interception attack pada tools trojan (Subseven)

Sebelumnya saya telah menjelaskan salah satu tools pada interception attack yaitu TCPdump.....

naah, sekarang saya akan menjelaskan tentang salah satu tools interception attack lainnya yaitu Subseven !!

Sub7 atau Subseven Emas (juga dikenal sebagai Backdoor-G dan semua variannya) adalah yang paling terkenal aplikasi backdoor Trojan yang tersedia. Anda dapat men-download file setup-Sub7 dari mana saja.

 

Beberapa program backdoor pengujian sistem dan telepon rumah untuk memungkinkan serangan di masa depan. Cara terbaik untuk mengetahui apa yang versi SubSeven kita terinfeksi adalah dengan menjalankan program antivirus diperbarui. Hal ini mirip dengan malware seperti Kembali Lubang dan Sub7 dalam bahwa tersangka sadar download backdoor melalui attatchment email. 

Subseven mencoba menggunakan ICQ, IRC dan berbeda e-mail account untuk memberitahukan penulis yang korbannya sedang online. Sub7 juga dapat membuat mesin korban bertindak sebagai zombie yang digunakan dalam serangan DDoS untuk menurunkan beberapa server Versi pertama dari SubSeven muncul pada Mei 1999. SubSeven 2.0 adalah hadir sejak September 1999 dan ditulis oleh MobMan disebut individu. Selain perpanjangan karakteristik di atas semua opsi konfigurasi untuk instalasi server diperpanjang. Ini trojan untuk platform Windows dibagi menjadi dua bagian: alat klien dan perangkat lunak server. Client dan program server, juga lagi Perangkat terkandung untuk modifikasi dari server yang sebenarnya "EditServer" di file Zip Asli. Download lampiran email yang terinfeksi bisa lebih buruk lagi!trojan ini adalah yang paling populer dan program Trojan Horse yang paling kuat yang tersedia untuk umum.

Screenshots: Main Interface

Ketika berjalan, salinan backdoor sendiri ke direktori Windows dengan nama asli file itu dijalankan dari atau sebagai SERVER.EXE, KERNEL16.DL, RUNDLL16.COM, SYSTEMTRAYICON. EXE! Atau WINDOW.EXE (nama berbeda di berbagai versi SubSeven). Kemudian membongkar sebuah single file DLL ke direktori System Windows - WATCHING.DLL. cacing ini juga dikenal sebagai Backdoor.Subseven. RAT ini atau alat administrasi remote bisa terdiri dari dua elemen: server (diinstal pada "workstation target" itu, dan klien yang digunakan oleh remote administrator.

Setelah itu backdoor patch Windows Registry sehingga aplikasi utama yang akan dijalankan pada setiap booting Windows (Jalankan atau tombol RunServices). Akhirnya, menciptakan dan memodifikasi beberapa Registry kunci lainnya. backdoor juga dapat menginstal sendiri ke sistem dengan memodifikasi 

baik WIN.INI file atau SYSTEM.INI

Screenshot: Korban Sub7 Pusat Kontrol - Trojan Remote Akses

           

Semua versi terbaru SubSeven dipasok dengan utilitas konfigurasi server yang memungkinkan untuk menyesuaikan kemampuan server bagian - metode instalasi, pesan startup kustom, dll metode ini pertama kali diperkenalkan oleh Lubang Kembali 2000 backdoor dan memungkinkan lebih banyak fleksibilitas untuk backdoors . Harap dicatat bahwa Troj/Sub7-2-13a adalah paket backdoor. Beberapa versi dari paket yang ada di Internet, pada tahun 2009.

Apa yang bisa sub7 benar-benar melakukannya?

SubSeven bisa melakukan apa saja untuk siapa pun.

