Trojan denildimi ilk akla Subseven geliyor.Çünkü Bilgisayar aleminde en çok kullanılan trojan Subseven dır. İlk versiyonu 1999 yılında çıktı. Diğer trojanlardan farkı özellikleri, akla gelebilecek her türlü işlemi karşıdaki bilgisayara yapabiliyor. Mobman tarafından yazılan subseven trojanının birçok versiyonu vardır. İlk versiyonları artık pek kullanılmıyor . TurkCenter ekibi olarak tüm subseven versiyonlarını burda bulabilirsiniz. Özellikle 2.0 versiyonundan sonrakiler çok etkili.

Subseven araçlarıyla da Subsevenı NT sistemlerinde çalıştırabilir, fake server lar yaratabilir ve daha onlarca özellik ekleyebilirsiniz.

Subseven dökümanlarıyla da Subseven trojan programı hakkında bilmediğin hiç bir şey kalmayacak.

TURKCENTER © 2002

Bulaşabildiği işletim sistemleri: Windows 95/98/ME/NT/2000

Server Boyutu : 56.5 K

Orjinal port : 27374 TCP ( Port Değiştirilebilir )

Subseven ın en yeni versiyonudur. Bir önceki beta versiyonundan tek farkı bugların giderilmiş olması ve "Edit Server" e birkaç yeni özellik eklenmiş olmasıdır. Windows 2000 ve NT sistemlerinede girilebiliyor. Plug in deteği eklenmiştir. Server ham bir şekilde 56 K dır. Plug inlerle istenilen özellik eklenerek server oluşturulabilir hale getirilmiştir. Bu aslında bir zorunluluktur çünkü Subseven o kadar çok özelliği olması ve NT dede çalışmasından dolayı server boyutu çok büyük olacaktır. Bunu engellemenin tek yoluda plugin özelliğiydi.

Download : Subseven 2.2 beta 2 (1.05 MB)

Bulaşabildiği işletim sistemleri : Windows 95/98/ME/NT/2000

Server Boyutu : 56.5 K

Orjinal port : 27374 TCP ( Port Değiştirilebilir )

Açıklama : Subseven 2.2 beta versiyonuyla muthteşem özelliklere girişi başlatmıştır. Artık windows 2000 ve NT sistemlerinede girilebiliyor. Plug in desteği eklenmiştir. Server ham bir şekilde 56 K dır.Plug inlerle istenilen özellik eklenerek server oluşturulabilir hale getirilmiştir. Bu aslında bir zorunluluktur çünkü Subseven o kadar çok özelliği olması ve NT dede çalışmasından dolayı server boyutu çok büyük olacaktır. Bunu engellemenin tek yoluda plugin özelliğiydi. Ancak beta sürümü olduğu için bu yeni özellikler daha yerine oturmuş değildi. Bu bir Beta sürümü olduğu için ayrıntıya girmiyoruz. Subseven 2.2 versiyonunun açıklamasında herşeyi bulabilirsiniz

Download : Subseven 2.1 Gold (1.4 MB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 388 K

Orjinal port : 27374 TCP ( Port Değiştirilebilir ), ICQ Spy: 54283 TCP, Key Logger: 2773 TCP, Matrix: 7215 TCP

Açıklama : Client in ayrıntılı açıklamasını Subseven dökümaları bölmündeki "Subseven CLIENT ının tüm ayrıntıları

Edit Server in ayrıntılı açıklamasını aşağıdaki subseven 2.1 versiyonu kısmında bulabilirsiniz

Download : Subseven 2.1 Defcon (1.3 MB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 373 K

Orjinal port : 27374 TCP ( Port Değiştirilebilir ), ICQ Spy: 54283 TCP, Key Logger: 2773 TCP, Matrix: 7215 TCP

Açıklama : Client in ayrıntılı açıklamasını Subseven dökümaları bölmündeki "Subseven CLIENT ının tüm ayrıntıları

Subseven 2.1 Defcon un server ı bulunması çok zor bir versiyonu diye lanse edildi fakat subsevenın 2.1 versiyonundan hiç bir farkını bulamadık. Sadece bonus yerine Defcon yazılmış. Maksat güncelliği korusun. Subseven ın 2.1 versiyonlarının birbirinden tek farkları bir kaç bug ın düzeltilmesinden ibaret.

