Introduccion:
En este video se ve como dejo un server puro del troyano poison ivy 2.3.2 indetectable al antivirus nod32 actualizado al dia.
El metodo que uso es uno de los mas faciles y rapidos, lo que realizo es buscar y encontrar la firma detectada por el antivirus con el signaturezero, reemplazando con ceros por partes el codigo hasta ayarla, una vez ayada la firma detectada exactamente, simplemente la reemplazo con ceros y el server queda indetectable al antivirus y totalmente funcional. Este metodo no requiere de edicion hexadecimal, cambios de flujo ni nada de eso, simplemente lo que se hace es borrar la firma, por lo tanto no funcionara con todos los troyanos ni con la mayoria de los encriptadores, porque romperian el archivo, si lo quieren terminar con cualquier encriptador o troyano pueden continuar leyendo el manual de Octalh (desde pag9).
Yo lo demostre con el poison ivy porque el tamaño de su server es muy pequeño y es rapido para encontrar las firmas, y utilize el nod32 porque es el antivirus que utilizo, pero un amigo lo probo con el KAV y funciona perfectamente (tienen que desactivar la inyeccion en la creacion del server para que no lo detecte la defensa proactiva de mierda)
Video:
Pasos que realize:
-Primero y principal exclui del nod32 la carpeta con la que voy a trabajar por el simple hecho de evitar que salte el cartelito diciendo que se encontro un virus cada vez que ejecuto el signaturezero, el poison ivy, los server, y demas.
-Descargue el poison ivy 2.3.2 y el signaturezero y los puse en la carpeta donde trabajare, anteriormente excluida con el nod32.
-Lo siguiente que realize fue crear el server del poison ivy 2.3.2 y lo coloque en la misma carpeta con el nombre SERVER.exe.
-Lo escanie con el nod32 y obiamente lo detectaba como troyano.
-Ejecute el siganturezero y abri el server que cree con el poison ivy (SERVER.exe)
-Rellene con ceros la parte de la derecha del server y guarde el archivo resultante con nombre "1" sin extencion.
-Abri el notepad para anotar los datos, en este caso anote 3498 que es hasta donde rellenare de ceros (no es nesesario, pero sirve para agilizar)
-Escanie el archivo "1" que guarde, con el nod32 y me aparecia que el archivo estaba infectado, lo que quiere decir que la firma que buscamos se encuentra del lado izquierdo, ya que no se relleno de ceros ese lado.
-Abri de vuelta el signaturezero, abri el server y rellene de ceros la parte izquierda del server desde 512 hasta 3498 y guarde el archivo como "2"
-Escanie el archivo "2" con el nod y me decia que el archivo estaba desinfectado, quiere decir que la firma se encuentra entre 512 y 3498.
-Despues avanze un poco hacia la izquierda, pase de 3498 a 2505, lleno de ceros guarde como "3" y analise el server: limpio, por lo tanto la firma se encuentra entre 512 y 2505.
-Seguidamente avanze hacia la derecha de 512 a 1287 lleno de ceros, guardo, analizo: server limpio, la firma se encuentra entre 1287 y 2505
-Avanzo hacia izquierda de 2505 a 2029, lleno, guardo, analizo, server limpio, la firma se encuentra entre 1287 y 2029
-Y haci sigo hasta que llego a llenar de ceros entre 1679 y 1777, guardo, analizo y me da que esta infectado, por lo tanto la firma no esta entre 1679 y 1777, por logica tiene que estar entre 1777 y 2029 y sigo el procedimiento.
-De esta manera sigo avanzando de izquierda a derecha e inversamente hasta llegar ayar la firma.
-Una vez allada la firma exacta (en mi caso esta entre 1971 y 1973), la relleno de ceros y guardo el archivo resultante con extencion .exe.
-Eso es todo ya tengo mi server del poison ivy indetectable al nod32 y pueden ver que funciona perfectamente.
16demarzo Publicado por Cr4sill Etiquetas: MANUALES
Hola! soy cr4sill y vengo a presentaros un nuevo tutorial reciente del troyano Turkojan 4.0 + Metodo de volverlo indetectable con Themida.
El tutorial lo podeís ver en troyanosyvirus.com.ar aqui: Tutorial Turkojan 4.0 + Metodo indetectable.
12defebrero Publicado por MAURO Etiquetas: MANUALES, OTROS
El Pharming es una nueva modalidad de fraude online, que consiste básicamente en
modificar la relación que existe entre el nombre de una web en internet y su respectivo servidor Web. Se trata de suplantar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa idéntica a la original.
Para que se entienda mejor: en situaciones normales, si tipeamos en nuestro Internet
Explorer la dirección www.bancorio.com.ar, estaremos ingresando al sitio web del
Banco Río de Buenos Aires. Pero si hemos sido víctimas de un ataque de Pharming, al
tipear www.bancorio.com.ar ingresaremos sin saberlo a un sitio web falso exactamente
igual al del banco, pero que ha sido creado por los atacantes con el fin de robar los datos de nuestra cuenta bancaria.
Imagen con un ejemplo del pharming y gmail, utilizado para robar cuentas de gmail.
En este manual se explica todo desde 0 como si no se supiera nada, todo con imagenes. Esta muy completo, hasta incluye algo de como programar en batch un ejecutable que cambie el archivo host. Tambien incluye como podemos protegernos de estas amenazas y varias cosas mas. Esta muy bueno, se los recomiendo.
