Bo para Torpes

Escrito por eL Qva$aR ...... Http://quasar.timofonica.com

--------------------------------------------------------------------

- {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} -

--------------------------------------------------------------------

MANUAL DE INSTRUCCIONES DEL BO (PA' TORPECILLOS)

------------------------------------------------

By eL Qva$aR - {Q#}

0.- Indice.

------------

1.- Que es el BO?

2.- Caracteristicas del BO.

3.- Comandos.

4.- Consejillos.

5.- Detectores y avisadores.

1.- Que es el BO?

Pues resulta que el BO no es mas ni menos que un virus. Lo que ocurre es que

es un virus muy potente pero muy sencillo. Potente, porque un ordenador

infectado con el BO permite a cualquier persona (conectada a internet) entrar

y disponer del PC completamente. Sencillo, porque no se trata de un virus

convencional. No es un virus con efecto destructivo y de esos tan infecciosos

y escondidos que son tan complicados de desinfectar. Sencillamente se trata

de un troyano.

Un troyano es un virus que viene escondido en otro programa y que necesita ser

ejecutado por el usuario para instalarse en el sistema. No es infeccioso, es

decir no tiene un trozo de codigo destinado a que el virus infecte todo lo que

pilla, mas bien simpre forma parte del programa en el viene o fue puesto. No

contamina a otros programas. Cuando se ejecuta el file se instala y desaparece

dejando unicamente la huella de su efecto para el que fue dise¤ado.

Si es detectable, aunque por las caracteristicas del virus (troyano)la

malloria de los antivirus no lo detectan.

No trae efecto destructivo propiamente dicho. La 'destruccion' la causan los

espabilaos que se van colando en el ordenador y hacen de sus malas gracias.

2.- Caracteristicas del BO

----------------------------

El BO en verdad es un programa que establece una conexion cliente servidor

entre la victima y el espabilao.

El programa cliente forma parte del ordenata del agresor mientras el servidor

debe ser instalado en el ordenata de la victima. Por eso, la parte infecciosa

del virus no la trae el, sino que son las propias personas quienes lo

distribuyen por las ventajas que el propio virus facilita al agresor cuando

esta instalado.

Funciona en ventanukos95, osr2 y ventanukos98. Lo unico que hace en su

instalacion es modificar una DLL del ventanukos a la que a¤ade multitud de

nuevos comandos accesibles por el agresor desde su ordenador.

3.- Comandos del cliente

--------------------------

- App add -

Sirve para asignar una aplicadion a un puerto y tener acceso a ella

a traves de ese puerto mediante via telnet. La mallor utilidad de

este comando es cargar el command.com y asignarle un puerto.

ejemplo: Exen location _parametres= c:\command.com

Port = 23

Ahora se le hace telnet a la victima y veremos como se convierte en un shell del dos. Esto abre oportunidades interesantes, como es ejecutar comandos de dos que desde otro lado no podiamos. Si sabemos que la victima ya tiene un atacante que ha abierto un HTTP server, le ejecutamos el comando netstat a la victima y averiguamos asi quien es el otro atacante.

- App del -

Cuando se abre una aplicacion se le coloca un ID (numero de

aplicacion abierta). Para borrar una aplicacion abierta necesitamos

ese ID. Es el primer nimero que sale cuando abrimos la aplicacion.

- Apps list -

Lista las aplicaciones abierta. Aunke las haya abierto otro

tambien las muestra. Esto tambien abre muchas oportunidades...

pensad pensad...

- Directory Create -

Crea directorio. MD del dos

- Directory List -

DIR del dos......lista directorios

- Directory remove -

Pues este borra los directorios...

- Exports add -

- Exports delete -

- Exports list -

- File copy -

Copia un fichero de un lugar a otro del ordenata de la victima.

- File delete -

Te cargas lo que le pongas.

- File find -

Busca un file en el ordenador de la victima. Es muy util cuando no

sabemos donde esta un fichero que hemos abierto o subido.

Ejemplo: cuando hacemos un keylog.

- File freeze -

Comprime ficherillo en el ordenata de la victima.

- File melt -

Lo descomprime.

- File view -

Es el TYPE del DOS. Muestra el contenido de un fichero (de texto).

- Http Disble -

Desactiva servidor HTTP

- Http enable -

Activa servidor HTTP. Esto permite acceder al ordenador de la victima

mediante el navegador. Esta forma de hacerlo es la mas practica de

todas pero la mas detectable. Estariamos al descubierto con un simple

netstat. El modo de funcionar es muy sencillo. Se le indica al bogui

el puerto (ejemplo 83) y la unidad (ejemplo c:). Luego en el navegador

ponermos en el espacio de url: http://IP_de_la_victima:port. En

nuestro ejemplo: http://234.432.123.53:83

Al final de la pagina esta la opcion UPLOAD por si queremos dejarle algun regalo. Si pinchamos sobre algun archivo nos lo bajamos o si es una imagen, un txt o un html lo muestra directamente.

