Autor
Tamaño Cliente: 2,35 MB
Archivos: Cliente Dioxis y Libreria COMDLG32.OCX
Lenguaje: Visual Basic 6.0
Conexion: Inversa
Tiempo de Reconexion: Personalizada
Tiempo de Refresco de fin de conexion: 1 segundo
Idioma: Español
Puerto usado: Personalizado
Infraestructura: Red Local e internet
Bueno antes que nada decir que esta version esta llena de cosas nuevas, la estructura de codigo del troyano se ha alargado bastante y el diseño sigue siendo uno de los mayores beneficios que acompañan a este software
La version 4.0, como ya vi, era detectada por varios antivirus asi que me decidi por realizar la 5.0 improvisando segun lo que se me iba ocurriendo. A continuacion os cito las funciones antiguas y las nuevas:
Funciones Viejas:
Ejecucion de:
* Paint
* Teclado Universal
* Buscaminas
* Solitario
* Pinball
* Calculadora
* Paseo de Win Xp
* Star Wars
* Mensajes personalizados
* Paginas Web
Matanza de Procesos:
* Messenger
* Navegadores (Firefox,Iexplorer,Safari, Opera y Google chrome)
* Explorador de Windows
* Proceso Personalizado
Creacion de Puertas Traseras:
* Habilitar terminal server
* Establecer una cmd en sticky keys (compaginado con ts, tienes el control total del pc)
* Establecer una cmd en vez del administrador de tareas (para que no pueda ver las tareas)
Sistema:
* Edicion de la contraseña de administracion a la que se quiera
* Cierre de Sesion
* Apagar Pc
* ELIMINAR HAL.DLL (No se iniciara windows si no es reparado :/ )
* Keylogger
* Shell Remota
* Creacion de archivos remotamente
Funciones Nuevas:
* Imagen inicial del programa
* Soporte para nick de usuario (Basta de conocer cada host por la ip
)* Deteccion de Unidades
* Deteccion de nombre de host remoto y posibilidad de modificarlo para su siguiente reinicio
* Keylogger y chat mejorado ( Antes podrias abrir las veces que quisieras el keylogger lo que daba lugar a errores, y el chat lo mismo)
* Jugar con la victima ( Juego de preguntas y respuestas remotamente)
* Eliminar archivos remotos
* Activar o desactivar el firewall de Windows
* Vulnerar el host remoto a ataques syn flood
Y lo que mas os ayudara en el troyano es su manual que viene integrado con el, el cual te ayuda a averiguar tu ip externa, a crearte un dominio no-ip, y a poder abrir tus malditos puertos del router (si es que tienes)
* Manual de ayuda al usuario(creacion de server y configuracion xD)
¿Que es Dioxis?
Bueno como es tradicion, explicare de nuevo en que consiste dioxis:
Dioxis, como ya se ha dicho es un troyano que se caracteriza por su sencillez, no porque no tenga prestaciones sino porque todos los controles estan pensados para usuarios noveles. Esto no se contrasta con que no lo puedan usar los usuarios avanzados ya que posee como en su 2,3 y 4 version, de una shell que se puede manejar a gusto si la persona tiene cierto nivel de programacion BATCH
Dioxis, aun siendo un software simple como pueden ver, tiene bastante potencial y actualmente esta muy escondido de los antivirus, cosa que a la hora de escoger un troyano, buscamos mas
Este software coge el control total o medio parcial de la cpu, podiendo tener una shell remota, manejando el archivo de losg del teclado, creando archivos…etc
Dioxis posee funciones automatizadas para los menos adentrados en este mundillo, estas funciones se dividen en 3 tipos:
Modo funny: El modo divertido ^^,si eres una buena persona y no te atrae la destruccion, cosa que se premia mucho en este mundillo, este modo te ayudara con tus tareas, posee funciones como ejecucion de aplicaciones, ejecutar pelicula de star wars o mandarle mensajes personalizados
Modo Normal: Este modo esta dedicado a la matanza de procesos que corren en el pc remoto y a abrir paginas web o cerrar sesion, un poco mas cruel que el funny mod pero util si quieres pillar contraseñas de msn por ejemplo, cosa muy tipica
Modo Dioxis: El dioxis mod, seria en teoria la forma mas cruel de usar este software, consta ge generar backdoors, apagar el pc, eliminar el hal.dll…etc
He evitado en este modo hacer las cosas crueles ya que este software aun no es detectado ^^ abstenganse gente cruel
los Modos de troyanizar no los he tocado, como veis, tienen las mismas opciones y la misma interfaz, que yo creo que por ahora esta bien
El Chat:
El chat ha sido mejorado, ya que a veces no se cerraba la ventana del chat remoto al ordenarselo, ya que habia cierto descontrol con los paquetes que viajaban por la red, que al juntarse no se interpretaban bien
Si os fijais bien, en la version 4 los botones de comandos no se cerraban lo cual podria dar lugar a un fallo en la conexion y que todo el tinglado se caeria, fallo mio :/ xD
La interfaz del usuario sigue siendo la misma, yo me centro en vosotros
que pelota xD
Lo nuevo:
Bueno en este Tema vereis que le doy mucha importancia a lo nuevo ya que quiero que os empapeis bien de las cosas nuevas y que las sepais utilizar aun siendo facilongas
Acordaros, no lo subais a ninguna pagina de analisis online, ni lo analiceis con vuestro av si teneis habilitada el envio de archivos sospechosos automaticamente, esto fastidia la version del troyano haciendola detectable y algun dia no habra otra version
Evitar la heuristica de los av es facil, esta version es detectada por heuristica en 3 av desconocidos en los que no reparo en codigo jeje
El juego de preguntas no tiene mas sentido de hacer preguntas y decirle si es correcta o no, es decir, pasar un tiempo agradable en vez de estar torturando a la victima borrandola sus archivos
El keylogger fue mejorado ya que antes se podia iniciar las veces que quisieras y te copiaba los logs muchas veces dando lugar a textos sin comprension, ha sido probado en mi red local y funciona perfectamente
El chat, mas de lo mismo, arreglado
La deteccion de drives viene bien si teneis conocimientos de infeccion por unidades extraibles ya que os podeis ganar unos cuantos hosts mas
El soporte para nick, al igual que la deteccion del nombre del equipo sirve para detectar al host correcto, lluego tambien teneis la opcion de cambiarle los dos nombres si te apetece
En esta version tambien he añadido el activar y desactivar el firewall remoto al igual que una opcion que vuelve vulnerable a los XP a ataques SYN FLOOD, aunque si no sabes de ataques de denegacion de servicio no te servira de mucho pero nunca esta de mas
Y como ya os dije para que os guieis mas en la creacion de este he diseñado un manual para el que os guiara pero si teneis dudas, comentad o mandar un email
Demostracion:
¿Detectado?