• Internet download yang lambat

• Monitor SEMUA aktivitas online Anda (pembelian, chatting, mail)

• Aneh muncul kotak dialog

• Restart Windows

• Nonaktifkan antivirus atau firewall

• Shutdown komputer Anda atau reboot komputer Anda

• Log keystrokes

• Download File

• Buka server FTP pada mesin Anda

Sistem Terkena:• Windows 2000, Windows 95, Windows 98• Windows Me, Windows NT,WindowsXP

Dikenal port untuk TCP SubSeven::

•1243

•6711

•6712

6713

•6776

Dikenal versi terbaru:

• SubSeven Apocalypse

• SubSeven 2.1.1 Emas

• SubSeven 2.1.3 Bonus• SubSeven 2.1.4 DEFCO

• Subseven 2.1.5 Legend 

                                         

  Screenshot: Sub7 Klien Pusat Kontrol

Bagaimana menghapus Subseven?

trojan ini cenderung untuk menghindari deteksi virus karena kenyataan bahwa morphs, atau perubahan sedikit waktu masing-masing yang dikembalikan ke korban baru. Dengan menggunakan program backdoor seperti: netbus atau BackOrifice, penyusup bisa mendapatkan akses tidak sah ke sumber daya komputer yang ditawarkan.

Window utama. Memungkinkan hacker untuk mengubah pengaturan server yang berbeda. Seperti yang Anda lihat, salah satu opsi yang benar-benar menghapus server dari mesin host.

Cetak - Memungkinkan hacker untuk mencetak pada printer apa pun rumah Anda. Hal ini biasanya digunakan oleh pranksters.

.

Fun Manager - Salah satu yang menyenangkan "banyak" menawarkan fitur SubSeven. Ini adalah sisi lelucon-mainan dari malware ini.

Screen Capture diatas, memungkinkan hacker untuk menerima screen shot layar Anda terus menerus. Hal ini berarti bahwa apapun yang Anda lihat, chatting, e-mail, belanja online, hacker melihat juga. Hidup ini benar-benar feed dapat disimpan sehingga hacker dapat memutar kembali seperti film dan pergi ke informasi dia mungkin telah terjawab.

 

          File Manager. Memungkinkan hacker untuk menyalin, menghapus, mengubah nama, menjalankan file dikomputer Anda

Files on an infected machine:

• server.exe
• rundll1.exe
• systray.dl
• Task_bar.exe
• FAVPNMCFEE.dll
• MVOKH_32.dll
• nodll.exe

         

Screenshot - Mac Edisi: salah satu perintah berikut memuat beberapa remote (IP Beritahu, NumLock) Bagaimana hal ini beban, di mana menyembunyikanHal ini dapat diatur untuk menyembunyikan di hampir setiap direktori dan dapat diambil dari registri, SYSTEM.INI, Win.ini, dan tempat-tempat lain yang kurang dikenal beberapa. Sejak editor server yang datang dengan Sub7 memungkinkan kustomisasi startup, dan file executable yang sebenarnya, adalah mustahil untuk menentukan tempat yang tepat Sub7 menyembunyikan (karena berbeda dengan setiap file).

Subseven aplikasi mencoba menggunakan ICQ, IRC dan berbeda e-mail account untuk memberitahukan penulis yang korbannya sedang online.Semua Sub7 komponen (file) harus dihapus dari sistem yang terinfeksi untuk desinfeksi sukses.Worm tetes program Trojan explorer.exe \ untuk '' yang mengubah pengaturan yang berbeda IIS (berkaitan dengan Code Red) tCATATAN: Informasi ini disediakan untuk tujuan pendidikan saja

interception atack pada tools TCPdump

kali ini saya akan berbagi tentang apa itu TCPdump?


Sebelumnya kita harus tahu dulu, apa itu TCPdump..??

TCPdump merupakan salah satu program untuk penyadapan data(sniffer).
Dan dapat didefinisikan TCPdump adalah tools yang berfungsi mengcapture, membaca atau mendumping paket yang sedang ditransmisikan melalui jalur TCP.
TCPdump bisa digunakan untuk bertahan dan juga bisa digunakan untuk menyerang.
TCPdump ini juga seringkali digunakan oleh para cracker untuk melaksanakan perkerjaannya.

