Prvi Deo
1.Instalacija Poison Ivy (P.I) Trojana
- instalacija je jako jednostavna na site-u
http://www.poisonivy-rat.com , tacnije na
http://www.poisonivy-rat.com/index.php?link=download mozete nabaviti file u .rar formatu. Kada ste skinuli file sve sto treba da ucinite je da “extractujete” fajlove iz .rar arhive. Preporucujem da to bude u zasebnom folderu, jer P.I nakon pokretanja generira jos neke potrebne fajlove i dodatne foldere, sto, ako je P.I smjesten npr. direktno na Desktop moze postati malo zbunjujuce.
2.Pokretanje P.I aplikacije
-Prva stvar koja se pojavi nakon PRVOG pokretanja Poison Ivy programa je takozvani “disclaimer” odnosno ugovor u kojem se kreatori programa odricu odgovornosti za stetu nacinjenu vasem i/ili “zrtvinom racunaru usljed nepravilnog rukovanja programom. Nakon 10 sekundi “Agree” dugme ce postati aktivno, kliknite na njega.
-Slijedeca stvar koja se prikaze je Glavni program P.I pomocu kojega cete kontrolirati svoje “Cliente” i “Servere”. Ovo je jedna od glavnih razlika izmedju P.I i ostalih trojana. Client je samo dio glavnog programa. Niti jedan drugi Trojan vam ne dopusta spajanje na dva racunara u isto vrijeme, dok u P.I mozete pokrenuti “beskonacan” broj Client programa i biti povezani sa “beskonacnim” brojem racunara u isto vrijeme. Da pojasnimo, “Server” fajlovi zaraze “zrtvin” racunar i javljaju vasem racunaru da je “zrtva” zarazena i spremna za kontrolu, dok je “Client”-ov zadatak da “slusa” i ceka kada ce mu se “Server” javiti. Napomena: Server je odvojen program dok je Client dio (podprogram) glavne alikacije P.I.
3.Generiranje “Server” programa
Prvi korak u Poison Ivy-u je da se generira (napravi) “Server” file koji ce zaraziti “zrtvu”.
1. Korak – Pokrenuti P.I
2. Korak – Kliknuti File >>> New Server
3.Korak – Create Profile
U P.I mozete da snimite konfiguraciju vasega “Servera” u takozvane Profile pomocu kojih mozete da regenerirate isti server po potrebi.
Kliknite na “Create Profile” i upisite ime profila.
Profili mogu biti korisni jer u P.I imate mnogo opcija i mogucnosti pa ako napravite profile za sve najcesce koristene konfiguracije onda ce vam biti puno lakse, npr: server sa keylogger funkcijom, server bez keylogger funkcije, server koji se konektuje na na odredjenu IP adresu, server koji se konektuje na drugu IP adresu…itd.
4.Korak – Podesavanje konekcije
Ovo je moze se reci najvazniji dio jer ako ovo pogrijesite nista nece raditi
U ovom meniju podesavate kako ce se server konektovati na Client in a koju IP adresu.
Prvo sto trebate uraditi u ovom djelu je dodati svoj DNS server (NO-IP) u DNS/Port prozor. To cete uraditi ako kliknete na dugme “Add” i ukucate svoj server umjesto brojeva 127.0.0.1, port ostavite kako jeste (3460) jer ako izaberete pogresan port moze doci do greske (u slucaju sa se izabrani port vec koristi na zrtvinom racunaru)
Drugo sto trebate uraditi je upisati password za server koji pravite.
Ostale opcije u ovom djelu su:
“Connect Through Proxy” – ova opcija omogucava server da se prvo konektuje na proxy server pa onda na Client, ovo se radi da bi se osigurala anonimnost i sigurnost napadaca. Ali ovo vam nece trebati osim ako ne planirate da upadate u vladine racunare… Zasto samo Vladine…zato sto samo Vlada ima dovoljno ljudi, resursa i slobodnog vremena da vas uhvati… Ovu opciju nije preporucljivo koristiti na prosjecnoj zrtvi.
“Hijack Proxy” – Ova opcija omogucava Serveru da pokusa preuzeti zrtvin proxy tako sto ce citati podatke iz “Default Browser”-a na zrtvinom racunaru.
