-
bonjuan1
Bedava-Sitem Bağımlısı
|
 26.07.2009, 18:56 (UTC)
Mesaj konusu: Sub -7 Nedir? vs. |
|
|
SubSeven'ı uzaktan yonetim icin veya hackıng programı olarak kullanabilirsiniz. Zip dosyasının icinde iki tane program var bi tanesi server.exe bunu kurbanın bilgisayarında calıstırmalısınız netbustan filan girip upload edebilirisiniz. Sebseven.exe ise esas program her seyi bu program sayesinde yapacaksınız...
[ n a s ı l c a l ı s ı y o r ]
Kullanımı basit bi trojan. Kurban bilgisayarda server.exeyi calıstırıyorsunuz, gostermelik bi hata mesajı belirecek [soyle: error loading system resources]. bundan sonra program kendini otomatik hardiske kuracak, ve windows her acıldıgında o da acılacak. SubSeven.exe anaprogram netbus gibi bi sey her seyi bundan yapacaksınız.
[ o z e l l i k l e r ]
1.BÖLÜM “CONNECTION”
Burada sisteme bağlanmadan önce IP araması yapılabilir ve bağlandıktan sonra o bilgisayar hakkında ana bilgiler elde edilebilir.
IP scanner: Burada daha önceden server içinde patlamış pc’ler bulabilirsiniz. Yalnız şu bir gerçek ki burada bulunan IP’ler genellikle şifrelenmiş olduğu için çıkan IP’leri görünce fazla sevinmeyin ama yine de deneyin ne olur ne olmaz!!
Peki nasıl arayacaz IP’leri? Start IP yazan yere örn:212.125.135.1 end IP yazan yere de örn:212.125.135.255 yazıp “scan” e basın. Bir süre sonra IP’ler çıkınca kopyala yapıştır yapıp IP/UIN yazan yere yazdığınızda şansınıza dua etmeye başlayın. Not: delay en fazla 9 yapın -ki 1 de yapabilirsiniz-. Amaç şu ne kadar yavaş o kadar fazla IP. delay yükseldikçe hız düşer IP sayısı artar. Port yazan yeri kurcalamayın “27374” kalsın.
Get pc info : Fazla söze gerek yok. Bağlandıktan sonra “retrive” a basın ve işte her Bir şey karşısında yazıyor. Eğer n/a yazıyorsa o bölüm o pc’de boş bırakılmış yada server o bilgiye ulaşamamış demektir haberiniz olsun. Bilgiler ortaya çıktıktan sonra “save” e basıp txt olarak kaydedebilirsiniz.
get home info : Fazla söze gerek yok. Bağlandıktan sonra “retrive” a basın ve işte her Bir şey karşısında yazıyor. Eğer n/a yazıyorsa o bölün o pc’de boş bırakılmış yada server o bilgiye ulaşamamış demektir.
server options: Bağlandıktan sonra victim deki sizin bağlanmanıza yarayan server.exe’nin ayarlarını değiştirmenize yarar. Eğer bu dosyayı okuyorsanız bu bölüne fazla girmeniz sizin için iyi olmayabilir bağlanmışken Bir hata yapıp victimden düşebilirsiniz. Yok ben illa girecem diyorsanız zaten butonların üstünde ne işe yaradıkları yazıyor uğraşın yapın. Bol şans!!
IP notify : Bu bölüm bağlandığınız IP ye ileride tekrar bağlanabilmeniz için. Fakat icq ve e-mail için çalıştığını ne yazık ki söylemek zor. İlla da deneyeyim diyenler boşluklara gerekli bilgileri yazıp “enable” a tıklasınlar işte o kadar.
