La completissima guida al sommergibile più famoso della rete
SubSeven 2.2
by luca29t
|
La completissima guida al sommergibile più famoso della rete SubSeven 2.2 by luca29t |
|
|
Infettati dal server2.2
Quando siete stati infettati dal server2.2 ,puo' succedere questo: a -avete eseguito il server ma non e' successo niente .mmh! b -avete eseguito un giochino stupidissimo e il server si e' installato. c -avete visto un messaggio di errore (classico!) ed il server si e' installato. d -avete aperto un giochino stupido che vi ha dato un messaggio di errore,e il server si e' installato.
Quando viene eseguito, il server2.2 si copia automaticamente" con un nome casuale " in C/WINDOW/SYSTEM e se l'opzione "melt server after installation" e' abilitata il server2.2 sparisce come di incanto! Notiamo anche che le icone non sono perfettamente uguali a quelle di default del sistema: Quando troviamo il server2.2 come in figura ,non sara' possibile eliminarlo perche' vi dara' un messaggio che il programma ovviamente e' in uso ,allora dobbiamo riavviare in modalita' provvisoria premendo f8 al riavvio e poi eliminarlo ,ma prima eseguire la rimozione come da metodo #7
Rilevando il server 2.2 Il server 2.2 non si rivelerà nel taskmanager quando premete Ctrl-Alt-Del, perché si registra come servizio di sistema.Con windowXP bisogna premere "processi" dal taskmanager .Oppure dovete usare ad esempio My Top (http://www.codeproject.com/system/mytop.asp?print=true) sara' visibile come processo del sistema da un programma in Windows/system32 con un nome casuale, per esempio xgohbggd.exe . Il server 2.2 funziona alla partenza di window da parecchie posizioni possibili.
in window XP start\esegui\MSCONFIG.EXE
La versione 2.2 di subseven non compare come porta in ascolto usando il comando netstat ma solo se la connessione e' stabilita.
Ostruire l'accesso al server Supponiamo che nel vostro PC abbiate installato un firewall Quando siete infettati, il server 2.2 può trasmettere un messaggio di notifica al proprietario ad ICQ, ad IRC o dalla e-mail. Ciò in sè dovrebbe innescare il vostro firewall ad avvisarvi e bloccare l'accesso a questi servizi di notifica . Il client può esplorare soltanto per i server installati, così se qualcuno (che vi abbia trasmesso il server per esempio) esplora per i server installati, il vostro firewall vi dara' avviso e blocchera' una richiesta TCP alla porta 27374 di default ad un processo ad esempio: xgohbggd.exe . Bloccando questo accesso, al client dovrebbe risultare che il server non e' installato o addirittura che non esiste il vostro IP.
Messaggio di allerta notifica ICQ (wwwp.icq.com porta 80
Messaggio di allerta notifica e-mail (mail.interfree.it porta 25)
Stessi messaggi di allerta di notifiche ,ma con uno dei migliori firewall in circolazione (secondo me.) scaricatelo da http://www.zonelabs.com/ e anche la guida zoneallarm
Metodi Il server 2.2 si lancia alla partenza del sistema operativo , da 8 posizioni possibili. Potrebbe persino lanciare dalle posizioni multiple.
a -Registrazione: HKLM\Software\Microsoft\Windows\CurrentVersion\Run, b -Registrazione: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices (no window XP) c -WIN.INI, sezione [ finestre ], tasto 'run={server}.exe ' (no window XP) d -SYSTEM.INI, sezione [ caricamento del sistema ], tasto 'shell=Explorer.exe { server}.exe(no window XP) e -Registrazione: HKCR\exefile\shell\open\command versione 2.0 soltanto f -C:\EXPLORER.EXE versione 2.2 soltanto g -Valore } di HKLM\Software\Microsoft\Active Setup\Installed Components\{random versione2.2 soltanto h -C:\WINDOWS\SYSTEM\{random}\{server}.exe(system32 in window XP)
Metodo #1 Apriamo il nostro ben amato regedit.exe (menu start/esegui/regedit) e andiamo sulla chiave : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run e cancelliamo la stringa che ha un valore C:/window/system32/nome casuale del server 2.2 / (per sapere quale' il nome del server leggete il paragrafo "Rilevando il server 2.2" ATTENZIONE! il nome "RunDLL32 "e' di default cio vuol dire che probabilmente sara' stato cambiato .
Metodo #2
Apriamo il nostro ben amato regedit.exe (menu start/esegui/regedit) e andiamo sulla chiave : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices e cancelliamo la stringa che ha un valore C:/window/system32/nome casuale del server 2.2 / (per sapere quale' il nome del server leggete il paragrafo "Rilevando il server 2.2" ATTENZIONE! il nome "RunDLL32 "e' di default cio vuol dire che probabilmente sara' stato cambiato .