U sklopu ove funkcije postoji i opcija “Persistent” koja prisiljava Server da se konektuje samo kroz zrtvin proxy nikako drugacije... Ni ove dvije opcije nije preporucljivo koristiti jer ponekada mogu da onemoguce konekciju izmedju Servera i Clienta.
“ID” – to je ime koje ce vam se pojaviti u Clientu kada Server uspostavi konekciju s njim.
“Group” – ovo takodje nije bas korisna opcija osim ako nemate puno zrtvi pa zelite malo da se organizujete, ovo vam omogucava da zrtve stavljate u razlicite grupe (kao na MSN Messengeru).
“Password” – ovdje ukucate password koji cete morati unjeti prilikom svake konekcije ovog Servera sa Clientom…koristenje ove opcije se preporucije. Ako nezelite password samo ostavite “admin”.
“Use Key File” – Ova opcija vam omoguava da umjesto passworda morate da posjedujete file koji ste odredili u konfiguraciji. Primjer: Server se konektuje i trazi vas za file, vi morate da kliknete Browse i pokazete server gdje je file nakon cega ce on da provjeri file i pusti vas ako je to isti file koji ste preodredili u konfiguraciji…ova opcija nije preporucljiva jer je password sasvim dovoljan da zastiti vas server od neovlastenog pristupa…
5.Korak – Instalacija Servera
U ovom djelu cete odrediti parametre instalacije vaseg Servera.
Obavezno checkirajte opciju “Start on System Startup”, jer bez ovoga bi vas Server bio za jednokratnu upotrebu…to jest kada bi zrtva pokrenula server vi bi ostvarili konekciju, ali cim bi zrtva restartovala svoj racunar vi nebiste mogli ostvariti konekciju…jer server nebi bio pokrenut….
Ako ste pocetnik u Poison Ivy-u, odnosno ako neznate sta opcije u Instal djelu znace onda bi bilo najbolje da samo kopirate konfiguraciju sa ovog tutoriala.
Po meni ovo bi bila idealna Install konfiguracija. (!!!Napomena!!! ako budete prepisivali konfiguraciju nemojte prepisivati ActiveX Key Name dio, samo kliknite Random nekoliko puta)
Objasnjenje opcija:
“Start on system startup” – ova opcija omogucava server da starta zajedno sa Windows-om
“HKLM/Run Name” – ovo ako znate sta je onda znate ako neznate onda vam nemogu objasniti, jer bi trajalo jako dugo i vjerovatno bi vam dosadilo i nebi ni procitali ovaj tutorial do kraja.
, uglavnom treba zapamtiti da mu treba davati sistemska imena (imena koja zrtva moze povezati sa windowsom) da ih nebi izbrisala. Npr: winsock.exe, scvhost.exe winini.exe, rundll.exe itd…
“AxtiveX Key Name” – takodje, ako ovo nerazumijete vjerujte mi i bolje je, to znaci da ste normalna osoba koja nije opterecena racunarima…..lol, da bi objasnio u detalje sta je ActiveX trebalo bi mi bar 20 strana teksta….najvaznije je zapamtiti pritisnuti onu tipku “Random” desno, koliko god hocete puta…..nemogu reci da je sto vise puta pritisnete bolje ali dobro je barem 2 puta pritisnuti….
“Copy File” – ova opcija kopira server program na racunar, ovo obavezno izabrati jer opcija “Start on system startup” nece raditi ako ovo ne izaberete…..
”Filename” – ovdje isto kao in a “HKLM/Run Name” teba izabrati neko ime koje je slicno fileovima u Windowsu (da zrtva nebi izbrisala server) npr: winlogon.exe, svchost.exe, cmd.exe, sys32.exe itd…..samo je !!!VAZNO!! da zapamtite da dodate jos jednu tacku prije extenzije da nebi doslo do greske zbog fileova sa istim imenom PRIMJER: “winlogon.exe” postaje “winlogon..exe” ovo je JAKO VAZNO!!! Opcije ispod su “System Folder” koja kopira server .exe u System Folder (C:\WIDOWS\System32) i “Windows Folder” koja kopira server.exe u Windows Folder (C:\WINDOWS)
“Copy to Alternate Data Streams” – ni ovo vas ne zanima, samo checkirajte i dobro je….
:D:D:D….