2. BÖLÜM “KEYS/MESSAGES”
keyboard: İşte en zevkli bölümlere girmeye başladık. Burada victimin klavyesini daha doğrusu victim ne yazarsa onu görüyor ve istersek o anda istenilen müdahaleyi yapabiliyorsunuz.
open key logger ı açınca karşımıza bu pencere çıkıyor ve “start logging” e tıklayarak victimin yazdıklarını okumaya, silmeye eklemeler yapmaya başlıyoruz J . Bazen bir DLL dosyası eksikliğinden dolayı sorun çıkabilir ve eğer bu dosya sizde mevcutsa upload etmek isteyip istemediğinizi sorar ve işleme devam edersiniz. Tabi isterseniz bu yazılanları “save” e basıp kaydedebilirsiniz.
yandaki bu send keys butonuna basınca karşımıza çıkan ekran karşı tarafın yazı yazdığı bölüme kendi yazdıklarınızı yolluyor. ( kendim bu özelliği fazla kullanmıyorum; zaten key logger işime yetip artıyor bile )
Diğer tuşlarda victimin offline iken yazdıklarını okumanıza ve silmenize yarıyor. VE DIKKAT en alttaki “disable keyboard” victimin klavyesinin sonunu hazırlıyor. Çünkü klavye sonradan “enable” edilemiyor.
bu karşınıza çıktığında “yeah” e basarken iyi düşünün (o kadar zalim olmayın canım J )
chat : victim ile veya victime bağlı diğer “client” larla chatleşmenize yarıyor. Önerim bunu kullanıp ne victimi ne de diğer clientları uyandırın siz ilk başta kendi işinizi görün.
matrix : (Allah korusun) eğer ben victimle daşşak geçmek istiyorum diyorsanız aha size fırsat. Victim e öyle Bir chat açıyorsunuz ki karşı ekranda şu gözüküyor : simsiyah background, fosfor yeşili yazılar ve bu ekranı kapatmanın hiçbir yolu yoook. Victim sadece cevap yazabiliyor ve siz, o daha cevabı yazıp enter lamadan ne yazdığını okuyabiliyorsunuz. “active the matrix” bu olayı başlatan buton.Yapacaksanız en son bunu yapın çünkü böyle bir şeyle karşılaşan victim 4/5 saniye sonra direkt fişi çeker J.
msg maneger : Hani bazen Windows bazı hata mesajları verir ya işte o biçimde victime mesaj göndermek istiyorsanız alın size hayal gücünüzü kullanıp değişik şekillerde mesaj yazabilirsiniz. Hadi kolay gelsin!!
spy : açık ve net victim e icq, aol, msn,yahoo messenger dan gelen mesajlar “enable” ettiğiniz takdirde size de gelecek.
ICQ takeover : victimin icq nosu yetmedi bide database i diyorsanız işte bu bölümde o pc de bulunan icq database leri “refresh list” basıp görüyorsunuz ve oradan “takeover”a basıp download ediyorsunuz işte bu kadar basit.
3. BÖLÜM “ADVANCED”
ftp/http : Victim e daha sonra ftp yoluyla bağlanmanıza yarayan hoş bir özellik. Denemediğim için size performansı ve hakkında detaylı bilgiyi veremiyorum. Kendiniz deneyin ve görün.
find files : Victimin pc sinde herhangi bir dosyayı aramanıza yarayan (örn: *.jpg, xxx.pwl ...) bir özellik. Birincisine kutuya ne arıyorsak, ikincisine aranmasını istediğimiz yeri yazıyoruz (örn: c:\ , c:\belgelerim ...) ve son olarak “find file(s)” tıklıyoruz. Detaylı arama için sub-directories e tick inizi koyun. “show previously found files” a tıklayarak daha önce aratılan dosyalar bulunabiliyor.
tıklayınca karşımıza yandaki pencere çıkıyor ve dosyalar listelenmiş oluyor. Eğer buradaki bir dosyaya hemen ulaşmak istiyorsanız listedeki dosyaya önce tıklayıp ardından “move list to file manager” a tıklayın ve istediğinizi yapın.