En este manual sacado de LOS CUADERNOS DE HACKXCRACK, se explica como convertir el inofensivo servidor ftp Serv-U 2.5 en un pequeño troyano totalmente indetectable e inmune a los antivirus.
El texto esta completo, todo desde 0, y esta escrito para personas que recien se inician en el tema de los troyanos.
Cualquier tipo de archivo (.wav .jpg .txt ...) puede ser un ejecutable
Aunque no sea muy habitual, es posible hacer pasar un troyano ( virus, o cualquier otro ejecutable) por un archivo de texto (.txt), de audio (.wav), una carpeta, o cualquier otro tipo de archivo (si, cualquiera).
Estos archivos son en realidad troyanos, y como puedes ver parecen archivos inofensivos.
Vamos a ver como se consigue hacer pasar un ejecutable por cualquier otro archivo en apariencia inofensivo.
La técnica consiste en "contaminar" el sistema, de manera que una vez infectado, sea vulnerable a este método y sea él mismo el que haga parecer a los archivos maliciosos, archivos totalmente inofensivos.
Increíblemente se trata de un método facilísimo.
Vamos a explicar paso a paso como se hace, para poder así saber como tenemos que protegernos de este posible ataque.
En este manual se ve una de las maneras mas faciles de dejar indetectable un troyano a varios antivirus, utilizando el themida, el Lord-Pe, el iexpress y el resource hacker.
Posteo este manual ya que varios me pidieron que ponga algo mas facil. Si quieren algo mucho mas efectivo pero un poquito mas dificil, pueden ver el metodo meepa.
Bueno, aquí os dejo un video donde se ve claramente como entrar al pc de otro por medio de la IP, llamado ARP, no explico como hacerlo, pero en el video se ve claramente la visualización de un PC remoto por medio de este protocolo, ya explicaré como hacer esto.
17dediciembre Publicado por MAURO Etiquetas: MANUALES
Estas son las posibles causas por la que un servidor de troyano no se conecta. Creado por ratero93
- Podría estar mal configurado. Prueba a auto-infectarte con el server ya protegido y bindeado, es la mejor manera de ver si el server está bien configurado. Si además lo haces con el antivirus y el firewall funcionando, podrás comprobar también si lo detecta el AV.
- Algunos troyanos funcionan mal si tú también estás infectado, así que una vez comprobado que funciona, desinstálalo desde el mismo cliente.
-Puedes no tener abiertos correctamente los puertos de tu router (es lo más habitual). Es muy importante que los abras hacia el ordenador donde estás usando el cliente. Me explico: cuando tienes varios ordenadores conectados a un router, cada uno de ellos tiene su propia IP, por lo que debes abrir los puertos hacia el ordenador desde el que vas a usar el troyano.
Para saber la IP del ordenador en cuestión, vé a la consola del MSDOS y ahí tecleas "ipconfig". Te saldrá la dirección IP del ordenador y esa es la que tienes que especificar al abrir los puertos del router.
Ocasionalmente (a mi me ha ocurrido), el ordenador desde el que utilizo el troyano puede cambiar la ip y no ser la que especifiqué en el router al abrir los puertos. Normalmente lo he solucionado apagando el ordenador y encendiéndolo de nuevo, prueba a ver.
-Puedes no tener bien configurado el NO-IP.
Haz click en el botón OPTIONS y en la pestaña CONNECTION te salen dos casillas, una pone OVERRIDE AUTOMATIC CONNECTION DETECTION y la otra OVERRIDE AUTOMATIC IP DETECTION.Prue ba a marcarlas y desmarcarlas, igual el problema está ahí. En mi caso, cuando instalo el server en mi propio ordenador para ver si funciona, debo marcar las dos pero cuando espero conexiones de servers enviados, debo dejarlas desmarcadas.
Por cierto, debajo de las casillas a marcar, sale un desplegable en el que deberían aparecer los distintos adaptadores que tienes instalados en tu ordenador para conectar el router. Asegúrate también de tener seleccionado el correcto si te sale más de uno.
-Puedes no tener los mismos settings en el server que en el cliente. Me explico: un error muy habitual es configurar el server para que conecte a través del puerto AAAA (es un ejemplo). Luego resulta que el cliente tiene a la escucha el BBBB y aunque todo funciona correctamente, por ese pequeño detalle, el server no se conecta. O sea, que anotad qué puerto le habéis dado al server y revisad que sea el mismo que está escuchando en el cliente. (Gracias a TxShAcK por recordar este posible error)
- Y por último pero no menos importante, hay que tener en cuenta que nuestra víctima puede tener un antivirus o un firewall que funcionen correctamente y que detecten el troyano, eliminándolo o no permitiendo que se conecte.
16dediciembre Publicado por MAURO Etiquetas: MANUALES
Manual completisimo del bifrost, creado por mandiubi viene incluido desde como crear el server hasta realizar toda su configuracion paso por paso, item por item. El archivo esta en pdf.
si ejecutas el archivo worm.bat se crearan archivos infinitos en nuestro pc.
nuestro worm se autocopiara en el directorio
c:windowssystem32worm.bat
cada ves que se incie el pc y la segunda linea es para agregar una entrada al registro lo kual iniciara el virus kada ves ke se inicie sesion.
Un tutorial práctico sobre como hacer indetectable un troyano modificando sus firmas, este método resuelve los principales problemas del método RIT de hackxcrack como las firmas en encriptaciones o la imposibilidad de automatizar el proceso. Está enfocado a gente con pocos o nulos conocimientos sobre ensamblador. También subo un zip con una herramienta y el troyano para seguir el tutorial.