Metodo #3 Aprite il file Win.ini con il blocconote e cancellate la stringa che segue dopo il "RUN=" soltanto per le versioni window 9x
Metodo #4 Aprite il file System.ini con il blocconote e cancellate la stringa che segue dopo il "shell=Esplorer.exe. soltanto per le versioni window 9x
Metodo #5 Apriamo regedit.exe (menu start/esegui/regedit) e andiamo sulla chiave : HKEY_CLASSES_ROOT\exefile\shell\open\command e cancelliamo quello che c'e' prima di "%1"%* ATTENZIONE! questo metodo non e' mai usato dal server2.2 ,non fate modifiche al registro perche' questa chiave e' usata da tutti gli eseguibili e potrebbe recare problemi .Dovete cercare in rete altre info sulla versione precedente di sub7.
Metodo #6 Ingannevole? mha! poiche' C:/EXPLORER.EXE e' lanciato all'avvio senza alcuna chiave di registrazione dovuto probabilmente ad un difetto di Window95 , all'avvio ,Window legge la riga di comando in System.ini e cerca EXPLORER:EXE in C:/ e trova il nostro server2.2 come in figura qui sotto. Allora apriamo il Blocconote e scriviamo :
[ cambi titolo ] poi salviamolo su C:/WINDOWS/WININIT.INI. poi riavviamo .
Metodo #7 Apriamo regedit.exe (menu start/esegui/regedit) e andiamo sulla chiave : HKEY_LOCAL_MACHINE\Software\Microsoft\ActiveSetup\InstalledComponents\jjpgt.exe e cancelliamo la stringa che ha un valore "C:/Window/System32/jjpgt.exe,poi andiamo nella cartella rispettiva C:/Window/System32 e cancelliamo il file come figura.
Metodo #8 Apriamo regedit.exe (menu start/esegui/regedit) e andiamo sulla chiave : HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolder e annotiamo il valore della stringa "startup" a C:/Window/AllUsers/MenuAvvio/Programmi/EsecuzioneAutomatica se troviamo un'altra copia del server2.2 ,dobbiamo cancellare la cartella ,ma non e' possibile poiche' e una cartella di sistema si dovra' operare dal DOS. soltanto per le versioni window 9x
Considerazione su System restore in Windows XP / ME A volte facendo la scansione con un buon antiviruzzz magari on-line sempre aggiornatissimo (consiglio http://virustop.interfree.it/ serve registrarsi) succede che risulta infettata da trojan e viruzz la famosa cartella _RESTORE .Non visibile ,dovete andare in "opzioni cartella\visualizzazzione\visualizza file e cartelle nascosti. Siccome Windows ME/XP sono dotati della funzione di "Ripristino di sistema", quando l' antivirus disinfetta o cancella un file infetto Windows esegue una "foto dello stato del sistema" e la conserva sotto forma di file .CPY nella cartella nascosta C:\_restore. Tale cartella è protetta da Windows contro la
cancellazione quindi, quando l' antivirus trova il file .CPY infetto, non riesce
a cancellarlo.
Soluzione? (spunto preso dal sito http://www.markyno.it/articoli/sysresxp.htm) Come tutti sanno in Windows Millenium era inclusa l'utilità di ripristino di configurazione (System Restore). Questa utilità serviva a creare dei punti di ripristino i quali memorizzavano la configurazione del sistema e se si installava un software che creava problemi si poteva ripristinare il sistema allo stato in cui era prima dell'installazione del software. Come ben sapete questa utilità serve nei casi piu semplici ma nei casi piu estremi System Restore nn serve a niente. Inoltre per disattivarlo bisognava compiere una procedura ben specifica. Una volta rimosso però la cartella c:\_restore cartella in cui venivano memorizzati i dati di system restore anche se rimossa manualmente si ricreava. System Restore ha fatto la sua prima comparsa in xp a partire dalla beta 1 2296 (che a quel tempo non era xp ma whistler) anche se disattivato. Nella build 2410 system restore era presente e funzionava "Abbastanza". Poi whistler si è evoluto ed è diventato xp e anche system restore si è evoluto. Il system restore che adesso andiamo ad analizzare è quello della build 2505 di xp, la rc1. Come aspetto diciamo che è simile a quello di WinME anche se rivoluzionato nella grafica.
A
Anche la disattivazione è estremamente semplice: basta andare sulle proprietà del sistema: click col destro su risorse del computer --> Proprietà ed andare nella scheda System Restore. Da li potrete scegliere se disattivare completamente system restore, quato spazio assegnare a system restore o addirittura disattivare system restore su una singola unità lasciando l'altra unità esempio la partizione in cui è installato windows il permesso a system restore di monitorarla.
Potete usare anche
Come rimuovere la cartella _RESTORE Se, applicando il tip precedente, avete disattivato il
System Restore (nella versione italiana è chiamato "Ripristino
configurazione di sistema") potete recuperare lo spazio che il programma
aveva destinato alla creazione dei vari punti di ripristino comportandovi così
come segue.
La migliore disinfestazione! Bhe' un buon metodo per disinfettarsi sarebbe quello di inserire il propio IP nel client del sub2.2 andare in opzioni server e clikkare su Remove Server .Peccato che sicuramente sara' protetto da password e allora non possiamo fare nulla . Se per qualche miracolo del celo trovassimo la password potremmo inserire il server che ci hanno rifilato nel Edit Server e cosi' scoprire l'indirizzo del destinatario ho il suo numero di ICQ e in seguito mandare una e-mail hai rispettivi abuse@.......
by luca29t
|
