Hoje as pessoas confiam demais em programas para sua segurança. Seja um firewall, um sistema de IDS ou mesmo um anti-vírus. Só que muitas vezes apenas os programas não são suficientes, pois eles também são falhos. Vamos fazer um teste com um famoso anti-vírus do mercado, o Norton 2003. Isso não vai fazer diferença pois todo anti-vírus é vulnerável a esse problema. Usarei o servidor de um cavalo de tróia(trojan) que abre e recebe conexões na porta 666 do seu computador. Poderia ser qualquer outro. O nome do arquivo servidor é server.exe . Vou passar o Norton nele para ver o que acontece.

O Anti-Vírus encontrou o trojan. Reclamou de “infecção encontrada” e o apagou. Sorte que fiz uma cópia dele. Vamos dar uma olhada na estrutura do Server.exe . Para isso usarei o excelente PE Explorer ou Resource Explorer, ambos podem ser conseguidos em http://www.heaventools.com . Esses softwares permitem que eu “enxergue” o que existe dentro do arquivo binário e consiga até manipular alguns dados.

Usando o PE Explorer então, vou apagar todas as imagens existentes dentro do Server (bitmaps e cursores), todas as janelas de diálogo que ele possa ter, modificarei algumas strings e um pouco do código em Pascal (como o nome dos componentes e seu caption). Poxa consigo fazer tudo isso com esse programa? Sim, consegue. Mesmo após retirarmos todo esse “lixo”, o programa ainda roda. Está na hora do segundo tratamento dado ao Server, comprimir o seu tamanho usando o programa Petite (http://www.un4seen.com/petite/ ).

Bom, mandei comprimir o programa e ele ficou com cerca de 30 a 50% maior do que seu tamanho original. Não, essa não é uma compressão do tipo ZIP ou coisa do gênero. O Petite praticamente realoca o arquivo, tornando-o totalmente diferente do que era antes… mas ainda funcional. Salvamos o novo arquivo comprimido como servercompress.exe . Vamos repassar o Norton 2003 para vermos agora :

Prontinho. O anti-vírus não encontrou nenhuma infecção. Isso porquê o AV procura padrões conhecidos de vírus e trojans nos arquivos. É como se ele olhasse uma foto e procurasse por ela dentro de arquivos. Como nós modificamos muito a nossa “foto” original, o programa não detectou nada. Os cavalos de tróia de hoje conseguem até barrar firewalls como Zone Alarm. Como ? Eles possui um pequeno banco de dados com o nome de processos de programas comumente usados como Zone Alarm, Norton Internet Security, Tiny Firewall, etc. Antes do trojan tentar abrir a porta e o firewall detectar, ele procura entre os processos que estão sendo executados no computador aqueles que estão na sua lista. Se encontrar algum deles, o trojan os fecha (claro que o trojan precisa ter permissão para isso, mas na maioria dos usuários comuns isso vai acontecer) e pode até substituir o ícone da barra de tarefas por um falso, exatamente igual ao do firewall que ele acabou de fechar.

Trojan de conexão reversa

Um programa para invasão de computadores via conexão reversa Com o spy-net você pode: Ver a webcam da vítima, capturar a tela da vítima
ele è tipo o turkojan.

Obs: Como todo mundo sabe para o uso correto do programa é necessário pausar a proteção residente do Anti Vírus por ser um programa Hacker.

Um dos melhores programas SpyWare (invasor) ja criado, Spy-Net 2.6!

- Caracteristicas Principais:
- Suporte a conexao reversa
- Ícones personalizados
- Server com compressao UPX
- compativel com todas as versões de sistema operacionais
- Facilidade de uso
- Keylogguer integrado

Download