Publicado en la e-zine InSecurity
Pues bien, parece algo increible o extrano el saber que podemos ocultar archivos dentro de cualquier imagen JPG, solo es necesario un compresor como 7-Zip y una linea de comandos (CMD) podremos lograr esta accion.
Vean el video.
Les dejo un video muy bueno que encontre por ay. Abajo del mismo esta la explicacion detallada.
1.-Ejecuta el msnNightmare.exe
2.-Dale a port tester introduce 6611 y presiona comprobar
2.A.-Si te ha salido que el puerto está abierto todo correcto, pasa al punto 3
2.B.-Si te ha salido que el puerto está cerrado abrelo en tu router (google=nombre de tu router + "abrir puertos")
2.C.-Si te ha salido que el puerto está ocupado cierra todos los programas que conecten a internet
y todas las ventanas de msnNightmare menos la principal y vuelve a intentarlo
2.D.-Si estás seguro de que están los puertos abiertos pero te sigue informando de que están cerrados no hagas caso, el porttest no funciona en todos los equipos.
3.-Haz lo mismo con el puerto 1111
4.-Presiona Crear
-Introduce un nombre cualquiera para identificarlo cuando conecte
-Introduce un servidor de irc por ejemplo:
-irc.irc-hispano.org
-irc.irc-domain.org
(No se si es legal utilizar los servidores que pongo de ejemplo, bajo tu responsabilidad!)
-Guardalo donde quieras
5.-Instala o envia el exe que acabas de guardar al pc que quieres controlar/espiar
6.-DESPUES DE QUE SE EJECUTE EL EXE TIENES QUE ESPERAR A QUE SE REINICIE EL MESSENGER
7.-Una vez ejecutado (no muestra ningún mensaje ni nada) si el messenger está en ejecución
se cerrará y en la ventana principal del msnNightmare aparecerá el contacto como conectado
8.-Doble click encima del contacto conectado y verás que en un momento te aparece debajo
a la derecha "conectado 4/4" y te aparecerán todas las conversaciones que se han producido
mientras estabas desconectado y después irán apareciendo las conversaciones en tiempo real
26denoviembre Publicado por MAURO Etiquetas: MANUALES
Les dejo un manual para el Poison Ivy 2.3.0, muy completo y muy facil de entender. Ideal para nuevos o lammers.
Bueno antes q nada quiero decir que este manual es 100% creado por Raz!el (se agregaron algunas pequeñas cositas de parte de troyanosyvirus.com.ar, pero el trabajo real y el merito es para Raz!el)
aclarado esto vamos comenzemos! :8):
*lo ejecutamos
*click en "new client"
(PARA VER LAS IMAGENES EN TAMAÑO HACER REAL CLIK SOBRE ELLAS)
*aparecera la siguient ventana
*listen on port es el puerto a las escucha!
*pasword (ya saben lo q hace jejeje)
*luego q lo configuren a su antojo el puerto y el pasword le dan click en start
*ahora en file hacemos click en "new server"
*click en "create profile" y escribimos cualkier nombre y click en ok
*en la parte dns/port le dan click en add y colocan su ip o su dominio no-ip, el mismo puerto q colocaron antes y el mismo pasword
*le dan en test connections y les saldra como en la imagen! luego click en ok y luego en next
*seleccionan la casilla de activeX Startup y click en random
*en copy file
*en filename colocan un nombre q no sea tan llamtativo como el q yo le puse XD!
*seleccionan en que carpeta deseen que se copiel el server
*seleccionan las opciones q deseen (melt, persistence,keylogger)
*una vez terminado todo click en next!
*process mutex les recomiendo q lo dejen como estan y cambienlo si solo saben lo q hacen!!
*por defecto viene q el server se inyecte en el proceso del msn , pero si desean cambiarlo clickeen en la casilla inject a custom process y coloken el proceso q kieran!
*en format les aconsejo q lo dejen como esta, cambienlo si saben lo q hacen!
*click en next
*si kieren cambiar el icono delen click en icon y buscamos un icono! dejo el link de un pack de iconos AQUI
*luego click en generate, colocan el nombre q kieran al server y le dan en guardar (el server se creara en la carpeta dond tengan el cliente del poison ivy 2.3.0) luego le dan ok!
como ven cuando esten configurando el server y lleguen a esta parte! NO seleccionen la casilla donde dice "Executed third-party aplication after build" y le dan en "generate"
y listo ya luego q tengan sus servers joineados con lo q kieran (video,mp3,programas,jpg) pueden pasarle el themida! eso creo q no tengo q explicarlo XD
ya teniendo la (s) victima (s) veremos esto!
