#1 22. Juni 2009 Hallo allerseits, Ich beschäftige mich neuerdings mit dem Thematik der Trojaner und wollte nun auch einen zum Laufen bekommen. Ich habe mir die folgende Vorgehensweise ausgedacht: -Zuerst habe ich mir bei No-Ip.com eine No-Ip DNS Adresse besorgt. Also dort einen Host erstellt und mir die Software von No-Ip.com heruntergeladen. In dieser No-Ip-Software (namens No-Ip DUC) habe ich auch eine Verbindung zu meinem Host. -So, nun sollte ich mit ProRat einen Server erstellen. Unter dem Eintrag IP (DNS) Server würde dann der Name meines No-IP-Hosts kommen, also Schlag-mich-tot-irgendwas.no-ip.biz. Die Benachrichtigung über ICQ, Mail und dergleichen wollte ich ausschalten. -Als nächstes habe ich mir gedacht, dass ich den Server noch stealthen muss. Das wollte ich mittels AV Devil machen, denn meistens wird ja noch Antivir eingesetzt. Damit sollten die möglichen Offsets mit einem Hexeditor ein wenig umgeschrieben werden. -Anschließend wollte ich die gestealthe Exe mit einer anderen Exe verbinden. Und das wollte ich mittels dem Programm Microjoiner machen. Abschließend nur noch irgendwie einsetzen. Ich wollte dann mittels eines Reverse Connect Verbindung aufnehmen. So, aber ich habe natürlich auch noch ein paar Fragen: 1. Ich wollte eigentlich Antiviren-Software sowie die Windows-Firewall bei der "Infizierung" aktiviert lassen (kann ja in ProRat einstellen), da sich sonst ja ein Pop-Up von Windows öffnet und dem Benutzer sagt, dass eben diese deaktiviert wurden. Außerdem sollte das Opfer nicht komplett ohne Schutz gegen andere Anfälligkeiten sein. Kann der Server dennoch druch die Fire-Wall dringen? 2. Ich habe in allen Tuts gesehen, dass man zwar andere Dateitypen als exe mit dem Server binden kann, jedoch die Exe immernoch da bleibt. Nach einer etwas längeren Recherche habe ich nur herausgefunden, dass man die Endung *.jpeg nicht verwenden kann. Aber wie sieht es z.B. mit einer Word-Datei aus oder einer .avi? 3. Kann man nach einer gelungen Infizierung diese wieder rückgängig machen? Also den Server beim Opfer deinstallieren? 5. Die Server kommuninziert dann standardweise über den Port 5110. Ich selbst sitze hinter einem Router. Muss ich nun bei diesem den Port noch freigeben? 6. Die wichtigste überhaupt: Würde die obige Vorgehensweise überhaupt funktionieren?? Seltsamerweise habe ich ein paar andere Fragen schon wieder vergessen. Aber die kommen bestimmt wieder^^ Ich hoffe mal, dass ihr mir da ein wenig weiterhelfen könnt. Besten Dank schon im Voraus Grüße Duff991 + Multi-Zitat Zitieren
#2 23. Juni 2009 AW: ProRat geplante Vorgehensweise + Fragen 1. netsh firewall set portopening protocol=TCP port=5110 name="XYZ ich bin ein Service" 2. Ka, machs doch über den Adobe Reader Bug und per .pdf, ist weniger "auffällig. (falls noch nicht geupdated) 3. Denke schon, hab ProRat noch nie benutzt, da ist bestimmt ein schöner bunter Knopf wo du nur draufdrücken musst und schon ist der Trojaner weg.... 5. Der Port muss beim "Opfer" im Router ggf. geöffnet werden 6. Wahrscheinlich nicht, solltest mal mit was einfacherem anfangen, zählen zB..... + Multi-Zitat Zitieren
#3 23. Juni 2009 AW: ProRat geplante Vorgehensweise + Fragen shiiiit ))) kann nicht bis 4 zählen will aber jemanden mit nem trojaner infizieren... ist das nicht etwa ein hacking - Request ? Wenn dem so sein sollte, lösch das Thema lieber wieder.... Und ich bezweifele, dass du es schaffst irgendeinen Port im Router deines Opfers zu öffnen... also wenn du auf script - kiddy machen willst, dann lass es sein, da diese ganzen public sachen alle gefunden werden...., oder das Opfer bemerkt es! + Multi-Zitat Zitieren
#4 26. Juni 2009 AW: ProRat geplante Vorgehensweise + Fragen ohman wenn ich sowas schon wieder lese... er hat ne ganz normale frage gestellt und natürlich gibs wieder jemanden der seinen überflüssigen senf dazugeben muss xD also per "proconnectiv" oder wie das heißt verbindet sich das opfer ja zu dir also ich hatte früher keine probleme wegn router damit... + Multi-Zitat Zitieren
#5 27. Juni 2009 AW: ProRat geplante Vorgehensweise + Fragen Man muss für die meisten Trojaner keine Ports im Router öffnen ihr Genies, da der Trojaner-Teil auf dem Opfer Pc meistens der Client ist Ich würde es zumindest so machen, dass der Opfer PC sich zu mir verbindet und net ich zu ihm, wenn ich nen Trojaner schreiben würde. + Multi-Zitat Zitieren
#6 27. Juni 2009 AW: ProRat geplante Vorgehensweise + Fragen Ist das nicht auch irgendwie der sinn eines Trojaners ?^^ Komisch, dachte eig. immer dass der Trojaner genau dafür da ist, dass man eben nicht an den Ports rumspielen muss, ausser wenn du ständigen zugang haben willst, oder? + Multi-Zitat Zitieren
#7 27. Juni 2009 AW: ProRat geplante Vorgehensweise + Fragen bei nem connectback muss man aber beachten, was passieren soll, wenn der controller mal offline ist. soll der trojaner dann alle 10s nen verbindungsversuch starten oder alle 10min? es wird sonst evtl auffällig. man könnte auch feste uhrzeiten festlegen, aber dann ist man natürlich eingeschränkt in seinem zugriff auf den bot. wenn man ne firewall umgehen will, wäre es ratsam, ne dll in den browser zu laden und möglichst auf port 80 oder sowas zu connecten. + Multi-Zitat Zitieren