- Keylog begin -

Activa el capturador de teclas. Podemos capturar asi todo lo que

escribe la victima.

Se nos pide el nombre del fichero donde se grabara.

Ejem: C:\system.txt.

Luego ya sea con file view o desde el HTTP server leemos el archivo

cada 'x' tiempo y sabes que hace.

- Keylog end -

Desactiva el keylog.

- MM Capture avi -

Pues eso...captura en ofrmato video lo que hace la victima.

Necesitamos especificar el nombre del fichero por un lado y el el

otro los segundo y el tamaño de la imagen.

- MM Capture frame -

Captura la pantalla pero se le puede dar dimensiones a la pantalla.

En formato BMP.

- MM capture screen -

Captura la pantalla tal y como es. Solo requiere el nombre del

fichero. Graba en BMP.

- MM List capture -

Lista los procedimientos de captura que se estan llevando acabo...

- MM Play sound -

Hace sonar un fichero wav que se encuentra en el ordenador de la

victima. Por lo tanto si queremos uqe suene algo nuestro priemro hay

que subirselo.

- Net connections -

Muestra las conexiones netbios que estan en marcha.

- Net delete -

Borra algun recuerso de red de netbios.

- Net use -

es el comando NET USE de netbios. Asigna un recurso netbios a una

unidad. Necesitamos pasword si es ke lleva. Normalmente si.

- Net view -

Es el comando NET VIEW de netbios. Establece una relacion de los

recursos netbios abiertos.

- Ping host -

Pues eso. Para saber si un host-victima esta en la red. SI en el

target ponrmos tres subredes y la ultima con un '*' entonces escanea

ese rango de ips. Ejemplo: si ponemos 234.231.432.* escaneara desde

234.231.432.1 hasta 234.231.432.255. Si sale PONG en la pantalla

receptora de mensajes es que tenemos victima.

- Plugin execute -

Ejecuta plugin en ordenata de la victima. Hay que subirlo pues.

- Plugin kill -

Desinstala plugin.

- Plugins list -

Lista los plugins que hay.

- Process kill -

DEsactiva los programas que iban en marcha.

- Process list -

Lista d eprogramas en marcha...

- Process spawn -

Ejecuta programas. Aunke cuando la he puesto en marcha la victima

siempre ha desaparecido por lo que algunas veces igual se cuelga el

BO.

- Redir add -

REdirecciona por t amodo de bouncer. Hace como de repetidor. A la

salida del repetidor-victima tenemos su ip en lugar de la nuestra.

- Redir del -

LA inversa de lo de antes.

- Redirs list -

Pues eso....las lista.

- Reg create key -

Crea una llave el archivo de registros del ventanucos.

- Reg delete key -

Se cepilla la llave.

- Reg delete value -

Se cepilla un valor del registro.

- Reg list keys -

Lista las llaves...

- Reg list values -

Lista valores...

- Reg set value -

Coloca un valor en una llave del registro. Requiere nombre de la

llave por un lado. Por otro tipo de dato:

S- cadena de texto

B- Numero binario

D- Numeros decimales

y el valor del dato...

- Resolve host -

Resuelve la ip de un tercer host....

- System dialogbox -

Le muesta una ventana del sistema a la victima. Se le indica el titulo de la

venta y el texto que aparece en ella.

- System info -

Da informacion acerca del host victima.

- System lockup -

Le bloquea el ordenata....

- System passwords -

Le saca los user y pass de las cuentas que hayan en el host y de

alguna paginas web que han solicitado algun tipo de user/pass.

- System reboot -

Reinicia el ordenata....

- TCP file receive/send -

Con la ayuda de programas como netcat (esta en unix y en ventanucos)

se pueden enviar y recibir ficheros. Segun el manual la linea del

netcat seria: netcat -l -p 666 < file

4.- Consejillos

----------------

Como hemos visto hay varios comandos que nos permiten hacer las mismas

funciones. Sin embargo segun se apliquen unas y otras daran un toque minimo

de 'clase' o bien resultará chapucero, como ocurre en la mayoria de los casos.

Cuando se detecta una victima..lo primero que se deberia hacer antes que nada

es pedirle una info del sistema y capturar las passwords, que a fin de cuenta

es lo que nos va a resultar mas util...y con diferencia...