*al hacer doble click sobre la victima aparecen la siguiente ventana
information:aqui aparece la informacion del pc victima
files: aqui tenemos acceso a los archivos de la pc victima! aqui la imagen...haciendo click derecho apareceran las siguientes opciones! refresh folder: para refrescar la carpeta, esto por si renombramos,ejecutamos o borramos algo, al hacer click en refresh veremos los cambios. search: esto sirve para buscar archivos especificos en la pc victima! show thumbnails: esto nos mostrara los iconos de los archivos! en mi caso estaba en la carpeta de imagenes y pueden ver las imagenes en miniatura! ideal si kieren descargarse una imagen especificamente! XD download: para descargar cualkier archivo d la pc victima a tu pc upload: para cargar cualkier archivo de tu pc a la pc victima! execute: este nos trae dos opciones "excute=>normal" es decir visible a la victima y "excute=>hidden" invisible a la victima es decir de manera oculta! rename: para renombrar cualkier archivo o carpeta en la pc victima! delete: para borrar archivos en la pc victima
regedit: aqui tenemos acceso al registro de nuestra victima!
processes: muestra los procesos activos en la pc infectada!
haciendo click derecho en esta ventana veremos las siguientes opciones: refresh: para refrescar la carpeta! show modules: esta opcion sirve para mostrar los modulos q componen el proceso en el cual estan kill process: para matar el proceso seleccionado suspend process: para suspender el proceso seleccionado
si estamos seleccionando un modulo (como se ve en la imagen) aparece la opcion "unload module" esto nos permite hacer q algun modulo q compone el proceso no cargue! (en este caso yo estoy seleccionado el modulo "kernel32" del proceso del nod32)
services: aqui vemos los servicios de la pc victima...haciendo click derecho sobre alguno de ellos apareceran las siguientes opciones: refresh: refresca la ventana save to file: crea un archivo .txt con la descripcion del servicio! start: si el servicio esta detenido lo arranca! stop: sirve para detener un servicio activo edit: para editar el servicio install: instalar un servicio uninstall: desinstalar un servicio
windows: aqui se veran las ventanas que estan abiertas en la pc infectada...al hacer click sobr alguna de estas ventanas apareceran estas opciones: capture windows: para hacer una captura de dicha ventana show: muestra la ventana en la pc victima en caso d q este oculta hide: oculta la ventana la ventana en la pc victima maximize: maximiza la ventana la ventana en la pc victima minimize: minimiza la ventana la ventana en la pc victima close: cierra la ventana en la pc victima
active ports para ver los puertos activos en la pc victima
remote shell* para ver la consola MS-DOS de la victima... la activamos haciendo click en activate y tambien podemos limpiar la ventana y guardar los registros
key logger para registrar las teclas presionadas en la pc victima!... para verlo le damos click derecho luego refresh y listo ...tambien tenemos la opcion de guardarlo en un archivo de texto plano y limpiar la ventana!
recuerden activar la opcion en la creacion del server!
screen capture: sirve para capturar la pantalla de la victima y desde alli poder manejarla! edit id: para cambiar el nombre de la victima! Share: sirve para compartir la conexion del server! es decir como otro cliente DNS/Port: aqui agregaremos la ip o la cuenta de no-ip para q se conecte el server (ver manual no ip) ID: aqui va el nombre de la victima! q se vera en el nuevo "cliente" Password: clave con el q se conectara el nuevo cliente Run in Same Process/New Process: aqui el server se podra ejecutar en el mismo proceso q estaba anteriormentew o en uno nuevo! Privileges: son los privilegios q se le daran al nuevo cliente!
Stretch: sirve para ajustar la pantalla de la victima a la ventana. Mouse: sirve para manejar el mouse de la victima y poder clickear en donde queramos. Keyboard: sirve para manejar el teclado de la victima y poder escribir en donde queramos. Interval: es el intervalo de tiempo en que se toma una y otra captura. Start: comienza a capturar pantallazos seguidamente. Single: captura un unico pantallazo. Save: sirve para guardar la pantalla en un archivo. Si seleccionamos "Autosave" se guardaran todas las que se capturen. Options: sirve para cambiar el tamaño y la calidad de la pantalla. webcam capture: para capturar la camara de nuestra victima Stretch:
igual que en la captura de pantalla, sirve para ajustar la imagen a la ventana. Interval: el intervalo de tiempo entre cada captura. Start: comienza a capturar imagenes. Single: captura una unica imagen. Driver: muestra las camaras web instaladas en la PC de la victima. Podemos seleccionar cualquiera y con el boton "Activate" la activamos. Si no se encuentra ninguna camara aparecera "No webcam installed!" Save: para guardar la imagen a un archivo. Con "Autosave" se guardaran todas automaticamente.
update : para cargar un nuevo server a la pc infectada y reemplazar el anterior! restart: para resetear el server uninstall: para desinstalar el server en la pc infectada!
no suban sus server a paginas de antivirus on-line usen su propio av es lo mas recomendable
bueno esto es todo del manual espero q les sirva! si van a copiar el manual completo o part de el, publicar el nombre del autor
21denoviembre Publicado por MAURO Etiquetas: MANUALES
Si Usamos troyanos de Conexion Inversa como el Bifrost es Bueno tener un Dominio NO-IP, porque si Poseemos IP Dinamica (Nuestra IP cambia cada ves que nos conectamos a Internet), perderemos la Conexion con nuestra Victima, porque la Victima se conecta a nosotros, no nosotros a ella. Si Usamos el NO-IP no tendremos el Problema de perder la Conexion porque automaticamente se redirecciona a nuestra Nueva IP.
Otra ventaja es que puedes conectarte desde otra PC con tu cuenta asi podes recibir las notificaciones a esa otra PC.
Para tener el servicio de no ip debes seguir los siguientes pasos.
Paso 1 (registrarse): Debes registrarte en no-ip para ello entra en www.no-ip.com y pulsa sobre Sign up now!.
Una vez q te registraste debes activar la cuenta pulsando en el link que te envian a tu correo, logueate en la página poniendo tu email y password.
Paso 2 (agregar un host): Pulsa sobre el botón ADD en el panel de la izquierda.