Passwords : İşte en sevdiğim yer. Victim in bütün şifreleri burada yatıyor. “get cached” pc deki paralı sitelere olan kayıtlı şifreleri veriyor. “recorded” pc ye kayıtlı olan bütün şifreler. “ras” internet şifresini veriyor. “icq” uin ve şifresini ; “aim” ise bulunan bütün şifreleri gösteriyor. Bu şifreleri çıkan kutulardaki “save” e basarak txt halinde saklayabilirsiniz.
reg edit : victim in registry ayarlarıyla oynayabilirsiniz.
app redirect : victim de DOS konutlarını çalıştırıyorsunuz. Command yazan yere komutu yazın ve “run dos command” e tıklayın.
port redirect : victimin port ayarlarını ve portlarını mahvedebilir ve aynı şekilde bunu kendi açınızdan pozitif yöne çekebilirsiniz.( bu biraz ileri derecede hackle uğraşanların kullanabileceği bir özellik bu sebeple fazla bir açıklamada bulunmuyorum boş verin bu bölümü canım)
4. BÖLÜM “MISCELLANEOUS”
file manager : victim in hard diskini görebilirsiniz ve ayarlamalar yapabilirsiniz. Kullanımı çok açık. Windows gezginini kullanabilen birisi iseniz sorun yok. Ama 1/ 2 hatırlatma. “display image” ,”play wav”, “print” karşı pc de çalışıyor. “get drive” yaparak hard diskin kaça bölündüğünü görür ve diğer bölüm(ler)e buradan geçersiniz.
windows manager : ctrl+alt+del e basınca karşınıza o anda pc de çalışan bütün her şey dökülüyor ya aha işte aynısının victimin pc sindeki versiyonu. “refresh” le listeyi görür; “focus” la onu ön plana çıkarır; “close” la kapatır; “disable x” le pencerenin sol üsteki x lerini ortadan kaldırır... yani anladınız umarım
process manager : windows un ve victimin internete bağlıyken kullandığı diğer programların çalışmasına yarayan dll, sys,... dosyaları gösteren olay. “refresh”le görüp çıkan listede dosyanın üzerine tıklayıp “kill app” le dosyayı kapatıyorsunuz; “tread priority” ile o dosyayı Bir güzel zorluyor ve hata yapmasına neden oluyorsunuz.
text to speech : yukarıdaki boşluğa ne yazarsanız aynısını karşı pc nin hoparlöründen İngilizce olarak söyletebilirsiniz. Yalnız bu programı çalıştırmak için “text2speechtool” un victimde yüklü olması lazım.
clipboard manager : size yemin ederim ben bunun ne işe yaradığını hala anlamadım genellikle “read..” dediğinizde boş çıkıyor. Bense “set..” e basıp bir şeyler sallıyorum sizde öyle yapın J.
irc bot : irc den nefret ettiğim için hiç kullanmadım ve bu sebeple bu konu hakkında hiçbir fikrim yok ilgili arkadaşlar yardımcı olursa sevinirim.
5. BÖLÜM “FUN MANAGER”
desktop/web cam : victimin ekran ve varsa web cam görüntüsü.
“enable” edin ve o andaki ekran görüntüsünü alın “allow mouse clicks” le sizin o resim üzerindeki tıklamalarınız karşı pc de etkili olsun. Ha bu arada bu kutuyu kenarlarından çekip büyütebilirsiniz.
“full screen capture” la ekranın snapshot görüntüsünü download edersiniz.
“webcam capture” açık ve net. “start..” ve gelsin görüntü kanarlarında çekip büyütebilirsiniz.
flip screen : hangisini istiyorsanız onu tick leyin ve “flip..” e tıklayın. Victim faresine çift tıklayarak düzeltebiliyor ekranını.
print : boşluğa yazın ayarlayın ve “print text” e tıklayın. Çıktı bile J.
browser : victim in hangi siteye gitmesini istiyorsanız adresi tam olarak yazın ve “open browser” a tıklayın.
resolution : ulan acaba victim in çözünürlüğü kaç diye merak eden arkadaşlara özel. “refresh” le ne var ne yok gör sonra istediğine tıklayıp “change” de, anlaştık.?!
win colors : şu ekranın etrafını saran gri çerçevelerden(system tray, başlat...genelde gridir diye düşünüyorum) backgroundundan falan kesin victimim sıkılmıştır diyen kardeşler artık üzülmeyin sub7 size değiştirme fırsatı veriyor. Renklerin üzerine tıklayıp ayarlarınızı yapabilir, “test” e basıp nasıl gözüktüğünü ilk önce kendi pc nizde görebilir “change” e basıp karşı pc de değiştirebilir, “restore default colors” diyip eski haline geri döndürebilirsiniz hadi kolay gelsin.