Código:
Report Generated: 26.7.2009 at 15.13.54 (GMT 1)
Time for scan: 49 seconds
File Name: Di0xis.exe
File Size: 2408 KB
MD5 Hash: 94c3a627371095c1ff274997f350659e
SHA1 Hash: A69C8E1F7E21850C599E6449B4D6D3FF005679B3
Detection Rate: 3 on 22 (13.63%)
Status: INFECTED
Antivirus Sig version Engine Version Result
a-squared 26/07/2009 4.5.0.3 Backdoor.Win32.RShot!IK
Avira AntiVir 7.1.5.28 7.6.0.59 -
Avast 090725-0 4.8.1229 -
AVG 270.13.30/2263 8.0.0.0 -
BitDefender 26/07/2009 7.0.0.2555 -
ClamAV 26/07/2009 0.95.1 -
Comodo 1771 3.10.529 -
Dr.Web 26/07/2009 5.0 -
Ewido 26/07/2009 4.0.0.2 -
F-PROT6 20090725 4.4.4.56 W32/VB-Backdoor-ESVR-based!Maximus
Ikarus T3 26/07/2009 1001044 Backdoor.Win32.RShot
Kaspersky 26/07/2009 8.0.0.357 -
McAfee 26/07/2009 5.1.0.0 -
NOD32 v3 4278 3.0.677 -
Norman 2009/07/24 5.92.08 -
Panda 21/05/2009 9.5.1.00 -
QuickHeal 25 July, 2009 10.0 -
Solo Antivirus 26/07/2009 8.0 -
Sophos 26/07/2009 4.32.0 -
TrendMicro 315(631500) 1.1-1001 -
VBA32 26/07/2009 3.12.0.300 -
VirusBuster 10.109.12 1.4.3 -
Time for scan: 49 seconds
File Name: Di0xis.exe
File Size: 2408 KB
MD5 Hash: 94c3a627371095c1ff274997f350659e
SHA1 Hash: A69C8E1F7E21850C599E6449B4D6D3FF005679B3
Detection Rate: 3 on 22 (13.63%)
Status: INFECTED
Antivirus Sig version Engine Version Result
a-squared 26/07/2009 4.5.0.3 Backdoor.Win32.RShot!IK
Avira AntiVir 7.1.5.28 7.6.0.59 -
Avast 090725-0 4.8.1229 -
AVG 270.13.30/2263 8.0.0.0 -
BitDefender 26/07/2009 7.0.0.2555 -
ClamAV 26/07/2009 0.95.1 -
Comodo 1771 3.10.529 -
Dr.Web 26/07/2009 5.0 -
Ewido 26/07/2009 4.0.0.2 -
F-PROT6 20090725 4.4.4.56 W32/VB-Backdoor-ESVR-based!Maximus
Ikarus T3 26/07/2009 1001044 Backdoor.Win32.RShot
Kaspersky 26/07/2009 8.0.0.357 -
McAfee 26/07/2009 5.1.0.0 -
NOD32 v3 4278 3.0.677 -
Norman 2009/07/24 5.92.08 -
Panda 21/05/2009 9.5.1.00 -
QuickHeal 25 July, 2009 10.0 -
Solo Antivirus 26/07/2009 8.0 -
Sophos 26/07/2009 4.32.0 -
TrendMicro 315(631500) 1.1-1001 -
VBA32 26/07/2009 3.12.0.300 -
VirusBuster 10.109.12 1.4.3 -
Como veis este resultado os puede incomodar, direis que es detectado, pero en mi vida he visto estos antivirus y se basa en estadisticas de heuristica y no de deteccion de firmas asi que podeis estar tranquilos, sino no lo publicaria ya que estaria poniendo en duda mi propio software, cosa que no me vendria bien, el 100% de los casos de infeccion como prueba que he realizado han sido satisfactorios
Ultimos Comentarios:
Para no ser muy muy pesado, acabo el tema con unos puntos importantes
El servidor se crea dandole a la mariquita, y teneis info de cada boton simplemente con dejar el mouse un rato encima de el
El troyano se borra de la mariquita con la basura, si no es la 1 vez que se inicia solo se eliminara del inicio para el proximo reinicio
La conexion se realiza mediante csocketmaster por lo cual la ip localhost (127.0.0.1) no funciona en esta estructura, asi que tendreis que usar la ip interna si quereis autoinectaros para probar
Y bueno, nada mas que decir COMENTEN QUE ME HA COSTADO XD
En línea
![WWW](data:text/html,<img src="http://img199.imageshack.us/img199/7002/norris.gif" />;http://)
genial, no me había enterado 
