico ordenador que quedaría infectado es la víctima, porque se instala el servidor. El cliente solo es para acceder y tenerlo no te infecta.

Los antivirus llevan autoprotect asi que si vais a trabajar con virus es conveniente desactivarlo

Un exploit es una manera, código o programa, que sirve para aprovecharse de un fallo en algun programa.

[lobo15]

HoLA: GEnTE

Muy bueno aver si lo pruebo con las recomendaciones de buho...jejeje :wink:

[jesus7]

Gracias BuHo

[rocha]

mm...tendre que probar este chisme.... :twisted:

[lobodem2r]

mm...tendre que probar este chisme.... :twisted:

No se si merece la pena q lo pruebes.....cualquier antivirus lo detectará.....ya queda poca gente q no posea uno......y ten cuidado de donde lo sacas, jejejejeje, seguro q tb hay quien se dedica a modificar el cliente para q infecte......

Vamos, mi recomendacion es q no lo pruebes......aunq alguien q no ha probado ninguno no se si será la persona idonea para aconsejarte :roll:

Un saludo :wink:

[Liamngls]

Jajajaja , cusiosa apreciación la de lobodem2r , es algo que ya he pensado ¿ y si alguién modifica el troyano ? Vamos , es una simple cuestión de programación , seguro que se puede modificar para que cuando vayas a trabajar con él se te ejecute y te infecte,  teniendo en cuenta que tienes que desactivar el antivirus para poder ejecutarlo no te darías cuenta.....lo que se conoce como ir a por lana y salir trasquilado.

Curiosamente hace como un mes que quise probar uno y no lo hice porque tenía que desactivar el nod y no me fiaba de la procedencia del archivo :wink:

[rocha]

Jajajaja , cusiosa apreciación la de lobodem2r , es algo que ya he pensado ¿ y si alguién modifica el troyano ? Vamos , es una simple cuestión de programación , seguro que se puede modificar para que cuando vayas a trabajar con él se te ejecute y te infecte,  teniendo en cuenta que tienes que desactivar el antivirus para poder ejecutarlo no te darías cuenta.....lo que se conoce como ir a por lana y salir trasquilado.

Curiosamente hace como un mes que quise probar uno y no lo hice porque tenía que desactivar el nod y no me fiaba de la procedencia del archivo :wink:

...lo mismo digo, tengo ganas de probarlo perooo la sola idea de que tengo que desconectar mi magnifico Kaspersky me pone de los nervioss :roll:

saluditoss... :twisted:

[Liamngls]

De eso se trata , de tener cuidado :D

[MClaud]

A ver si sirve esta información, usenla con prudencia

El editor de SubSeven.
Una vez que hayan descargado el troyano en archivo zip (MUIE.zip), debe crear una carpeta en cualquier lugar de su ordenador y volcar todo su contenido en ella. Aquí deberá ser cuidadoso y analizar visualmente los archivos antes de proceder a su uso. Tenemos que identificar las tres partes básicas de un troyano: editor, cliente y servidor.
Para ello fijémonos en el nombre de los archivos. Esto es lo que nos encontramos cuando extraemos todo lo que hay dentro de MUIE.zip:
- EditServer.exe
- ICQMAPI.dll
- server.exe
- SubSeven.exe
- skins
Aquí está todo muy diáfano. EditServer.exe es el editor del servidor, server.exe es el servidor y SubSeven.exe es por lógica el cliente. ICQMAPI.dll es una librería para el correcto funcionamiento del cliente de Sub7. Sin esa librería no funcionaría el cliente en nuestro ordenador. La carpeta skins contiene archivos complementarios para el funcionamiento de algunas características de Sub7.

Vamos primero a decir que grosso modo el servidor es en realidad el programa que infecta. Es el programa que cuando la víctima haga doble clic sobre él, quedará infectada. Por tanto nunca hagan Ustedes doble clic sobre ese archivo o quedarán infectados automáticamente.

¿Y cómo controlamos entonces el servidor desde nuestro ordenador a través de Internet?. Aquí es donde entra el cliente. El cliente es un pequeño programa que nos permite controlar gráficamente todo lo que el servidor puede hacer en el ordenador de la víctima. Por tanto el cliente es la parte benigna e inofensiva del troyano. Por activar un cliente nunca infectaremos nuestro ordenador a pesar de que el antivirus indique lo contrario.

La tercera parte de Sub7 que nos interesa es el editor. Éste es un pequeño programa que configura, es decir, edita el servidor a nuestro gusto. Si no editamos el servidor, éste será también perfectamente operativo, pero no notificará hacia nuestra cuenta de e-mail o hacia nuestro canal de IRC. Es por consiguiente interesante saberlo manejar. Vamos con él.

Hagamos sin miedo doble clic sobre el archivo EditServer.exe. Previamente habremos desactivado el monitor de nuestro antivirus. No se corte Usted. Háganlo sin miedo.  

El cliente de SubSeven.
Pasemos ahora al ataque, es decir, vamos a manejar directamente el servidor mediante nuestro cliente. Para seguir este tutorial no es necesario que Usted infecte ningún ordenador: puede abrir el cliente y observar las funciones al mismo tiempo que va leyendo mi tutorial.  
Si desea seguir las lecciones en conexiones reales con el servidor, ésta es la vertiente más delicada en el uso de un troyano, así que yo le recomiendo que infecte su propio ordenador para hacer las pruebas o que infecte el ordenador de algún amigo que esté de acuerdo en realizar el experimento. Sin autorización de nadie no debemos infectar ningún ordenador. Aquí no estamos para dañar a nadie sino para aprender. Empecemos a aprender entonces.
Lo primero que vamos a hacer es abrir el cliente. No tenga miedo y atrévase a hacer doble clic sobre el archivo SubSeven.exe que está en su carpeta de SubSeven. He de advertirle una vez más que debe tener desactivado su antivirus para realizar el experimento. Aunque su antivirus indique que el cliente le va a infectar con el troyano Sub7 si usa el cliente, no le haga caso. ¡Eso no es cierto!. El cliente de un troyano nunca infectará su ordenador.

En "start ip" pongamos una IP cualquiera y en "end ip" podemos poner la IP que nos parezca pero en un valor más elevado que la anterior. En el ejemplo práctico de nuestro gráfico vemos que la primera IP es 193.152.228.1 y la segunda es más elevada (193.152.229.255). Los cuatro tercetos de números van desde 0 hasta 255. Una vez seleccionado el rango de IP, proceda a scanear la red en busca de infectados. Para ello pulse sobre "scan". La lista de IP infectadas irá saliendo en la pantalla de abajo con fondo azul claro. Con este método bastante tosco Usted podrá buscar más ordenadores infectados al azar por Internet y entrar en ellos si lo desea.

Pero el problema de realizar este tipo de scannings ciegos (sin saber a qué ordenadores apunta) es que alguien puede loguear nuestra IP cuando tratamos de acceder a un ordenador remoto. Esto podría traernos problemas, por lo que algunos hackers utilizan el propio ordenador de la víctima para realizar un scanning que realmente muestra la IP de la víctima y no la del hacker. Para ello deberemos estar conectados antes a una víctima y luego pulsar sobre "remote scan". Cuando decidamos detener el scanning, deberemos pulsar sobre "stop remote scanner". Ésta es una función que convierte en cierto modo al ordenador infectado en un proxy.

Tengan cuidado en su manejo y sean éticos.