6. BÖLÜM “EXTRA FUN”
screen saver : ayarlarınızı yapın “save settings” diyin ve “run” layıp karşı pcde çalıştırın screensaverınızı.
restart win : fantezilerinizi gerçekleştirip değişik şekillerde victim pc yi kapatın.
mouse : karşı tarafın zavallı faresini alın ister tuşların yerlerini değiştirin(reverse),ister gizleyin(hide), ister sonuna kuyruk takın(trail), isterseniz victimin faresinin kontrolünü elinize alın (move/control) siz kendi farenizi nereye götürürseniz victim faresi oraya gitsin. Not hepsinin zıttı o kutunun karşısında.
sound : “benim victim imin sesi güzeldir” diyorsanız “start recording” deyin ve bekleyin dosya gelince “play...” e basıp dinleyin.(karşı mikrofon açık olmalı). Yada victimin ses ayarlarıyla oynayın.
time/date : tarih saat ayarlarıyla oynayıp zevke gelin.
extra : tuşları,monitörü CDROM u vs. açıp kapatın.
7.BÖLÜM “LOCAL OPTIONS”
Fazla bir şey dememe gerek yok. Client inizin pc nizdeki yeri ve client iniz ile ilgili şahsi ayarlarınızı yapabilirsiniz yani gerisi size kalmış benden bu kadar .
Kaldırma
Açılan CD sürücüleri, ekranınızda görünen mesajlar, saçma yazılar basan yazıcınız.... tümü birisinin bir trojan ile makinenizin kontrolünü ele geçirdiğinin işareti. İlk yapılması gereken:
Bir dos komut penceresi açın ve 'netstat -a' yazın. Bu sizde açık olan portları listeleyecek ve size kimlerin bağlı olduğunu gösterecektir. Port`lara bakın ve şüpheli olanlara dikkat edin. Sub7 varsayılan portları eski sürümler için 1234 ve yeni sürümleri için 27374 fakat sunucunun hangi portu dinleyeceği kullanıcı tarafından belirlenebilir. Eğer şüoheli bir porta bağlantılar görüyorsanız muhtemelen sunucu o portu dinliyordur. Emin olmak için, dos komut penceresinde telnet 127.0.0.1 port (port yerine şühelendiğiniz port numarasını) yazın. Eğer sunucu şifre korumalı ise PWD, değil ise aşağıdaki gibi birşeyle karşılaşabilirsiniz:
connected. time/date: 14:27.09 - July 8, 2000, Saturday, version: M.U.I.E. 2.1
Tabiki tarih, saat ve sürüm farklı olabilir fakat genelde bu şekilde görülür.
Şimdi sisteminizde trojan olduğunu biliyorsunuz. İlk çalıştırıldığında sunucu C:\windows dizininde, kullanıcı tarafından belirlenmiş yada gelişigüzel bir isimle bir .exe dosyası yaratır. Internet`te 'regedit`i çalıştırın, şunu silin bunu silin, şu virus tarayıcısını çekin, şu trojan bulucuyu kurun' diyen siteler bulabilirsiniz. Bu bir süre öncesine kadar doğruydu. Fakat artık yeni bir çözüm var. Sub7 anasayfasına gidin (subseven.slak.org) ve en yeni sürüm 2.1 Bonus`u çekin. Bu istemcide (Client) bir şifre geçme (bypass) özelliği var. Unzip edip subseven.exe`yi çalıştırın. 'IP/UIN' kısmına 127.0.0.1 ve 'Port' kısmınada sunucunun çalıştığı port numarasını yazın. Şifre sorulduğunda veya sorarsa enter`a basın. Şimdi 'Connection' menüsünü açın. 'Server Options' a tıklayın, sonra 'Remove Server'a tıklayın ve onaylayın. Eğer bir şekilde bu çalışmaz ise (eğer makinanızdaki sunucu 2.1 Bonus ise çalışmaz) yada makinanıza download etmek istemiyorsanız c:\windows dizinine gidin ve 373kb boyutundaki dosyayı bulup silin. Buda problemi çözecektir. Ayrıca sunucuyu başlatan 'metod'uda kaldırmak isteyebilirsiniz. Bunun için 'Kullanım 1 - Sunucuyu modifiye etme' bölümünü okuyun ve belirttiğim yazıları bulup kaldırın.