Perintah TCPdump akan bekerja pada sebagian besar sistem operasi Unix.                                                                                  
Perintah TCPdump memungkinkan kita menyimpan paket-paket yang ditangkap sehingga kita dapat menggunakan untuk analisis masa depan.


Berikut beberapa contoh tentang bagaimana menggunakan baris perintah TCPdump :


Hanya menangkap jumlah ke-N pada paket. Ketika dieksekusi perintah tcpdump, ini memberikan paket sampai membatalkan perintah tcpdump. Menggunakan opsi -c dapat menentukan jumlah paket yang akan ditangkap. Misal, hanya menangkap 2 paket dari intercafe eth0.
Menangkap tampilan paket dalam bentuk ASCII. Tambahkan opsi -A untuk mencetak paket dalam bentuk ASCII.

Menangkap tampilan paket dalam HEX dan ASCII. Beberapa pengguna mungkin ingin menganalisa paket dalam nilai hex, tcpdump menyediakan cara untuk mencetak paket dalam format kedua-duanya yaitu format ASCII dan HEX. Gunakan opsi -XX.
Menangkap paket dan menulis ke file tcpdump memungkinkan untuk menyimpan paket ke file. Kemudian dapat digunakan paket file untuk analisis lebih lanjut. Gunakan opsi -W. Opsi ini menulis paket kedalam file yang diberikan. Ekstensi file harus .pcapyang dapat dibaca oleh setiap protokol jaringan analyzer.

Membaca paket dari file yang disimpan. Dengan menambahkan opsi -r, ini dapat membaca file pcap lalu ditangkap dan melihat paket tersebut untuk di analisis.
Menangkap paket dengan alamat IP. Tambahkan opsi -n untuk menangkap paket dan ini akan menampilkan alamat IP dari mesin yang terlibat.
# tcpdump -w l_1024.pcap less 1024
Membaca paket lebih besar atau lebih rendah dari N byte. Ini hanya dapat menerima paket lebih besar dari jumlah n byte menggunakan filter greater melalui perintah tcpdump dapat pula menerima paket lebih rendah dari jumlah n byte menggunakan filter less.

Hanya menerima paket dari tipe protokol tertentu. Ini dapat menerima paket berdasarkan jenis protokol dan dapat menentukan salah satu dari protokol : fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp dan udp.
Menangkap paket untuk IP dan port tujuan tertentu. Paket akan memiliki IP sumber dan tujuan dan nomor port. Menggunakan tcpdump dapat menerapkan penyaring/filter pada sumber atau tujuan IP dan nomor port.
Menangkap paket komunikasi TCP antara dua host. Jika dua proses yang berbeda dari dua mesin yang berbeda berkomunikasi melalui protokol tcp, ini dapat menangkap paket-paket menggunakan tcpdump. Anda dapat membuka file menggunakan comm.pcap dengan network protokol analyzer untuk debug setiap potensi masalah

Menangkap paket dari antarmuka ethernet tertentu. Ketika dieksekusi perintah tcpdump tanpa pilihan apapun, itu akan menangkap semua paket yang mengalir melalui semua interface. Opsi -i memungkinkan untuk menyaring pada interface ethernet tertentu.

# tcpdump -i eth0

# tcpdump -c 2 -i eth0

# tcpdump -A -i eth0

# tcpdump -XX -i eth0

# tcpdump -w 08232010.pcap -i eth0

# tcpdump -tttt -r data.pcap

# tcpdump -n -i eth0

# tcpdump -w g_1024.pcap greater 1024

# tcpdump -i eth0 arp

# tcpdump -w xpackets.pcap -i eth0 dst 10.181.140.216 and port 22

# tcpdump -w comm.pcap -i eth0 dst 16.181.170.246 and port 22

Itulah penjelasan mengenai TCPdump semoga bermanfaat yaa.... :D