En hostname pon lo que quieras, por ejemplo: troyanosyvirus y elige algunos de los host's que ponen ahi, por ejemplo no-ip.org da igual cuál sea. En Host Tipe deja DNS (A) y deberá aparecer tu IP en IPadresses. El resto dejalo como está y dale a create host.
En un minuto o menos debería estar.
Instala este programa, que tendras que tener abierto siempre que uses un troyano con conexion inversa.
Paso 4 (Ejecucion): Abre el no-ip duc (el que bajaste) y te pedira tu email y password (coloca el mismo con el que te registraste). Una vez que te loggees en el programa deberá aparecerte algo como: tudominio.no-ip.org . Cliquea sobre la carita feliz hasta que se ponga asi: XD y entonces estarás conectado.
Eso es todo! ya tienes no-ip funcionando y listo para usar.
Cada vez que te quieras conectar con un troyano de conexion inversa coloca el host que te creaste (puedes tener varios si quieres tambien).
16demarzo Publicado por Cr4sill Etiquetas: MANUALES
TUTORIAL TURKOJAN + METODO INDETECTABLE BY CR4SILL!
Hola a todos soy cr4sill y aquí os dejo este tutorial para troyanosyvirus.com.ar de el manejo del troyano TurkoJan 4.0 + un metodo para volver su server indetectable. Suerte
ESTE TUTORIAL HA SIDO REALIZADO PARA USO EDUCATIVO CUALQUIER USO INAPROPIADO QUE SE LE DE AL MISMO SERÁ RESPONSABILIDAD DE QUIEN LO USE.
Una vez descargadas las herramientas las extraemos en un sitio donde recordemos por ejemplo el escritorio. Ahora ejecutamos el Turkojan 4.0 y lo instalamos, es una instalacion común vamos dando a next hasta instalarlo. Una vez instalado comenzaremos el tutorial creandonos una cuenta No-Ip que mas tarde añadiremos al server del Turkojan.
Para acceder a No-ip necesitaremos crear una cuenta para ello entramos através de http://www.No-ip.com Luego le daremos a Sign-Up Now! que se encuentra debajo de Lost password? podeis acceder desde AQUI cuando estemos dentro
os aparecerá esto:
Es un registro facil y que se puede entender asique rellenamos los datos y continuamos.
una vez tengamos la cuenta No-ip activa accedemos al sistema y le damos a Add que se encuentra en el menú izquierdo donde dice: Your No-Ip os aparecerá esto:
Donde dice: HostName
Colocamos el nombre de nuestro subdominio no-ip por ejemplo Turkojan (ejemplo) luego abajo seleccionamos el dominio podeis dejar el de no-ip.biz
Las otras caracteristicas las dejamos asi, lo unico que si en donde pone IP Address no reconocio correctamente vuestra IP debeis ponerla y ya
si todo esta Ok le dais a Create Host y ya.
Nota: Puede tardar minutos en activarse
Ahora le daremos a la seccionDownloadarriba y nos aparecerá esto:
Seleccionamos nuestro S.O. y descargamos el programa No-Ip
Una vez descargado lo ejecutamos y procedemos a su instalación. La instalación es común vamos
dando a next y ya.
Una vez instalado lo abrimos y nos aparecerá esto:
Colocamos la cuenta de correo y contraseña con la que nos registramos en la web
si todo va bien debería aparecernos ahora nuestro dominio no-ip
Nota: Si es reciente y no aparecé puede ser que aun este en proceso espera unos minutos)
Ahora selecionamos la casilla que está a la izquierda de nuestro dominio hasta que la cara quede sonrojada
Nota: Si te sale de otra forma deselecciona y selecciona la casilla hasta que quede sonrojada que significara que ya esta conectada
Bien ahora cerramos en la X roja de arriba y quedara minimizado nuestro No-Ip, con el No-ip ya configurado comenzaremos a crear el server de nuestro troyano turkojan
Nota: Al ser la primera vez que lo abrimos nos aparecerá un acuerdo en Turko que debemos aceptar (La opcion de la izquierda)
Una vez abierto nos aparecerá el client:
Vuestro troyano aparecerá en Turko ya que es como viene default ( De ahi Turkojan xD) pero como podeis observar en la imagen puedes seleccionar varios idiomas seleccionamos el español y ya esta listo para comenzar a crear nuestro Sever
Pero antes debemos desactivar nuestro antivirus (Volveremos a activarlo cuando lo agamos indetectable) ya que si no nos eliminará nuestro server.
(Muestro como lo hago en el NOD32)
(El virus que sale desinfectado en mi imagen , no tiene que ver con el turkojan )
Nota: Client: Es desde donde manejaremos a los infectados y crearemos nuestros servers Server: Es el archivo infectado que debemos enviar
Bien ya estamos preparados para crear el server le damos a: Editor que se encuenta en las opciones de arriba y comenzaremos a configurar nuestro server:
Bien podemos observar la configuración que yo e añadido para una configuración basica pues solo es necesario añadir nuestra cuenta No-ip , el puerto donde conectará (Yo uso 81) , El nombre de proceso etc y tambien trae la opcion de cambiar el icono o que al ejecutar el server le aparezca un mensaje de error a la victima y asi crea que el archivo esta dañado
Nota: Acordaos de marcar la opcion Modo Oculto (Invisible)
Bien ahora le daremos a: Salvar y guardamos nuestro server le ponemos de nombre Server
Ahora volveremos indetectable nuestro server utilizando el themida.
Abrimos el themida y donde dice Input File name le damos a la carpetita y selecionamos nuestro Server.