Bazı 'hackerlar' (bu programı kullanmak sizi 'l33t hax0r' yapmaz) netstat`ı silecek kadar akıllı davranabilir. Bu durumda (her durumda olması iyi aslında) NetMon
gibi size açık portları ve bağlantıları gösterecek bir ağ monitör programı kullanabilirsiniz.
Bir sğre sonra Sub7`ın yeni bir sürümü çıkacak ve yukarda sunucuları kaldırmada anlattığım 'Bonus' sürümü download edilemeyecek. Pek çok kullanıcı şifre geçme özelliğinin kaldırılması konusunda Mobman`e şikayetlerde bulunacak. Yeni sürümde bu özelliğin kaldırıldığını görüyorum. Yeni sürümler belkide bu şifre geçme özelliğinden etkilenmeyecek, bu yüzden yukarda anlattığım (sunucunun ve çalışma satırlarının manuel olarak silinmesi) diğer metodlar gerektiğinde kullanılabilir.
Korunma
Başkası tarafından kontrol edilmenizi önlemenin en basit yolu 'dost' larınızın gönderdiği çalıştırılabilir dosyaları (exe vs) çalıştırmamaktır. Eğer Internet`ten edindiğiniz dosyaları makinanızda çalıştırmak istiyorsanız aşağıdaki tavsiyeleri uygulayın:
- Elinizdeki herşey ile tarayın. Bunun Sub7`a karşı etkisiz olduğundan daha önce bahsettim fakat siz yinede yapın. Belki eski bir sürümüdür.
- Dosya boyutuna bakın. Sub7`ın yeni sürümlerinin boyutu 373kb fakat akıllı bir kullanıcı trojanı ufak bir oyun yada benzerine eklemiş olabilir. (ki bu durumda bu metodu kullanamazsınız) Eğer bir arkadaşınız sizden ilk yazdığı C programını test etmenizi isterse ve dosyanın boyutu 10k ise sorun yok demektir.
- Sub7`ı çekin ve size gönderilen exe`yi editserver.exe ile açmayı deneyin. 'Read Current Settings'e tıklayın. Eğer 'Invalid server, proceed anyway?' derse Sub7 olmama ihtimali yüksek (fakat başka bir trojan olabilir). Eğer bir şifre sorar yada ayarları gösterirse, o zaman Sub7 demektir. Eğer şifre yoksa sizi hack etmeye çalışan kişi hakkında ICQ UIN, email adresi gibi bilgileri edinebilirsiniz.
- Son olarak, eğer gelen dosyanın temiz olduğuna eminseniz, c:\windows dizinine gidin, dosya aramak için CTRL+F`e basın, ('Include Subfolders' işaretli olmasın) ve son bir gün içinde yaratılan exe`leri arayın. Burdaki çıktıyı not edin ve size gelen dosyayı çalıştırdıktan sonra tekrar arama yapın. Eğer yeni bir exe var ise herşeye rağmen Sub7 olması muhtemel ve yukarda anlatılan kaldırma metodlarını uygulmanız gerekli. Ayrıca exe`yi çalıştırdıktan sonra sisteminizde yeni bir port açılıp açılmadığına netstat yada diğer bir ağ monitör programı ile bakın.______________ 
|
|
