.:. .:. HACK BOYS .:. .:.

 

آشنايي با يك تروجان ايراني جديد

Amitis Trojan 1.1

سلام دوستان ، در اينجا میخوام یک تروجنو بهتون معرفی کنم و شمارو با طرز کارش آشنا کنم ، اسم این تروجن Amitis هست که جدیدترین نسخش 1.1 هست که توسط دوستم Stacked_shit نوشته شده و یک تروجن ایرانی حساب میشه و این تروجن قابلیت کلاینت - سرور داره . این تروجن در حال حاضر در سایت Astalavista که بنظر من بهترین و کاملترین سایت هک ، در قسمت تروجن & ویروس این سایت از نظر جدید بودن در رتبه اول هست .

حجم سرور این تروجن 104 kb هست و البته این تروجن احتیاجی به Plugin نداره و همچنین سرور این تروجن Undected هستش یعنی آنتی ویروس ها اونو تشخیص نمیدن ، این تروجن چند ویژگی جالب داره که یک نمونش گول زدن فایروال و دور زدن و عبور از اون . وقتی سرور باز میشه اکثر اوقات فایروال این موضوع را نمی فهمه که سرور میخواد به نت وصلش و اگه هم اخطار بده و قربانی جواب منفی بده ، بازم سرور خود بخود جزو برنامهای وصل شده به نت قرار می گیره .

این تروجن 80 تا دستور داره که میشه از آنها استفاده کرد مثل باز کردن و بستن CD Romقربانی و ... این تروجن بوسیله ویژوال بیسیک 6 نوشده شده و در ویندوزهای 9x-Me-2000 وXP کار میکنه و همچنین این تروجن از طریق پورت 2000 به سیستم قربانی وصل میشه و آن پورت را باز میکنه . البته این تروجن ضعفهایی هم داره که براتون در پایان مقاله توضیح میدم .



: Client " Amitis "

بوسیله کلاینت این تروجن شما میتونین به سیستم قربانی وصلشین ، حجم کلاینت 380 kb هست و اسم آن که در پوشه تروجن است Amitis.exe هستش و وقتی که سرور توسط قربانی باز بشه و ایمیل براتون بیاد ، شما بوسیله مشخصاتی از جمله پورت 2000 و آیپی قربانی با این کلاینت می تونین به سیستم اون وصلشین و کنترل کامل کامپیوتر قربانی را بدست بگیرین . در کلاینت گزینه های زیادی هست که استفاده از آنها خیلی راحت و آسان و احتیاج به توضیح بیشتری نداره ، از جمله کنترل کامل IE طرف ویا کنترل یاهو مسنجر طرف و همینطور قسمتهای extra fun که خودش منوها و فهرستهای زیادی داره ولی استفاده از این فهرستها بستگی به باز کردن Server.exe داره که شما برای قربانی فرستادین .

Server.exe

همونطور که می دانید اکثر تروجنها قابلیت کلاینت / سرور دارن ،این تروجنم همینطور و شما باید در ابتدا سروری با مشخصات خودتون بسازین و برای قربانی یا همان کسی که میخواین هکش کنین بفرستین ، سرور این تروجن Undected هست و آیکونشم شکل قلب که وقتی اجرا یا باز بشه در برنامهای وصل شده به نت فایروال قرار می گیره با اسم یاهو مسنجر و آیکون قلب و خیلی راحت فایروالو دور میزن که این شامل زون الارم 2.6 و نورتن فایروالم میشه و بعد فایروالو از کار میندازه .

سرور زمانی که اجرا میشه 5 کپی از خودش می گیره و در ویندوز و بعضی از پوشه های اون میشین و همینطور در Startup با یک اسم تصادفی که اسم عوض شدهً سرور توسط هکر میشین و خود بخود به نت وصل میشه و سرور کلیدهای ctrl+alt+del از کار میندازه تا قربانی نتونه از این راه Restart کنه . ولی خب سرور این تروجن برخلاف اکثر تروجنها تو رجیستری قرار نمی گیره و در Run -Run service نمی شینه ولی در Win.ini میشین و همچنین سرور هنگام باز شدن به ایمیل ذخیره شدش اطلاعات قربانی را می فرسته از جمله آیپی و پورت و ... که این آِیپی و پورت باید در قسمت بالای کلاینت وارد شه تا هکر بتونه به سیستم قربانی وصل شود که البته باید این اطلاعات به ایمیلی ارسال شه که هکر اونو در هنگام تنظیم سرور داده که قاعدتاً یکی از ایمیل های خودش هست حالا یا ایمیل را هک کرده یا خودش ساخته .

همچنین سرور برخلاف اکثر تروجنها که در پوشه Windows/System می شینن در این پوشه قرار نمی گیره اما در پوشه خود ویندوز میشین یعنی در این جا :

drive :\ windows و با آیکون قلب و حجمش هم 104 kb هست و با اسم Rename شده توسط هکر ، برای مثال اگراسم سرور با اسم LoveBaby.exe عوض شه هنگام باز شدن با همین اسم در ویندوز و Startup می شینه و برای پاک کردن آن باید اول فایل سرور را در Startup پیدا کنین که برای این کار برین تو Run و تایپ کنین msconfig و به Startup برین و آنجا دنبال اسمی مثل : load= Win.ini C:\windows\lovesexy.exe

بگردین و تیک کنار اونو بردارین و بعد از Restart از پوشه ویندوز نیز فایل سرورو پاک کنید و همینطور ارتباط سرورو به نت در فایروال قطع کنید و اونو که به اسم یاهو مسنجر و آیکون قلب پاک کنید .

Edit Server.exe

با این فایل Edit Server که 288 kb هست می تونین ایمیل خودتون را بدین که در سرور ذخیره شه و سپس برای قربانی بفرستین ، این تروجن با Smtp هات میل هیچ مشکلی نداره و من خودم چند نفرو با Smtp هات میل هک کردم ، کار با Edit Server این تروجن خیلی راحت ولی خب بازم من براتون توضیح میدم . شما وقتی Edit Server را باز کردین باید ایمیل بدین تا بتونین سرورا با ایمیل خودتون ذخیره کنید .

در قسمت ایمیل من بهتون پیشنهاد میکنم که یک ایمیل از هات میل بدین ، چون Defaulte این تروجن بر پایه هات میل . خب در قسمت Smtp هم تیک Auto Smtp بزارین باشه و Smtp را عوض نکنین مگراینکه بخواین ایمیل یاهو بدین ولی هات میل باشه بهتر و بعد هم Server.exe را انتخاب کنین تا این مشخصات در سرور ذخیره شه .

خب درست که این تروجن هنوز کمی مشکل داره و مثل Sub7 نمیشه ازش استفاده کرد ولی همین که یک تروجن ایرانیه مثل B-S خودش یک افتخار برای هکران ایرانی و آقای Vandad که این تروجنو نوشت داره نسخه جدید اونو نیز درست میکنه که قابلیت های بیشتری داره مثل Cache Password و Ras Password & ...

که با ویژول بیسیک داره روش کار میکنه و این خبرم بدم که به احتمال زیاد نسخه بعدیی Amitis به زبان سطح بالای C++ نوشت میشه .

+ احسان شیطون ; ۱٠:٥۸ ‎ق.ظ ; شنبه ۱۸ آبان ،۱۳۸۱
comment نظرات ()