Ahora le damos a: Protection Options y lo dejamos igual que la imagen:
Ahora iremos a: Virtual Machine y lo dejamos igual que la imagen:
Ahora vamos a: Advanced Option y lo dejamos igual:
Bien ahora ya esta listo para proteger nuestro archivo le damos a: Protect (Icono candado)
Y nuestro server ya estará indetectable! ahora activamos el antivirus (NOD32 en mi caso)
(Repito: el virus que sale desinfectado en mi imagen , no tiene que ver con el turkojan )
Bien ahora iremos donde está nuestro server y lo analizamos (NOD32 mi caso)
Y... :OO la hora de la verdad..
Limpio! !
Bien ahora solo queda enviar nuestro archivo infectado a nuestras victimas
Nota: Para que no de el cante podeis usar cualquier Joiner/Binder o el mismo Iexpress para juntarlo con otra aplicacion y no sospeche
Bien ahora abrimos el Client y lo activamos para que comience a recibir victimas que hallan ejecutado el server
Le damos a Inicio hasta que quede asi:
Una ves así ya estamos preparados para recibir a las victimas que ejecuten el server. Ahora veremos
cuando una victima abre el server nos aparecerá asi (Un cuadro por cada victima, estilo MSN)
Bien ahora podremos observar nuestras victimas en el recuadro inferior
Ahora que ya tenemos victimas Activas nos conectaremos a una para ello daremos 2 clicks en su Ip
hasta que diga que estás conectado a ella abajo.
Una vez conectado a la victima solo queda investigar, explicare algunas funciones asi por encima
En donde dice Passwords debemos instalarle un pluging para sacarle todas las contraseñas de
Msn,ftp... le daremos a por ejemplo contraseñas de MSN y nos aparecerá este cuadro
Sirve para instalarle el pluging remotamente que nos permitirá sacarle toda esa información.
Una vez instalado recibiremos sus contraseñas
Bien ahora pasamos a Accesorios observamos 3 opciones La primera nos permitirá ver la pantalla de la victima , manejar su raton , sacar fotos..
La segunda opción nos permitirá recibir imagenes de su camará web (Si tiene logico xD)
(Esa se veia algo rara pero era la camara) Ahora podremos observar la victima y incluso grabar lo que vemos.
Ahora la tercerá opcion nos permitirá escuchar lo que la victima esté escuchando en su pc.
Bien ahora en la segunda opcion Configuraciones hay tendremos las opciones como mas de administrador podemos ver los procesos activos , abrirle la web que queramos , desconfigurarle el raton , la resolucion ...
Ahora las demás opciones son evidentes y podeis investigar una de ellas es el keylogger que recogerá todo lo que sea pulsado en el pc otra tambien es el manejo de archivos podemos bajar o subir archivos al pc de la victima
Tambien podemos ver los archivos en vista previa:
Otra de las opciones en comunicación es enviar mensajes de error a la victima:
Bueno pues Ya está! basicamente este es mi tutorial, Lo he realizado como mejor e podido espero
que podais aprovecharlo antes de que sea detectado y bueno pues espero que os guste.
Este tutorial Ha sido realizado integramente por CR4S1LL cualquier copia de este tutorial pedimos que pongan la fuente por favor. Si tiene alguna queja/propuesta ponte en contacto con migo através de: cr4sill.batch@gmail.com
Saludos!!!!
NO SUBIR EL SERVER A NINGUNA WEB DE SCANNER COMO VIRUSTOTAL
ESTE TUTORIAL HA SIDO REALIZADO PARA USO EDUCATIVO CUALQUIER USO INAPROPIADO QUE SE LE DE AL MISMO SERÁ RESPONSABILIDAD DE QUIEN LO USE.
22dediciembre Publicado por MAURO Etiquetas: MANUALES
En este texto les explicare como funciona el generador de worms de hendrix.
Primero lo ejecutan y ven esto:
Pulsamos una tecla y nos proporciona una advertencia. Seguidamente, pulsamos una tecla y nos pide el nombre que debe tener nuestro Worm. Lo introducimos y se crea el archivo en C: con el nombre del Word y extensión .bat. También se introduce un código para “firmar” en el PC de la victima, lo que hace esto es que cuando se pulse en MiPC con el botón derecho del ratón verán que pone: Hacheado por el Word: nombre del Worm.
Luego nos da el siguiente menú:
1. Propagación por P2P
2. Mensage al iniciarse
3. Agregarse al Registro
4. Infectar archivos .rar
5. Borrar archivos
6. Manipular red LAN
7. Añadir Usuario y Pass
8. Copiarse y Ocultarse
9. Descargar archivo en la victima
10. Informacion adicional
11. Salir
1.Propagación por P2P: Si pulsamos el numero uno se añade en el Word una larga lista de posibles direcciones de Clientes P2P para que se copie en el, pero nuestro Word no se copia en extensión .bat, sino que infecta un archivo .rar y luego difunde ese archivo.
2. Mensaje al iniciarse: Si pulsamos el 2 Nos aparece un texto que nos pregunta que introduzcamos un texto que será el que aparecerá en la pantalla de la victima al ejecutarse el Word.
3. Agregarse al Registro: Si pulsamos el botón nº 3, nos preguntara que escribamos el nombre con el que se agregara al Registro. Lo introducimos y automáticamente se añadirá el código en el Worm.
