               
                                        
                                 
                          
                                 
                                                  
                    
                     W a V e R ' s . H e a v y . I n d u s t r i e s
      
                  [][][][][][][][][][][][][][][][][][][][][][][][][][][]

 		             -= D . A . R . K . F . T . P =-            

                                         v1.1

                  [][][][][][][][][][][][][][][][][][][][][][][][][][][]

		              -=  http://www.whi.cjb.net =-



0. Legal

Non sono responsabile dell'uso che sar fatto di questo software. Non ne so niente, non l'ho mai visto, non l'ho scritto io, non c'ero e se c'ero dormivo. Per cui non mi venite a rompere se vi ritrovate dietro a dei tubi di ferro e avete bisogno di una lima, io non ve la porto. :)


1. Che roBba ?

WHI DarkFTP  un trojan che attiva un server FTP sul sistema che lo ospita e contemporaneamente si collega ad un server IRC, entrando in un canale con il nick della macchina (o dell'utente che in quel momento la sta usando) notificando che  online. In pratica, dopo averlo configurato e lanciato sul computer vittima, possiamo accedere alle risorse della machina attraverso un comunissimo client FTP (CuteFTP e simili) o anche un browser. Per conoscere se e quando un DarkFTP sta agendo  sufficiente entrare nel canale, attraverso il server che abbiamo scelto. Alcuni utenti del canale (probabilmente tutti, tranne voi) saranno host "infetti" da DarkFTP; il loro nick sar il nome della macchina che lo ospita (nel caso che esso sia pi lungo di 4 caratteri) oppure il nome della macchina e il nome dell'utente loggato in quel momento sulla macchina separati da un underscore. Sar sufficiente fare un /dns nick per ottenere l'IP della macchina, passarlo al proprio client FTP....


2. Principali funzionalit/Nuove funzionalit

- Accesso completo senza restrizioni al disco rigido del sistema (Win9x, con NT limitato ai permessi dell'utente che esegue DarkFTP)
- Accesso anonymous (porta FTP configurabile)
- Notifica tramite IRC (escludibile, server e chan configurabili)
- Autostart all'avvio del sistema operativo
- Numero di utenti contemporanei configurabile
- Completamente invisibile (Form/CTRL+ALT+CANC)

Novit nella versione 1.1

- Controllo sulle multiple istances (tnx StoLenByte :)
- Shutdown/Restart/Destroy del server tramite comandi su IRC
- Login e Password per il server FTP
- Disattivazione automatica di WRQ @Guard


3. Controllo remoto/Accesso al server/Firewall

In questa nuova versione  stata aggiunta la possibilit di controllare da remoto il server rendendone possibile il riavvio, lo shutdown e la distruzione. Per impartire un comando  necessario prima di tutto contattare tramite IRC il Dark (sempre che si sia attivata la modalit IRC) e in chat privata (NON IN DCC) inviare il comando da eseguire e l'username e la password separati dai duepunti. 

Se ad esempio vogliamo riavviare Dark ci andiamo in chat privata e scriviamo:

 restart username:password

Se vogliamo invece disattivarlo (al riavvio della macchina si riavvier) scriviamo:

 shutdown username:password

Se infine vogliamo eliminarlo del tutto (non partir al riavvio) scriviamo:

 destroy username:password

E' importante che vi sia spazio tra il comando ed il blocco user:pass e che sia l'user che la pass siano scritti esattamente come all'interno del file, quando l'avete configurato. In questo caso, come nel caso dell'FTP il login e la password sono *CASE SENSITIVE*. Ovviamente login e password sono gli stessi dell'FTP. Nel server FTP  possibile specificare anonymous come login, grazie al quale qualsiasi password andr bene. Ricordate che per per i comandi su IRC sar necessario specificarla. In pratica, se ad esempio avete configurato Dark coi seguenti parametri: FTPUSR:anonymous e FTPPWD:bill@gates.com (quelli di default) per loggarsi all'FTP sar sufficiente inviare come login "anonymous" e come password qualsiasi cosa mentre per impartire comandi da IRC sar necessario inviare 

anonymous:bill@gates.com ComandoDarkFTP

Ultima innovazione,  stata aggiunta la routine che era presente in una utility che avevo rilasciato tempo fa e che serviva a disattivare @Guard, un noto firewall per Win9x della WRQ. In pratica Dark modifica (sempre che @Guard sia installato) le chiavi che riguardano il FireWall e lo apre completamente lasciando accesso a tutto, sia in ingresso che in uscita, per TCP e per UDP, su qualsiasi porta, sempre e senza logging. E' una piccola finezza e conto di aggiungerne una simile nella prossima versione, per saltare il Conseal, altro firewall molto diffuso. La routine  stata provata su @Guard 3.1 Trial ma dovrebbe funzionare su tutte le versioni. Fate delle prove in locale, se non siete sicuri....