Edit Server in ayrıntılı açıklamasını aşağıdaki subseven 2.1 versiyonu kısmında bulabilirsiniz

Download : Subseven 2.1 Bonus (1.3 MB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 373 K

Orjinal port : 27374 TCP ( Port Değiştirilebilir ), ICQ Spy: 54283 TCP, Key Logger: 2773 TCP, Matrix: 7215 TCP

Açıklama : Client in ayrıntılı açıklamasını Subseven dökümaları bölmündeki "Subseven CLIENT ının tüm ayrıntıları

Edit Server in ayrıntılı açıklamasını aşağıdaki subseven 2.1 versiyonu kısmında bulabilirsiniz

Download : Subseven 2.1 (1.2 MB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 371 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir ), ICQ Spy: 54283 TCP, Key Logger: 2773 TCP, Matrix: 7215 TCP

Açıklama : Client in ayrıntılı açıklamasını Subseven dökümaları bölmündeki "Subseven CLIENT ının tüm ayrıntıları

Bir önceki versiyondaki birkaç bug giderildi. 1243 nolu port o kadar meşhur olduki herkes o portunu korumaya başladığı için artık 27374 nolu portu kullanmaya yavaş yavaş başladı. Icq takeover özelliği eklendi. Eğer Subseven 2.1 size bulaşmışsa windows dizini içindeki MSREXE.exe dosyası trojanlı dosyadır. Bu dosya ile ilgili kayıtları Registry, win.ini ve system.ini dosyalarından silin ve bilgisayarınızı tekrar başlatın. Sonrada windows dizini içindeki MSREXE.exe dosyasını silin. Böylece trojandan kurtulmuş olursunuz.

EditServer dosyasını çalıştırınca server ı kendimize göre yaratıcaz. Edit server deki kısımlara sırasıyla bakalım :

Browse : Bu kısımda server dosyasını bulmanız ve seçmeniz gerekiyor.

Startup method(s) :

Bu kısımda server ın hangi methotla her açılışta kendini otomatik olarak yüklemesi seçilir. Kendini en iyi saklayan method "_not_known method" dur. Bu methot şöyle işliyor : Tüm windows işletim sistemlerinin "System.ini" dosyasının boot anahtarında "shell = Explorer.exe" diye bir kısım vardır. "_not_known method" methodu seçilirse server kendini bu anahtarın sonuna ekliyor (örnek :"shell = Explorer.exe winloader.exe") . Böylece daha iyi gizlenmiş oluyor.

Subseven bulaştırdığınız kişi her internette online olduğunda ,server size haber verecektir. Bu kısımda bu haberin nasıl verileceği ayarlanabilir . Bu haber vermenin amacı ip numarasının alınmasıdır. ICQ, IRC veya E-mail ile haber vermeyi seçebilirsiniz.

Enable ICQ notify : Burayı işaretlerseniz yazdığınız ICQ numaranıza , server bulaşan bilgisayar online olunca size ICQ dan bir pager gelicektir. ICQ ile haber verilirken şunu unutmayın ; Eğer size ICQ dan mesaj gelmezse ya server bulaşmamıştır ya yanlış ICQ UIN yazmışsınızdrı yada ICQ pager hizmetini durdurmuş demektir (Çünkü bazen ICQ bu hizmeti durduruyor).

Enable IRQ notify : IRC ile haber vermeyi seçerseniz doğru irc server ve doğru portu yazmalısınız. Bu server ve port bilgilerinin doğru olması için Mirc i açın ve ordan bu bilgileri alarak buraya yazın.

Enable e-mail notify : E-mail ile haber verme özelliğini seçerseniz server kısmına doğru ve çalışan bir e-mail server ı yazmalısınız (örn: mail.veezy.com)

Protect server :

Burayı işaretler ve bir password yazarsanız Server da bir değişiklik yapılması için bu password u yazmanız gerekecek. Başka biri sizin server bulaştırdığınız bilgisayara girdiğinde server ın hiç bir özelliğini değiştiremezler bu password u bilmeden.