A partir de aqui las opciones son multiples.... pero siempre unas denotan

mejores formas que otras como comentaba antes.

Si la finalidad es echarle un vistazo al disco duro, o bien echarle un vistazo

a algun archivo de texto yo aconsejo los comandos directory list y file view.

La otra manera de hacerlo seria o con el HTTP server o con un Add application.

Sin embargo, estas ultimas estan en desventaja porke como usar un port

establecido y continuo para realizar esto siempre es muy detectable con un

simple netstat (comado que viene en el dos del windows). Las victimas veran

una conexion establecida en el port 31337.

Sin embargo si se procede a bajarse algun archivo o ver alguna imagen la

opcion mas rapida SI es el http server...aunke corremos el riesgo descrito

antes.

Si nuestro objetivo es averiguar info de su sistema el mejor comando es el

system info y nada del Add application. Larazon es la misma...el add

application se ve en un netstat.

SI se utiliza el Add Aplicattion cuando queremos averiguar que conexiones

tiene establecidas. El comando que nos averigua eso (netstat) no viene con

el vo y la mejor manera de verlo es haciendo un add aplicattion del file

c:\command.com al puerto 23 (telnet). Conectamos con telnet a la victima

('telnet IP_victima') y ejecutamos netstat. Esto nos hace ver si tiene otro

atacante conectado....entre otras cosas.

Si la finalidad es hacerle saber que estamos ahi no se debe:

- Insultar o despreciar con las ventanitas emergentes (si se le pueden decir

otras cosas)

- Bloquear el host

- Resetear el host

- Borrar algo del host

- A¤adirle algo al host (sea directorios, files, retocar autoexec, el

config..)

Yo creo que no es nada justo realizar nada de eso. Si la finalidad es llamarle

la atencion coño...hacerlo con clase:

- Enviarle un archivo WAV con una advertencia grabada y con musica de fondo..

yo tengo uno..me quedo genial. Subirselo al host de la victima y hacerlo

sonar con MMplay sound. A cuadros, se quedan a cuadros....

Sobre el keylog, cuando creais el archivo acordaros de en cuanto podais y

despues de usarlo, borrarlo. Si se pretende llevar una conversacion en

tiempo real y una vez activado el keylog, NO da tiempo a combinar los

comandos System Dialogbox (para mandar mensaje) y file view (para ver que

contesta). Entonces se puede proceder a una tecnica mucho mas comoda aunque

corremos el riesgo de siempre (ser visto por el netstat). La tecnica es abrir

un http server y pinchar alli, desde el navegador, sobre el archivo creado por

el keylog. Asi podemos escribir desde el bogui los mensajes y leer lo que

contesta (en el navegador) con solo cambiar de ventana. Para actualizar el

archivo del keylog solo hace falta pulsar sobre el reload del navegador.

Asi sale mas o menos en tiempo real la conversacion.

Una advertencia:

El BO es detectable con un detecta nukes (ICMPWATH) o un firewall (CONSEAL)

o un TCP listen. Lo digo porke si estan en irc cuando entrais vana ver la

conexion. Hay muchas probabilidades que no hagan caso...pero el BO lo conoce

todo el mundo y cada vez es mas dificil camuflarlo.

5.- Detectores y Avisadores

----------------------------

Logicamente el BO se ha difundido muy rapido por su facil manejo y las

posibilidades que ofrece. Por ello muy rapidamente compañias y usuarios

se han puesto en marcha y ya estan muy difundidos los detectores y avisadores.

Detactarlo lo detectan y lo borran (curan) la mayoria de programas de virus:

- EL AVP (http://www.avp.com)

- La ultima version del Panda

- El ultimo McAfee

- Detectores como el BOdetect 1.5 (http://www.spiritone.com/~cbenson)

Luego tenemos los avisadores:

- EL NOBO en portugues y ingles (http://web.cip.com.br/nobo)

Muestra un mensaje y hace un log

- El BOSPY en ingles (http://www.angelfire.com/id/chaplinhack)

Este es una caña. Muestra todo conmo si estuvieras infectado pero la info

es completamente falsa. Ademas de hacer tambien un log de quien conecta,

trae la posibilidad de escribirle mensajes al atacante (y funciona!). Trae

las frases que muestra por defecto (y son una kk) pero con un simple

editor hexagesimal se convierte en una joya.

Por cierto el fichero ocupa 150k o asi... todo lo que este por encima

o por debajo...mal asunto.

--------------------------------------------------------------------

- {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} - {Q#} -

--------------------------------------------------------------------

Escrito por eL Qva$aR ...... Http://quasar.timofonica.com

QuasaRR@geocities.com