Matando a la version Pesada:
Bueno Para la gente que estaba esperando, siento la tardanza, no es que me cueste realizar vuestras peticiones, sino que he estado montando una web que me esta dando algun que otro quebradero de cabeza al usar multiples lenguajes, vamos que esta version la he realizado en un dia
Direis porque no saque la 6.0, lo dejo para mas tarde ya que tardaria mas y por lo que he oido los av ya detectan las version 5.0 estandar, bueno, las peticiones que han sido aceptadas son:
- Ordenacion de todo el codigo y sus ficheros
- Cambio de imagenes .jpg a .gif
- Comentarios en todas las lineas (ya no te perderas)
- Arreglo de Keylogger (URRAAAA)
- Simplificacion de ordenes para mandar paquetes
- Eliminacion de variables muertas y aplicacion de option explicit
- Los modos funny,dioxis y normal, han sido simplificados a un simple formulario con botones (es lite, no la verson 6.0 acordaros)
Y lo mas asombroso de todo es que gracias a toda la depuracion del codigo nos encontramos sorpresas como estas:
File Info
Report generated: 18.9.2009 at 1.26.00 (GMT 1)
Filename: server.exe
File size: 128 KB
MD5 Hash: 6266304325c04ec155a107f7b7c47ae9
SHA1 Hash: 8A9AA3157C97CF59448C9ECC39B2FDE80DCE1388
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 0 on 23
Detections
a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -
Aqui teneis el servidor indetetable, y aqui viene el analisis del cliente
File Info
Report generated: 18.9.2009 at 1.14.27 (GMT 1)
Filename: dioxis.exe
File size: 932 KB
MD5 Hash: f2ca6efbf5e0beb5b9247f38fcc71304
SHA1 Hash: 5DCDA3E5BD1DB669DB61CCE9C7A1D8D4D6BE916C
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 1 on 23
Detections
a-squared - Backdoor.Win32.VB!IK
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -
Scan report generated by
NoVirusThanks.org
Bueno, un antivirus que no importa por la parte del software que no importa, asi que no os alarmeis, la cosa ha mejorado y ahora podreis disfrutar de todo, con mayor estabilidad, fiabilidad ante detecciones de antivirus y etc
A continuacion hago un copy paste de la version 5.0 por si la alguien no conoce las cualidades de este troyano
ATENCION: EL ASPECTO HABRA CAMBIADO LIGERAMENTE, AVISO XD
Tamaño Cliente: 2,35 MB
Archivos: Cliente Dioxis y Libreria COMDLG32.OCX
Lenguaje: Visual Basic 6.0
Conexion: Inversa
Tiempo de Reconexion: Personalizada
Tiempo de Refresco de fin de conexion: 1 segundo
Idioma: Español
Puerto usado: Personalizado
Infraestructura: Red Local e internet
Bueno antes que nada decir que esta version esta llena de cosas nuevas, la estructura de codigo del troyano se ha alargado bastante y el diseño sigue siendo uno de los mayores beneficios que acompañan a este software
La version 4.0, como ya vi, era detectada por varios antivirus asi que me decidi por realizar la 5.0 improvisando segun lo que se me iba ocurriendo. A continuacion os cito las funciones antiguas y las nuevas:
Funciones Viejas:
Ejecucion de:
* Paint
* Teclado Universal
* Buscaminas
* Solitario
* Pinball
* Calculadora
* Paseo de Win Xp
* Star Wars
* Mensajes personalizados
* Paginas Web
Matanza de Procesos:
* Messenger
* Navegadores (Firefox,Iexplorer,Safari, Opera y Google chrome)
* Explorador de Windows
* Proceso Personalizado
Creacion de Puertas Traseras:
* Habilitar terminal server
* Establecer una cmd en sticky keys (compaginado con ts, tienes el control total del pc)
* Establecer una cmd en vez del administrador de tareas (para que no pueda ver las tareas)
Sistema:
* Edicion de la contraseña de administracion a la que se quiera
* Cierre de Sesion
* Apagar Pc
* ELIMINAR HAL.DLL (No se iniciara windows si no es reparado :/ )
* Keylogger
* Shell Remota
* Creacion de archivos remotamente
Funciones Nuevas:
* Imagen inicial del programa
* Soporte para nick de usuario (Basta de conocer cada host por la ip )
* Deteccion de Unidades
* Deteccion de nombre de host remoto y posibilidad de modificarlo para su siguiente reinicio
* Keylogger y chat mejorado ( Antes podrias abrir las veces que quisieras el keylogger lo que daba lugar a errores, y el chat lo mismo)
* Jugar con la victima ( Juego de preguntas y respuestas remotamente)
* Eliminar archivos remotos
* Activar o desactivar el firewall de Windows
* Vulnerar el host remoto a ataques syn flood
Y lo que mas os ayudara en el troyano es su manual que viene integrado con el, el cual te ayuda a averiguar tu ip externa, a crearte un dominio no-ip, y a poder abrir tus malditos puertos del router (si es que tienes)
* Manual de ayuda al usuario(creacion de server y configuracion xD)
¿Que es Dioxis?