Installation

Automatically start server on port : Belirleyeceğiniz portta server yüklenir.

Use random port : Eğer bu kısmı seçerseniz server her açılışta kendini rasgele belirleyeceği bir port kullanır. Böylece ip scanner ile sizin bulaştırdığınız server ları kimse bulamaz. Ama siz ICQ veya E-mail ile notify i seçtiyseniz ICQ pager veya e-mail ile ip numarası ve kullandığı portu haber alacaksınız.

Server password ile server i şifreleyebilirsiniz.

Protect server port and password u işaretlerseniz ilerde server port ve password u değiştirilemez.

Server name ile server ismini değiştirebilirsiniz. Burdaki server isminden kasıt, bulaştıktan sonraki windows dizini içindeki server dosyasıdır. Sizin yarattığınız server dosyası değildir. Sizin Edit Server ile yarattığınız server dosyası çalıştırılınca windows dizini içinde asıl server dosyası yaratılmış olur.

Melt server after installation özelliğini seçerseniz server dosyası çalıştırıldığında kendini silecektir.

Enable fake error ile sahte bir hata mesajı yaratabilirsiniz

Download : Subseven 2.0 (1.01 MB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 328 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir ), ICQ Spy: 54283 TCP, Key Logger: 2773 TCP, Matrix: 7215 TCP

Açıklama : Subsevenın 1 nolu versiyonlarından 2 nolu versiyonlarına geçişte tek değişen şey sayı değildi. Bir çok özellik eklendi. Bunlar : Server dosyasının bulaştıktan sonra kendini silmesi , mesaj programlarını gizlice dinleme , server a güçlü bir password ekleme gibi özellikler eklenmiştir. mtmtask.dl dosyası server dosyasıdır.

Client in ayrıntılı açıklamasını Subseven dökümaları bölmündeki "Subseven CLIENT ının tüm ayrıntıları" yazısında bulabilirsiniz.

EditServer dosyasını çalıştırınca server ı kendimize göre yaratıcaz. Program ilk olarak bize server dosyasının yerini soruyor. Daha sonra şu yazılar karşımıza çıkıyor:

automatically start server on port: Buraya istediğiniz portu yazabilirsiniz, Subseven in standart portu 1243 dür, isterseniz bunu degiştirebilirsiniz.

Server password: Server yiyen bilgisayara sizden başkasının girmemesi için şifreleyebilmek için bir özellik (Ama unutmayın Piyasa birçak Subseven password kıran programlar mevcuttur). Biraz profesyonel biri sizin Subseven yedirdiğiniz birine şifrelide olsa girebilir. Ama illa başka biri girmesin diyorsanız, server portu değiştirmeniz de etkili olacaktır. Çünkü trojan kullananlar port scan yaparak 1243. portu açık bilgisayarlar bulmak isteyeceklerdir. Ama siz portu değiştirirseniz. Sizin subseven yedirdiğiniz bilgisayarlara giremezler.

Protectport and passwo....: Bunu işaretlemesseniz, subseven yedirdiğiniz bilgisayara girdiğinizde portu ve passwordu devamlı değiştirebilirsiniz. İşaretlerseniz passwordu ve portu hiç değiştiremessiniz.

Use default name: Server ın ismini değiştirmeden kullanmak

Specify a filename: Server ın ismini değiştirebilirsiniz

Melt server after...: Eğer burayı işaretlerseniz, server ı gönderdiğiniz bilgisayar server dosyasını çalıştırdığında dosya ortadan kaybolacaktır. Yani kendi kendini silecektir

Sıradaki ayarda ise, Enable fake error message ile server çalıştırıldığında çıkacak mesajı ayarlayabilirsiniz. Sıradaki diyalog kutusunda;

Enable ICQ notify: Burayı işaretlerseniz, ICQ numaranızı yazdığınız takdirde kurbanınız internete her girdiğinde size ICQ pager (ıcq dan mail) gelecektir. Bu pager ın içinde kurbanın ip numarası olduğu için hemen girebileceksiniz.

Enable IRC notify: Burayı işaretlerseniz, Subseven yemiş biri IRC ye haberi olmadan girecektir. Gerekli irc server ını, odasını yazmalısınız. Port numarası aynı kalsın.

