SUBSEVEN 2.2 est composé de
3 programmes : le client , le serveur et l'éditeur de server.
Le client est celui qui est utilisé depuis un pc pour envoyer
et recevoir les infos du serveur. Le serveur (server.exe) est le fichier
qui ouvre le port (27374). L'éditeur du serveur (editserver.exe)
permet de configurer le serveur selon les besoins du pirate .Il est
d'ailleurs entierement personnifiable (notemment pour l'ouverture
d'un autre port entre le 1 et 65536 ).
MELT, WAIT FOR REBOOT,
SERVER NAME.
" melt server after installation
" permet au serveur de s'installer dans windows puis de s'effacer.Ainsi,
le fichier telechargé par la victime disparait. Ce qui donne
un signe indicatif d'infection.
" Wait for Reboot " .Lorsque la victime clique sur le serveur,
celui ci s'installe mais ne s'inscris pas dans la bas de registre.
Le registre n'est modifié seulement qu'après démarrage
de votre machine. ( d'ou l'utilisté d'une surveillance de registrat
par un soft spécialisé..)
" server name " est le nom
du fichier qui se copira dans C:/windows/system : Il permet de pouvoir
transpercer le firewall en utilisant un nom personnalisé en
rapport avec le logiciel souhaité en téléchargement.
( ex: Liveupdate 2001) Ce qui permet aux pirates de déjouer
la vigilance de la victime pour l'autorisation de sortie du programme
( "voulez vous que Liveupdate 2001 acccède à internet,
port 1565...." ) Compte tenu que ce soft soit paramétrables
au niveau des ports en entrée, cela donne froid dans le dos,
car on a pour habitude de se mefiér des 27345, 27374 et compagnie....
NOTIFICATIONS
Le pirate à la possibilité
très dérangeante d'être prevenu à chaque
fois que vous êtes connecté. La plus facile et en plus
tres fiable pour l'individu consiste à installez ICQ sur son
pc. Il obtient un numero UIN. Grâce à ce numéro,
dès que la victime se connecte, le serveur envoie un message
instantanné sur son"pager"(ICQ) qui comprendra votre
nom, votre ip, le password, le port. De
plus, subseven à une fonction de connection automatique à
partir du pager ( message ICQ) ou bien par mail ou par une notification
CGI utilisant un script permettant de dresser une liste des victimes,
même si le pirate se connecte après elles.... ( rien
que cela )
Voici la liste des variables connues
:
$ip - l'ip de la victime
$port - le port ouver dans l'ordi de la victime
$password - le mot de passe du server
$victim_name - Nom de la victime
$username - Le nom d'utilisateur Windows
$protect_password -protect password
$server_version - la version du server
$sysdir - le chemin windows/system du server
$windir - la chemin windows
$connection - le type de connection [lan/modem/proxy].
PLUGINS
La grande nouvauté de cette
version par rapport à la première mouture. A la base
le serveur ne peut qu'ouvrir le port, de cette façon, le serveur
est de tres petite taille. Les plugins permettent d'utiliser les options
du serveurs.
E-MAIL
" email all pressed key ".
necessite le pluggin " s7keys.dll " . cette fonction envoie
par mail au pirate toutes les touches que la victimes a tapée
sur son clavier, y compris les passwords...
EXE ICON/OTHER
" enable fake error message ".
la victime va cliquer sur le serveur et voir un faux messages d'erreurs
( par exemple:" error= unable to initialise winsock.dll) Du coup
, la victime se dit que le logiciel ne marche pas alors que le serveur
en a profiter pour s'installer.
La fonction " download from web " permet de telecharger
n'importe quel fichier sur la victime.