4. Configurarlo

Per adesso non esiste un tool di configurazione per DarkFTP (per adesso, non disperate :) quindi la configurazione va eseguita manualmente, direttamente sull'eseguibile. Per fare ci occorre avere un editor (per es. AxE) col quale modificare le opzioni. Per prima cosa  consigliabile effettuare una copia del file originale; poi avviate l'editor, caricate l'exe e cercate al suo interno la stringa "SERVER:"; dopo i duepunti troverete (se il file  originale) un indirizzo (irc.funet.fi) al quale dovrete sostituire l'IP o il nome del server che volete utilizzare per far connettere Dark a IRC. Avete uno spazio massimo di 30 bytes dopo i duepunti (esclusi); NON ECCEDETE I 30 BYTES, altrimenti modificate un pezzo di codice che non riguarda pi la stringa che vi interessa. Stessa cosa vale per gli altri parametri; lo schemino riassuntivo spiega tutto (gli offset sono dei valori dei parametri; offset-1 deve essere uguale a ":", altrimenti c' qualcosa che non va).

---------------------------------------------------------------------------------------
  PARAMETRO  |         DESCRIZIONE          | OFFSET hex | LUNGHEZZA |     DEFAULT
---------------------------------------------------------------------------------------
   SERVER    | IP/Indirizzo server IRC      | 0x0004C78B | 30 bytes  | irc.funet.fi
   SRPORT    | Porta del server IRC         | 0x0004C7BB |  5 bytes  | 6667
   IRCHAN    | Nome del canale IRC          | 0x0004C7D3 | 30 bytes  | #whidarkftp
   FTPORT    | Porta del server FTP         | 0x0004C803 |  5 bytes  | 21
   NUSERS    | Utenti massimi contemporanei | 0x0004C81B |  2 bytes  | 1
   USEIRC    | Abilita o meno funzione IRC  | 0x0004C883 |  3 bytes  | YES
   FTPUSR    | Login per il server FTP      | 0x0004C82F | 16 bytes  | anonymous
   FTPPWD    | Password per il server FTP   | 0x0004C863 | 16 bytes  | bill@gates.com
----------------------------------------------------------------------------------------

Il valore del parametro "USEIRC" pu essere "YES" oppure "NO". Qualora il nome del server IRC che volete usare non entrasse nei 30 caratteri (che  molto difficile) potete sempre risalire al suo IP (col ping, ad esempio) ed inserire quello al posto del suo nome. 


5. Infos

Dopo la configurazione  possibile comprimere il file eseguibile come pi ci piace. Io consiglio un compressore quale WWPack32 (http://volftp.mondadori.com), col quale si pu portare la dimensione dell'exe fino a 197KB (dai 353KB originali). Si, lo so,  un po' tantino lo stesso, per quello che fa... Se fosse scritto in C occuperebbe molto meno e se fosse scritto in ASM occuperebbe veramente niente. Che ci volete fare, sono pigro, amo le comodit, mi piace il Delphi 4... :) Ultima cosa: dopo l'avvio, l'applicazione crea una copia di se stessa all'interno della directory di Windows e aggiunge la chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSregScan al registro, dandole come valore il percorso del file copiato un attimo prima. Considerate il fatto, quindi, che il nome si conserva dopo la copia. Se chiamate il file RUNDLL.EXE, ad esempio, quando l'applicazione tenter di copiare se stessa nella directory di Windows se trover un file che gi si chiama RUNDLL.EXE cercher di sovrascriverlo. Scegliete  bene quindi il nome del file.


6. Copirait/Tnx

Niente, nulla, zero, nisba. Come sempre, fateci quello che volete, come volete e se volete. Se vi interessano i sorgenti una mail  gradita e anche una visitina al sito non fa schifo. Un grazie va a StoLenByte che mi ha passato dei ricchi consigli sottoforma di .ZIP :)


-----------------------------
    ~ W . A . V . E . R ~    
 of Waver's Heavy Industries 
     (unic owner/member)
-----------------------------
    waver@technologist.com    
    http://www.whi.cjb.net
   http://www.waver.tsx.org
-----------------------------