Enable e-MAİL notify: Burayı işaretlerseniz, Subseven yedirdiğiniz bilgisayar her internete girdiğinde size e-mail gelecektir. Aynı ICQ pager da olduğu gibi bu e-mail in içinde ip numarası olduğundan, bilgisayara girebileceksiniz. Burda e-mail server ını seçmeniz isteniyor, burdan geçerli bir e-mail server ı seçin. Çünkü bazı email server ları bir süre sonra kapanabiliyor. Seçtiğiniz e-mail server ının geçerli olup olmadığını "test" butonuyla görebiliyorsunuz (Test işlemini internete bağlıyken yapmalısınız). Notify to kısmınada kendi e-mail inizi yazın.

Sıradaki diyalog kutusunda (7 of 10): Victim name, gireceğiniz bilgisayara bir isim vermelisiniz. Çünkü bir çok bilgisayara Subseven server ı bulaştırdığınız takdirde bunları karıştırmamak için.

Sıradaki diyalog kutusunda (8 of 10): Startup method u belirlemeniz isteniyor. Yani, Subseven server ının her açılışda bilgisayarda nasıl otomatik olarak çalışacağını belirlemelisiniz. Hiç bir kısmı işaretlemezseniz Subseven server ı bulaştığı bilgisayarda bir daha çalışmaz. Registry-Run, Registry-RunServices ve WIN.INI kısımlarından birini işaretlerseniz Server kendini açılışda otomatik olarak çalışacak şekilde açılış dosyalarına gerekli kayıtları yapar. Ancak bunlar herkes tarafından bilinen yöntemlerdir. Ve bilgisayarının bu kayıtlarına düzenli bakan biri yabancı bir programın açılışda çalışdığını farkedebilir ve trojanı bulabilir. Ancak siz "less known method" u işaretlerseniz daha az bilinen bir yöntemle server kendini açılışa yerleştirir. Daha sıkı bir sey isterseniz "not known method" u kullanmalısınız. Ama şunuda söylemeden geçemiyeceğim, bunlardan hangisini seçerseniz seçin, bir anti virüs taramasında Subseven server dosyası enselenir. "Run veya Run Service" yi işaretleyince hemen altta "keyname" diye bir kısım çıkar, burdaki isimi siz belirliyeceksiniz, bu isim Run kısmında hangi adla başlatılacağıdır

Sıradaki diyalog kutusunda (9 of 10): "EXE file to bind with server" özelliğini işaretlerseniz, server dosyasını bir exe dosyasıyla birleştirebiliyorsunuz. Ancak Subseven ın eksi bir yönü ortaya çıkıyor, sadece exe dosyasıyla birleştirebiliyorsunuz. Bir CASUS trojanında olduğu gibi bir jpg, mp3 vb. dosyalarla birleştiremiyorsunuz. "Protect the server edited/changed?" özelliğini işaretlerseniz bir password yazıyorsunuz ve bu password olmadan yarattığınız server da ilerde değişiklilik yapılamıyor.

Ve son olarak da "update server.exe with the new settings" le tüm yaptıklarınızı kaydedip çıkıyoruz. İşte kendimize göre bir Subseven Server ı yaratmış olduk.

Download : Subseven Apocalypse (891 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 328 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Subsevenın bir önceki 1.9 versiyonundan tek farkı client in şeklinin değişmiş olmasıdır. Windows dizininin içindeki mtmtask.dl dosyası server dosyasıdır.

Download : Subseven 1.9 (1.02 MB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 327 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Subsevenın bir önceki 1.8 versiyonuna ek olarak bu versiyonuna 2 yeni özellik eklenmiş. İlki "ICQ spy" özelliği. Bu özellikle ICQ da gelen mesajlar okunabilir. Diğer özellikte Edit server de server yaratılırken server boyutuna byte eklenebilir. Böylece server ın farkedilmeside güçleştirilmeye çalışılmıştır. Server password ları kolayca bir program vasıtasıyla kırılabiliyor. Windows dizininin içindeki mtmtask.dl dosyası server dosyasıdır.