“Melt” – ova opcija “istopi” (izbrise) pocetni server.exe file…..objasnjenje….kada zrtva ima na svom racunaru file server.exe koji ima ovu opciju kada je pokrenut on ce se kopirati pod odredjenim imenom (na slici…winlogon..exe) na odredjenu lokaciju (system folder, windows folder) i izbrise file (izvorni) server.exe koji je prvobitno pokrenut.
6.Korak – Advanced
Ovaj dio podesava neke napredne funkcije trojana, kao sto su Keylogger itd..
Ovo je idealna konfiguracija Advanced Dijela:
Objasnjenja opcija:
“Proces Mutex” – vjerovali ili ne ni ja neznam cemu ovo sluzi, mozda je metamorfni inicijacijski kod pri ukljucivanju u alternativni process, ali to ja samo nagadjam (lol), zbilja neznam sta je…zato ostavite to onim najvecim “geekovima” da mozgaju…….samo nedirajte..…nas se to netice….
“Inject server into the default browser” – Ovo je jedna od najboljih opcija ovog trojana, ako je izabrana, Trojan onda moze da se ubaci u process standardnog (Default) browsera na racunaru (Internet Explorer, Firefox, Opera…itd), tako da se process trojana uopce nevidi na Task Manageru tako da ga “zrtva” nemoze iskljuciti…
“Persistence” – bukvalno prevedeno “upornost”, to znaci da ako u prvom pokusaju ubacivanja u process server ne uspije, da nastavi pokusavati….bez da se desi nekakav error koji bi upropastio sve…
“Inject into a running process” – ova opcija nam daje mogucnost da samo definiramo u koji ce se process Trojan ubaciti, ja uvjek ostavim msnmsgr.exe jer to je od MSN Messengera a on postoji na skoro svakom racunaru…
….ako izaberete process koji nepostoji, to jest ako server pokusa da se ubaci u definirani process i neuspije tri puta onda automatski se ubacuje u Default Browser….tako da nema brige …..
“Keylogger“ – ovu opciju netreba objasnjavati, mislim ocigledno je jelda….
ovo daje Keylogger funkciju server.exe file-u, kada kliknete na keylogger pojavi se upozorenje da Keylogger ponekad moze uciniti system nestabilnim………medjutim meni se to nije nikada desilo zato jag a uvjek koristim….
“Format” – ovo samo ostavite kako jeste, opet isti slucaj, nemam vremena da objasnjavam sta ovo znaci, samo ostavite kako jest i dobro ce bit…
7. Korak – Generiranje Server.exe file-a
Ovdje samo jos da izaberete ikonu i to je to ( ovo ispod execute third pary program vam nece trebati) sada GENERATE i odosmo….
:D:D:D
Drugi Deo
1. Kako se konektovati na aktivni server.exe
2. Kako kontrolirati zrtvin racunar kada se konektujete
Pocinjemo od pretpostavke da je “Server.exe” pokrenut na zrtvinom PC-u. Ovaj tutorial vas void od trenutka kada se to desi pa sve do upravljanja serverom. Prva stvar koju morate uraditi prije bilo koje konekcije jeste da pokrenete program No-IP DUC.exe, to je onaj program koji ste skinuli sa
http://www.no-ip.com, druga stvar koju trebate uraditi jeste uvjeriti se da DUC radi kako treba. To cete uraditi ovako:
1. Prvi Korak: Trebate da saznate svoju IP adresu, postoji mnogo nacina da se ovo uradi ali ovo je najlaksi i najjednostavniji:
1.Konektujete se na Internet
2.Otvorite Browser (Firefox, Internet Explorer, Opera….nije bitno koji)
3.Ukucate
http://www.whatismyip.com 4.To je to, sada samo morate kopirati brojeve sa stranice na racunar (ili ih zapamtiti
), brojevi su jako veliki (mislim kao font ne kao duzina) tako da ih nemozete profulati, ako jos uvjek neznate gdje su, treba da izgledaju ovako xxx.xxx.xxx.xxx, napomena: svako polje brojeva (ono jedno xxx) moze da bude u vrijednosti od 1-255 zato se nemojte zbuniti ako neki od brojeva budu dvocifreni ili jednocifreni.