4. Infectar archivos .rar: Si seleccionamos esta opción no pedirá que seleccionemos un ruta a infectar, introducimos la ruta y después nos pedirá que escribamos el nombre del archivo a infectar (con la extensión y todo, por ejemplo: archivo.rar). Aparte de infectar este archivo (si no existe se creara en la carpeta) crea otros archivos .rar y también los infecta.
5. Borrar archivos: Si seleccionamos esta opción nos preguntara que escribamos al ruta y el nombre del archivo a borrar (por ejemplo: C:windowsarchivo.exe).
6. Manipular red LAN: Al seleccionar esto nos aparece un submenú con estas opciones:
1. Mensaje a todos los usuarios 1 vez
2. Mensaje al usuario una vez
3. DoS en la LAN
Si seleccionamos la primera opción lo que hace el Word es enviar a todos los usuarios de la LAN el mensaje que posteriormente le introduciremos. Si seleccionamos la segunda opción enviara un mensaje al usuario del PC (esto es igual que el mensaje al principio). Si seleccionamos la tercera lo que hará el programa será crear un DoS en la LAN. Probablemente la LAN se caerá rápidamente.
7. Añadir Usuario y Pass: Lo que hace esto es agregar en el PC victima una cuenta de usuario con el pass que tu escribas. 8. Copiarse y Ocultarse: Esta opción lo que hace es copiarse en el HD de la victima (concretamente aquí: C:WindowsSystem32Win.bat) y luego lo oculta (desaparece a los ojos de una victima que no sospecha nada, y aunque sospeche, será difícil de descubrirlo). Luego agrega al registro este archivo para que se inicie con el PC.
9. Descargar archivo en la victima: Al seleccionar esto nos aparece un menú de configuración del FTP, y luego, al tenerlo configurado, se añade al Worm el código.
10. Información adicional: Esto nos proporciona información sobre este software y nos da algunos consejos.
11. Salir: Sale del Programa.
Bueno, esto es todo, espero que les guste el programa. En cuanto pueda sacare una nueva versión.
18dediciembre Publicado por MAURO Etiquetas: MANUALES
Bien, la verdad es que este proceso no tiene mucho que explicar, ya que normalmente siempre es el mismo, pero para los que no sepan usar el iexpress aqui les queda:
Luego de tener nuestro server con todo lo que le vayamos a hacer es que viene el proceso de pasarlo por el iexpress, normalmente para comprimirlo, pero tambien sirve para blindearlo.
Esta vez voy a explicar como comprimirlo, por unos simples y rapidos pasos:
1. Inicio >>> Ejecutar >>> iexpress 2. Create new self extraction Directive file >>> Siguiente> 3. Extract files and run an installation command >>> Siguiente> 4. Ahora les sale un cuadro de texto, ahi pongan lo que quieran, algo como su nick, no se, lo que quieran xD, luego das a Siguiente> 5. No prompt >>> Siguiente> 6. Do not display a license >>> Siguiente 7. Bueno mucho ojo a esta parte, clickeamos "Add", buscamos nuestro server y undimos abrir, ojo con equivocarse que aqui es donde se decide que paquete es el que se va a crear, cuidado con abrir otra cosa ¬¬, es el server pasado por themida y por todo eso el que deben abrir, no el simple que no han pasado por nada bueno? 8. Esta parte tambien es importante, una vez cumplido el paso 7, unden en las flechitas. y en cada una eligen el server que abrieron, ojo, en ambas, les tiene que quedar algo asi:
Luego pulsan Siguiente>
9. Hidden >>> Siguiente 10. No message >>> Siguiente 11. Lo primero es undir en "Browse" y eligen el destino del paquete, o sea, el lugar donde se va a guardar, le ponen el nombre que quieran, al fin y al cabo va a ser el server comprimido xD. Una vez elegido el nombre.exe y la ubicacion dan clic a "Guardar". Luego en la misma ventana selecionan "Hide File Extracting Progress Animation from User", y dan a Siguiente> 12. No restart >>> Siguiente> 13. Don't save >>> Siguiente> 14. Siguiente> y esperan mientras se crea el paquete.
Y listo, ahora solo pulsan en finalizar y ya tienen su server pasado por Iexpress
Para la gente que no puede abrir los puertos desde el navegador os dejo una opcion para abrirlos desde windows xp!
Para empezar vamos a inicio ----> panel de control---->conexiones de red y click en el boton drecho del raton y vamos a la opcion de propiedades.
1: Hacemos click en la pestaña de avanzado.
2: Deberemos marcar la casilla que indica la imagen como dos, en el caso de que estubiera marcada pues no la modificamos.
3: Pulsamos en configuracion para especificar que puerto queremos abrir.
4: Aqui nos aprecen los puertos mas comunes solo deberemos marcarlos para que el puerto quede abierto.
5: Si el puerto que quieres abrir no esta en la lista pulsamos agregar.
6: Aqui deberemos introducir un nombre para luego indentificar mejor el puerto que abrimos.
7: Escribiremos el nombre de nuestro pc. La forma más comoda, si no lo sabes, es marcar una de las opciones que vienen por defecto en la foto anterior, y pulsar en modificar. El mismo te indicará el nombre de tu ordenador ya que lo detecta de forma automática.
8: Intruducimos el puerto que deseamos abrir, en las dos casillas.
9: Marcamos TCP.
10 Pulsamos aceptar y ya esta, facil no.
Este manual lo dejo porque veo muchos post con dudas que no les deja acceder al router para abrir los puertos, espero que les sirva de ayuda.
