Nackter Affe 1.2

© Umbra - Umbra2000@gmx.de

ShadowHackers: http://www.shadowhackers.de.vu/

 

 

NACKTER AFFE ist ein Trojanisches Pferd, das sich per E-Mail steuern lässt und die IP-Adresse des Opfers selbstständig übermittelt !

 

Inhalt

*   Aufbau und Grundprinzip

*   Das Konfigurieren

*   Der Einsatz

*   Befehle und Möglichkeiten

*   Deinstallieren

*   Vorteile und Hinweise

 

Aufbau und Grundprinzip

Nackter Affe besteht aus mehreren Teilprogrammen:

*  NackterAffe.exe stellt den eigentlichen Trojaner in seiner unkonfigurierten Form dar

*  Schaerfen.exe wird zur Konfiguration von NackterAffe.exe verwendet und erstellt einen einsetzbaren, konfigurierten Trojaner

*  Commando.exe stellt die Befehlszentrale dar, von der aus die Anweisungen für den konfigurierten Trojaner erteilt werden

*  Uninst.exe stellt ein Desinfektionstool für infizierte Systeme dar

Zum Betreiben von NACKTER AFFE benötigt man zwei E-Mail Accounts, die sowohl POP3 als auch SMTP-Zugang unterstützen. Hierzu sollte man E-Mail Dienste wie GMX verwenden.

 

Das Prinzip: Man konfiguriert die EXE-Datei des Trojaners (NackterAffe.exe) mit Hilfe des Konfigurationsprogramms Schaerfen.exe und schiebt die erstellte Programmdatei dem Opfer unter (z.B. per E-Mail). Wenn dieses das Programm zum ersten mal starten will, erscheint eine Fehlermeldung und das System wird heimlich infiziert. Jetzt wird sich der aktive Trojaner regelmäßig per E-Mail melden und die IP-Adresse des Opfers übermitteln. Über das Programm Commando.exe werden dem Trojaner per E-Mail Aufträge erteilt, die dieser dann ausführen wird.

 

Das Konfigurieren

 

Im folgenden Beispiel wird davon ausgegangen, dass wir zwei E-Mail Accounts „Angreifer@gmx.de“ und „Opfer@gmx.de“ erstellt haben !

Beide verwenden den POP-Server pop.gmx.de und den SMTP-Server mail.gmx.de. Das Kennwort von  „Opfer@gmx.de“ sei „strenggeheim“ und das von „Angreifer@gmx.de“ sei „paranoid“.

 

*   Schaerfen

 

Man öffnet mit "Unkonfigurierte EXE" die beiliegende Datei "NackterAffe.EXE".

Nun stellt man folgendes ein:

- eine E-Mail Adresse, von der allein die Befehle erteilt werden können

- einen POP-Server mit zugehörigem Benutzernamen und Kennwort, an den die Befehle geschickt werden

- einen SMTP-server mit zugehöriger Absende-Adresse über den Antworten verschickt werden sollen

- eine Empfangsadresse, die die Rückmeldungen (und IP-Adressen) erhalten soll

 

In unserem Beispiel bedeutet das:

 

Es werden nur Befehle von folgender Adresse verarbeitet:

Angreifer@gmx.de

 

POP-SERVER:

pop.gmx.de

 

POP-Kennwort:

strenggeheim

 

POP-Benutzername:

Opfer@gmx.de

 

SMTP-Server:

mail.gmx.de

 

Rückmeldung schicken an:

Angreifer@gmx.de

 

Absende-Adresse:

Opfer@gmx.de

 

 

Es handelt sich hier immer um POP-after-SMTP Zugänge ! Gegebenenfalls muss man seine E-Mail Accounts entsprechend einstellen.

 

Danach betätigt man "EXE-Datei konfigurieren" - eine neue Datei namens "Attacke.EXE" wird erstellt.

In diese wurden die angegebenen Daten verschlüsselt gespeichert.

 

 

*   Commando

 

Legen Sie hier zuerst die Einstellungen für den Versand von Aufträgen fest ! Diese können auch gespeichert und geladen werden.

 

In unserem Beispiel bedeutet das:

 

SMTP-Server:

mail.gmx.de

 

Absender:

Angreifer@gmx.de

 

Empfänger:

Opfer@gmx.de

 

(bei GMX gilt: SMTP-after-POP)

 

Kennwort:

paranoid

 

Benutzername:

Angreifer@gmx.de

 

Der Einsatz

 

Die bei der Konfiguration erstellte Datei Attacke.exe wird glaubhaft umbenannt und dem Opfer untergeschoben. Wird die Datei ausgeführt, erscheint eine unverständliche Fehlermeldung. Im Hintergrund wurde das System aber bereits heimlich infiziert.

 

Nach dem nächsten Bootvorgang ist der Trojaner aktiv.

 

Er testet jetzt alle 3 Minuten, ob eine Online-Verbindung steht. Sollte dies der Fall sein, so meldet er alle halbe Stunde per E-Mail die IP-Adresse des Opfers. Dadurch werden andere Angriffe möglich.

 

Unabhängig davon, prüft der Trojaner alle 3 Minuten während einer Online-Sitzung den E-Mail Account „Opfer@gmx.de“ (im Beispiel) ob neue Aufträge vorliegen. Sollte dies der Fall sein, wird eine Bestätigung über den Erhalt an den anderen Account „Angreifer@gmx.de“ (im Beispiel) geschickt und der Auftrag durchgeführt.