Primjeri IP adresa:
75.32.123.231
89.148.147.37
123.1.64.128
5.Kada ste dobili IP adresu, (preporucujem da samo posjetite site i minimizirate ga, i kada bude trebalo provjeriti samo ga podignite…..ali mozete i zapamtiti (meni nesmeta, lol)…) slijedeci korak je: Pritisnite dugme “Start” na tastaturi i drzite ga, dok ga drzite pritisnite slovo “R” (ovo je skracenica da se dodje do “Run” opcije, ona se moze takodje naci u Start meniju odmah iznad Turn-off dugmeta)
Ja imam Vistu ali nema neke velike razlike, prozor bi trebao da izgleda ovako
Trebate ukucati “cmd” (kao na slici)
6.Kada kliknete na OK otvoriti ce vam se crni prozor
sada trebate ukucati “ping.exe” “vas No-IP DNS server” i pritisnuti Enter
moj server je dale.redirectme.net pa cu koristiti taj u ovom tutorialu.
Ovako bi prozor trebao da izgleda kada se provjera zavrsi. Prozori se mogu razlikovati, ali glavna stvar je da tamo pise vasa IP adresa, ako nepise, onda je nesto pogresno napravljeno u No-IP serveru.
7.Provjerite dali je IP iz CMD-a jednak IP-u sa stranice (http://www.whatismyip.com)
Sada kada je utvrdjeno da DUC radi kako treba onda samo trebate pokrenuti Client i cekati da zrtva pokrene server koji ce vam se javiti…….sada kako napraviti Client...
Pravljenje Client-a
1.Korak je da pokrenete Poison Ivy, eh sada kao sto ste pravili server pa isli na File>>>New Server, tako isto sada idite na File>>>New Client
2.Kada kliknete New Client pojaviti ce vam se novi prozor
Objasnjenje: Prvo sto vidite je broj 3460, sjecate se da sam vam rekao da zapamtite port kada ste dodavali svoj DNS server, kada smo pravili “server.exe”……….ehhh to je taj port, ako niste mjenjali port onda nemate brige, ako ste ga mjenjali (ja to ne preporucujem ali….) onda samo ga promjenite i ovdje (u isti broj naravno lol).
Sada ide opcija Prompt for “Password on new connection”, tu ako kliknete onaj kvadratic (checkirate)imacete problema…..vjerujte mi…..samo nemojte…. Ako ste promjenili password na server zamjenite gas a onim “admin” gore. I to je to sada samo pritisnite Start i cekajte da zrtva pokrene server.exe…. Kada pritisnete Start Poison Ivy bi trebao da izgleda ovako…
I to je to sada cekamo konekciju….
Pretpostavimo da je zrtva sada pokrenula “server.exe”
Treba da se pojavi jedan unos u listu…
To je to ako ste stigli do ovoga koraka onda imate potpunu kontrolu nad zrtvinim racunarom….
Sada kako koristiti Poison Ivy….ako znate engleski onda nebi trebalo da bude problema….
Prvo sto trebate je dupli klik na Tutorial unos gore…
i Otvoriti ce vam se novi prozor
Kao sto vidite ima puno opcija:
Imamo 4 grupe opcija, to su “Managers” (oni upravljaju fileovima registryom, aktivnim procesima, uslugama koje su pokrenute na zrtvinom racunaru, uredjajima koji su instalirani, instalirane aplikacije i aktivni prozori…..) druga grupa je “Tools” (“Relay” to vam nece trebati, “Active Ports” pomocu ovoga mozete vidjeti koji su portovi otvoreni na zrtvinom racunaru, “Remote Shell” ovo vam dozvoljava da otvorite onaj CMD prozor ali u zrtvinom racunaru id a prozor bude pod vasom kontrolom” “Password Audit” ovdje se mogu gledati password od windowsa, dial upa, itd svi password-i koji su snimljeni na racunar….) Treca grupa je Surveilance tu dolazimo do opcije keylogger koja nas zanima, kada kliknete na keylogger treba da dobijete ovakav prozor
Kada vidite ovaj prozor sve sto treba da uradite je da kliknete desni klik i iz menija izaberete “refresh” tada ce se keylogger log uploadovati i vi cete znati sta je vasa zrtva pisala….sve ce biti organiziran po prozorima u koje je zrtva upisivala podatke …
Prijem 
Naslov: iznenadjenje za sve-- upravljanjem tudjim kompijuterom --- 
Ned Avg 09, 2009 11:13 pm