14denoviembre Publicado por MAURO Etiquetas: MANUALES
Introduccion: El Bifrost se trata de un troyano de conexion inversa, es decir, que el server, una vez alojado en la Pc de nuestra victima, se conecta a nosotros para poder controlar su ordenador.
Comenzemos:
Pueden descargar el Bifrost de aqui (Es un enlace seguro. Subido por mi)
Una vez descargado, ejecutenlo y les aparecera la pantalla principal del bifrost. En la parte inferior, hagan clic en Settings.
En ports: tienen 3 huecos a rellenar. Esto es el puerto por el que el sever se conectara con vosotros. Se conectara por el puerto que este primero escrito, si por este no puede lo ara por el 2º y sino por el 3º. En caso de que querais poner un solo puerto (por ejemplo el 2000) dejad los otros dos espacion en 0.
En password: introduzcan uno que recuerden.
En Name of extension after upload pondremos addon.dat (es el nombre que tendra la extension)
Despues seleccionaremo s tal y como se muestra en la imagen, la casilla, Msn style notification (para que al conectarse las victimas nos lo notifique con una ventana estilo a la del MSN)
Seleccionaremo s tambien, Compress file transfer ( que comprimirá los datos de la transferencia de archivos para que se realice más rápido)
Si marcamos la casilla, Check password for incoming connections, nos pedira la contraseña cada vez que halla una coñexion.
Method to determine flag, es la forma que bifrost determina la bandera del pais de la victima. Podemos elegir segun las opciones de region e idioma del PC, o segun el idioma que utilice el teclado.
Una vez echo esto, damos a ok, y ahora cliqueamos en Builder, que es donde crearemos el server.
En Dynamic DNS/IP deveremos ingresar nuestra IP, que sera a la que se conectara nuestro server. Pero existe un problema, que como la IP es dinamica (es decir va cambiando) cuando nuestro server se intente conectar a nuestra PC, cuando esta cambie no lo podra hacer. Por esta razon deveremos crear una no-ip, que lo que hace es redireccionar siempre nuestro server a nuestra IP en caso de que cambie. Es un proceso que tardaremos 10 minutos tan solo, y teneis su manual en esta misma seccion (troyanos y virus)
En este caso la no-ip que emos usado a sido "ejemplo.no-ip.info". Una vez escrita, damos a Add.
En Password y Port deveremos escrivir lo mismo que en Settings.
Ahora pasemos a la lengueta Installation.
Filename when installed: sera el nombre con el que se instalara nuestro server en el pc de la victima. Es recomendable un nombre que no levante sospecah y que parezca cosa del sistema, como SR032.exe, SIP43.exe etc
Directory to install to: sera el nombre de la carpeta donde se instalara. Esta estara dentro de Systen32, y como en la vez anterior, es aconsejable algo que no levante sospecha como Systcod, RZWIN, 309CF, etc
El resto de las opciones lo mas aconsejable es marcarlas como en la imagen. (Si teneis alguna duda sobre que significa alguna de ellas, no dudeis en postear, os respondere con la mayor brebedad posible)
Bien, ahora pasemos a Stealth.
Como en la vez anterior, os aconsejo marcar las mismas casillas que en la imagen.
Aqui teneis su significado.
Stealth Mode: aqui elegimos el modo de ocultación del server. Si seleccionamos Visible mode,el server se ejecutara de forma visible. Si seleccionamos Cautious mode, el server se ejecutará de forma oculta, pero si no logra injectarse se cerrará para no ser descubierto. Si seleccionamos Agressive mode, el server se ejecutará de forma oculta, y si la inyección falla, intentará conectarse igual.
Set attribute hidden: el server tendrá la opción "Oculto" activada.
Set older file date: el server y su carpeta tendrán su fecha de creación antiguas.
Melt server: cuando el server sea ejecutado, va a desaparecer.
Kernel level unhooking: esta opción sirve para lograr pasar más cantidad de firewalls. Igualmente no es recomendable activarla, ya que esa función todavia es beta y puede presentar problemas.
Delayed Connection: sirve para darle al server un tiempo antes de ejecutarse. Si seleccionamos No delay se ejecutará inmediatamente . Con Delay to next reboot lo hará cuando la PC se reinicie. La tercera opción nos permite establecer un tiempo exacto, con días, minutos y horas, para que el server se ejecute.
Hide Process: intenta ocultar el proceso del server. Esta función requiere que la víctima posea Windows XP y que el usuario sea administrador. Igualmente, es beta y es probable que no funcione correctamente.
La ventana de Miscellanius, es una forma de conectarse a una red TOR, pero por su complejidad y posibles fallos que pueda producir, es aconsejable no marcarla.
Y bien, una vez echo esto, ya tenemos nuextro server configurado. Ahora hacemos clic en Build, y se creara el server.exe en la carpeta donde tengamos el bifrost.
Bien, ahora ya tenemos el server creado. Este sera el que deveremos enviar a nuestra victima, lo cual es algo mas complicado, pero no dificil. Para que resulte mas facil deveremos hacerlo indetectable para los anti virus y enviarlo por correo o subirlo a lagun servidor para que lo descarguen.
Despues el uso que le den, pues ya depende de cada quien...
Pueden sacar informacion muy personal de la gente, como por ejemplo contraseñas...
... archivos e imagenes de su pc... etc, asi que tratenlo con respeto hacia la persona... no hagan lameradas... y sean buenos xD
Si tienen alguna pregunta no duden en postear.
)
!