Bueno como es tradicion, explicare de nuevo en que consiste dioxis:
Dioxis, como ya se ha dicho es un troyano que se caracteriza por su sencillez, no porque no tenga prestaciones sino porque todos los controles estan pensados para usuarios noveles. Esto no se contrasta con que no lo puedan usar los usuarios avanzados ya que posee como en su 2,3 y 4 version, de una shell que se puede manejar a gusto si la persona tiene cierto nivel de programacion BATCH
Dioxis, aun siendo un software simple como pueden ver, tiene bastante potencial y actualmente esta muy escondido de los antivirus, cosa que a la hora de escoger un troyano, buscamos mas
Este software coge el control total o medio parcial de la cpu, podiendo tener una shell remota, manejando el archivo de losg del teclado, creando archivos…etc
Dioxis posee funciones automatizadas para los menos adentrados en este mundillo, estas funciones se dividen en 3 tipos:
Modo funny: El modo divertido ^^,si eres una buena persona y no te atrae la destruccion, cosa que se premia mucho en este mundillo, este modo te ayudara con tus tareas, posee funciones como ejecucion de aplicaciones, ejecutar pelicula de star wars o mandarle mensajes personalizados
Modo Normal: Este modo esta dedicado a la matanza de procesos que corren en el pc remoto y a abrir paginas web o cerrar sesion, un poco mas cruel que el funny mod pero util si quieres pillar contraseñas de msn por ejemplo, cosa muy tipica
Modo Dioxis: El dioxis mod, seria en teoria la forma mas cruel de usar este software, consta ge generar backdoors, apagar el pc, eliminar el hal.dll…etc
He evitado en este modo hacer las cosas crueles ya que este software aun no es detectado ^^ abstenganse gente cruel
los Modos de troyanizar no los he tocado, como veis, tienen las mismas opciones y la misma interfaz, que yo creo que por ahora esta bien
El Chat:
El chat ha sido mejorado, ya que a veces no se cerraba la ventana del chat remoto al ordenarselo, ya que habia cierto descontrol con los paquetes que viajaban por la red, que al juntarse no se interpretaban bien
Si os fijais bien, en la version 4 los botones de comandos no se cerraban lo cual podria dar lugar a un fallo en la conexion y que todo el tinglado se caeria, fallo mio :/ xD
La interfaz del usuario sigue siendo la misma, yo me centro en vosotros que pelota xD
Lo nuevo:
Bueno en este Tema vereis que le doy mucha importancia a lo nuevo ya que quiero que os empapeis bien de las cosas nuevas y que las sepais utilizar aun siendo facilongas
Acordaros, no lo subais a ninguna pagina de analisis online, ni lo analiceis con vuestro av si teneis habilitada el envio de archivos sospechosos automaticamente, esto fastidia la version del troyano haciendola detectable y algun dia no habra otra version
Evitar la heuristica de los av es facil, esta version es detectada por heuristica en 3 av desconocidos en los que no reparo en codigo jeje
El juego de preguntas no tiene mas sentido de hacer preguntas y decirle si es correcta o no, es decir, pasar un tiempo agradable en vez de estar torturando a la victima borrandola sus archivos
El keylogger fue mejorado ya que antes se podia iniciar las veces que quisieras y te copiaba los logs muchas veces dando lugar a textos sin comprension, ha sido probado en mi red local y funciona perfectamente
El chat, mas de lo mismo, arreglado
La deteccion de drives viene bien si teneis conocimientos de infeccion por unidades extraibles ya que os podeis ganar unos cuantos hosts mas
El soporte para nick, al igual que la deteccion del nombre del equipo sirve para detectar al host correcto, lluego tambien teneis la opcion de cambiarle los dos nombres si te apetece
En esta version tambien he añadido el activar y desactivar el firewall remoto al igual que una opcion que vuelve vulnerable a los XP a ataques SYN FLOOD, aunque si no sabes de ataques de denegacion de servicio no te servira de mucho pero nunca esta de mas
Y como ya os dije para que os guieis mas en la creacion de este he diseñado un manual para el que os guiara pero si teneis dudas, comentad o mandar un email
Demostracion: