Hilfe liebe Nickles-Community!
Wenn der Verdacht besteht mir den Sub-Seven eingeheimst zu haben, wie kann ich diesen Trojaner entfernen, dass er wirklich auch weg ist?
Ich bitte Euch, mir unter meiner E-Mail Adresse Bernhard.Fronhofer@telekom.at oder Bernhard.Fronhofer@lion.cc oder Kbfrl@lion.cc oder über Nickles.de zu informieren, die ich von einem trusted Computer aus abrufen werde!
Danke im vorhinein!
refa (Anonym) (Anonym) „Sub Seven !!!“
ie Probleme häufen sich anscheinend bei Sub Seven. Ich hab hier nur eine klaine Hilfe gefunden. Ich hoffe das erklärt einiges.
1.Erstens extrahiert ihr die Dateien in ein Verzeichnis, dann startet ihr die SubSeven.exe , keinen falls den Server! So, un seid ihr im Programm.
2.Ihr braucht jetzt ein Opfer, wenn es euch jemand beliebiges tut, dann klickt mal auf Connection à IP Scanner und scannt eine der folgenden Ranges
(NIKOMA : 212.122.128.0 - 212.122.139.255
MOBILCOM : 212.81.192.0 - 212.81.255.255
T-ONLINE : 193.159.0.0 - 193.159.158.255
OKAY.NET : 194.29.44.0 - 194.29.47.255
TALKLINE : 195.252.172.0 - 195.252.183.255
CNS-NET : 195.226.96.0 - 195.226.102.255)
auf Port 1243 (alternativ könnt ihr 27374 testen) mit einem Delay (Verzögerung) von 4 (falls eure Verbindung lahm ist, wählt einen entsprechend
grösseren Wert). So nun drückt „Scan“.
3.In dem blauen Fenster dürften recht bald (höchstens 2 Min), viele infizierte PC’s erscheinen, die Adresse fügt ihr oben (wo IP/UIN steht) ein und
drückt dann auf „Connect“.
Wenn ihr Glück habt, habt ihr einen nicht Passwort geschützten PC erwischt, ansonsten habt ihr Pech gehabt (wie man die Passwörter crackt erkläre
ich mal in ’ner anderen Anleitung).
Macht das solange bis ihr einen habt der kein Password hat.
4.Sobald ihr connected seid, könnt folgendes tun (Nur wichtiges erklärt:
Ø Informationen über seinen PC abrufen (connection à get PC Info à retrieve)
Ø Server Options. Wichtig ist hier die Funktion „Update Server from local file“, damit könnt ihr falls nötig eine neue Version des SubSeven-Servers
hochladen, da alte Versionen nicht alle Features unterstützen, und instabiler sind ,solltet ihr immer die neueste Version drauf spielen.
Ø Benachrichtigung an euch sobald er online ist (connection à Ip notify), dann gebt ihr unter UIN eure ICQ Nummer ein und unter „Victim“ einen
Namen für das Opfer ein und drückt auf „Enabled“, dann kriegt ihr jedes Mal, wenn das Opfer online ist eine Nachricht per ICQ mit seiner IP, dann
könnt ihr euch wieder einloggen.
Ø Keylogger (keys/messages à keyboard ).”Open Keylogger“ (dann start drücken):. Startet das Aufzeichnen aller eingegeben Tastaturbefehle beim
Opfer (In dem Fenster seht ihr wenn er gerade was tippt). „Get offline Keys“: Zeigt die Kommandos an die das Opfer eingegeben hat seit der
Keylogger aktiv ist. Dazu müsst ihr nicht online gewesen sein, die Infos werden auf dem Opfer PC gespeichert und sind dann frei verfügbar.
Ø FTP Server auf seinem PC starten. (advanced à ftp/http à enable ftp). So könnt ihr der ganzen Welt Zugang zu den Daten des Opfers verschaffen
(Natürlich nur wenn er online ist.). FTP Adresse ist seine Adresse unter der man sich dann einloggen kann. FTP Port solltet ihr bei 21 lassen. Maximum
clients stellt ihr auf die Anzahl von Leuten ein, die Zugriff haben dürfen (gleichzeitig), wählt nicht so viele, da es sonst zu lahm wird. Root folder ist der
Ordner (inklusive Unterordner), der verfügbar sein soll. Und die Adresse, die dann unten angezeigt wird, braucht ihr, um euch über euren Browser
einzuloggen und die Daten zu erforschen. Sobald das Opfer offline geht, ist der Server auch beim Teufel und das Opfer hat beim nächsten einwählen
normalerweise eine andere IP, also sind die Daten dann unnütz.
Ø Passwörter (advancedà Passwords) hier könnt ihr euch Passwörter anschauen, die auf seinem PC gespeichert sind. (Beispielsweise für Icq oder den
DFÜ Account)
Ø Seine Festplatte erkunden (Miscellaneous àfile manager à refresh drücken) hier könnt ihr seine lokalen Dateien anschauen, löschen oder ändern, im
Gegensatz zu der ftp Variante, können sie aber nun nur Leute mit dem SubSeven Tools abrufen, also es ist kein Zugang für andere über den
Webbrowser möglich (je nachdem gut, ob ihr anderen die Dateien zur Verfügung stellen wollt)
Ø Schauen, was er gerade auf dem Bildschirm hat (Fun manager à Open screen preview à enable klicken) Nun seht ihr alle paar Sekunden was er
gerade auf seinem PC sieht.
Der Rest ist Spielerei, aber genaues könnt ihr ja selber rausfinden.
So nun noch die Erklärung, wie man den Server selber verschicken kann.
Startet „editserver.exe“.
Unter „Server“ stellt ihr ein, wo sich die „Server“-Datei befindet.
Markiert, falls gewünscht, ICQ notify, gebt eure UIN Nummer ein, dann kriegt ihr jedes Mal wenn das Opfer online ist eine Nachricht mit seiner IP per
ICQ zugeschickt.
Dann solltet ihr bind server with exe markieren, und irgendeine eurer Exen wählen, ein Spiel ist nicht schlecht, in der wird dann der server versteckt,
und sobald die Datei ausgeführt wird ist der Server installiert und der PC infiziert. (Tipp:ein Server in der autostart Datei einer CD ist nützlich um den
Trojaner zu verbreiten.)
Lasst den Rest bei den default Einstellungen
Klickt “save a new copy of the server with the new settings” gebt an wo die Datei (Eure exe mit server infiziert) gespeichert werden soll. Nun könnt ihr
sie an andere weiterleiten.