Download : Subseven 1.8 (1.05 MB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 327 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Subseven bu versiyonuyla popülerliği üst seviyelere çıkmaya başladı. Çünkü bir önceki versiyonlarına göre birçok yeni özellik eklendi. Server 4 değişik yolla registry kaydı yapabilir. Bulaştığı an ip numarasını ICQ, mail veya IRC ile karşı tarafa iletilebilme özelliği eklendi. Webcam den görüntüde alınabilir artık. Her açılışta serverın yüklenme yeri win.ini , system.ini veya registry ile olabilir. Ama trojan dosyaları bellidir : windows dizinindeki kerne132.dl ve system dizinindeki MVOKH_32.dll dosyasıdır.

Download : Subseven 1.7 (939 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 325 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Registry deki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ içindeki KERNEL16 anahtarı ile her açılışta server yüklenir. Trojan lı dosyalar kernel16.dl ve watching.dll . Açıklamadanda anlaşılacağı gibi bu versiyonun en önemli özelliği trojan dosyasının exe değilde dl uzantılı olmasıdır.

Download : Subseven 1.6 (804 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 344 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Bu versiyonun client inde bir kaç bug var. Server yaratma "Edit Server" özelliği artık subseven a eklendi. Registry deki KERNEL16 ve Systemtray anahtarlarıyla her açılışta server yüklenir. Trojan dosyaları : Windows dizinindeki SysTray.exe ve rundll16.exe . System dizinindeki pddt.dat ve lmdrki_33.dll

Download : Subseven 1.5 (781 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 334 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Bu versiyonun bir önceki 1.4 versiyonundan farkı : client i yeni bir görünüşe sahip. Ancak bugları en fazla olan versiyonlardan biri. Büyük olasılıkla kullanan pek olmadı. Win.ini deki run=kerne132.dl anahtarıyla her açılışta server yüklenir. Window.exe , winduh.dat ve nodll.exe dosyaları trojanlı dosyalardır. Bunlar windows dizinindedir.

Download : Subseven 1.4 (698 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 334 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Bir kaç yeni özellik daha eklendi. Dosya yöneticisinin özellikleri artırılmış. Önceki versiyonları gibi fazla güvenilebilir bir sürüm değil, bug ları hala var. Win.ini deki run=kerne132.dl anahtarıyla her açılışta server yüklenir. Window.exe , winduh.dat ve nodll.exe dosyaları trojanlı dosyalardır. Bunlar windows dizinindedir.

Download : Subseven 1.3 (688 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 329 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Subseven kendini artık win.ini dosyasından yüklüyor. Trojana keylogger, ses kaydı gibi özellikler eklendi. Win.ini deki "run=nodll" anahtarıyla her açılışta server yüklenir . Window.exe , winduh.dat ve nodll.exe dosyaları trojanlı dosyalardır. Bunlar windows dizinindedir .

Download : Subseven 1.2 (623 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 294 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Bu ne hız ! 1.1 versiyonundan tam 8 gün sonra 1.2 versiyonu çıktı. Buglar giderilmiş ve yeni bir kaç özellik eklenmiştir. (Zaten server boyutundaki artışdan bu anlaşılabilir).

Download : Subseven 1.1 (538 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 244 K

Orjinal port : 1243 TCP ( Port Değiştirilebilir )

Açıklama : Subseven da değişiklikler bu versiyonla başlıyor. Artık port değiştirilebilir. Ayrıca bu versiyonun da ip scanner özelliği eklenmiştir. SysTrayIcon.exe adlı dosya windows dizininin içindedir, bu dosya trojanlı dosyadır. Bu dosya registry deki "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\" anahtarıyla kendini otomaktikman her açılışta çalıştırır.

Download : Subseven 1.0 (532 KB )

Bulaşabildiği işletim sistemleri : Windows 95/98/ME

Server Boyutu : 244 K

Orjinal port : 1243 TCP ( Port Değiştirilemez )

Açıklama : Subsevenın ilk versiyonu 1999 yılında ortaya çıktı, şimdiye göre çok basit özellikleri var. SysTrayIcon.exe adlı dosya windows dizininin içindedir, bu dosya trojanlı dosyadır. Bu dosya registry deki "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\" anahtarıyla kendini otomaktikman her açılışta çalıştırır.

TURKCENTER © 2002