 

Der Trojaner besitzt eine selbstständige Fehlerkontrolle – sollte z.B. bei einer sehr geringen Bandbreite Probleme auftreten, kann es vorkommen, dass der Trojaner erst nach dem nächsten Booten wieder aktiv wird, um nicht durch Fehlermeldungen oder Systemabstürze Hinweise auf seine Existenz zu geben. Aufträge werden dann erst bei der nächsten Möglichkeit empfangen und ausgeführt.

 

Alle Befehle können jederzeit über Commando.exe vergeben werden.

 

Je nach Online-Verhalten des Opfers wird sich die Ausführung verzögern.

 

Die Bestätigungen bzw. Meldungen des Trojaners können auf herkömmliche Weise als E-Mails vom Account „Angreifer@gmx.de“ (im Beispiel) abgerufen werden.

Befehle und Möglichkeiten

 

Alle Befehle werden wie bereits erwähnt über Commando.exe erteilt.

 

Ein herausragender Befehl ist die Möglichkeit der Selbstzerstörung. Auf diese Anweisung hin wird sich der Trojaner selbst deaktivieren und sich mitsamt der Programm-Datei löschen. Es werden jegliche Spuren beseitigt !

 

Eine weitere sehr mächtige Funktion ist die NetBios-Freigabe. Dieser Befehl schafft nach dem nächsten Booten eine NetBios-Freigabe der Festplatte. Somit ist mit Hilfe der IP-Adresse der Zugriff auf Daten möglich über das Internet möglich.

 

Viele Aufträge sind nur in Verbindung mit NetBios-Zugriff sinnvoll. So kann eine upgeloadete WAV-Datei abgespielt oder ein beliebiger Text aus einer Upgeloadeten Datei mit Programm ausführen angezeigt werden (z.B. "Notepad c:\windows\erschrecken.txt").

 

Programm ausführen bietet weiterhin die Möglichkeit durch eigene Programme Erweiterungen vorzunehmen (wenn man diese uploaded und dann ausführt).

 

Alle anderen Befehle sind selbsterklärend.

Deinstallieren

Das beiliegende Programm Unist.exe kann auf jedem lokalen System den Trojaner mit allen Starteinträgen löschen. Zusätzlich sollten Sie beachten ob evtl. ungewollte Netzwerkfreigaben stattgefunden haben.

 

Vorteile und Hinweise

 

Nackter Affe wurde für Windows9x konzipiert.

 

Ich halte es für sehr wichtig, vor dem Ernstfall, den Einsatz sowie die Konfigurationen zu erst einmal am eigenen PC zu testen. (Einfach infizieren, booten und wie gewohnt Befehle erteilen --> später mit Unist.exe desinfizieren !).

 

Dieser Trojaner bietet folgende Vorteile gegenüber einem herkömmlichen:

- wird von Virenscanner nicht erkannt (ist eben zu unbekannt !)

- Man kann ihn zeitverzögert steuern (spart Online-Gebühren und muss nicht gleichzeitig mit dem "Opfer" Online sein)

- somit braucht man keine direkte Verbindung, die sich leicht von jeder Firewall zurückverfolgen lässt

- Die E-Mail Ports werden bei schlecht konfigurierten Firewalls/Netzwerken nicht ausreichend abgeschirmt

- Der Trojaner meldet sich von innen her selbstständig, so dass man das Opfer ohne langes Suchen anhand der IP-Adresse schnell wieder finden kann

 

Wichtig:

- jeder E-Mail-Server speichert Eure IP !

- Eine richtig eingestellte Firewall blockt auch diesen Trojaner !

- Die Konfigurations-Daten (z.B. E-Mail Adresse) werden zwar verschlüsselt gespeichert, lassen sich jedoch mit entsprechendem Wissen entschlüsseln

- ausgehend von der Log-Datei des E-Mail-Servers über evtl. die von Proxies bis zu Eurem Internet-Provider seid Ihr immer zurückverfolgbar !

 

à Also seid Euch der Gefahr bewusst, wenn Ihr dieses trojanische Pferd einsetzt - es ist zwar aufwendig, aber man kann den PC über den Ihr Befehle erteilt habt finden - wie bei jedem Trojaner ! Der Vorteil in diesem Fall ist wohl, dass nie eine direkte Verbindung zwischen Eurem PC und dem des Opfers besteht und so eine Verfolgung erschwert wird.

 

Die Paranoiden unter Euch können Commando.exe über ein entsprechendes Tool über mehrere Proxies betreiben.

 

 

Besucht die Homepage von ShadowHackers: http://www.shadowhackers.de.vu

 

Unterstützt bitte The-Phoenix-Network: www.the-phoenix-network.com !

 

 

Dieses Programm ist sicher noch nicht perfekt ! - Deshalb würde ich mich über jegliche E-Mail (also Anregungen, Fragen, Kritik, Bug-Report,etc.) freuen: Umbra2000@gmx.de

 

Zurück zum Seitenanfang

 

Version: 1.2 – 8.2001

 

 

© Umbra

Der Autor übernimmt für den Gebrauch sowie Schäden durch das Tools keinerlei Haftung ! Dieses Programm dient nur zu Demonstrationzwecken und darf niemals zum illegalen Einsatz verwendet werden. Der Autor distanziert sich von jedem illegalen Gebrauch und übernimmt hierfür keinerlei Verantwortung. Ich gebe der Menschheit nur ein Werkzeug, was diese damit dann macht, ist ihre Sache - und nicht mehr meine !