Combinaciones para tu server

[g6kb]

Si ya tienes el server de tu RAT en mi caso, el server de PI 2.2 sin icono.

Lo primero que vamos a hacer es encriptarlo con  Open Crypter (español)

Abrimos el Open Crypter (español)



Vamos a Agregar archivo y buscamos nuestro server.



Vamos donde dice crear y guardamos nuestro server encriptado.





Ahora al server encriptado lo protegemos con el Armadillo 4.66 32-bit

Abrimos el Armadillo y vamos a New Project



En Project ID ponemos kimo, en Version ponemos 15.



En Primary File to Protect buscamos nuestro server encriptado por el Open Crypt (español).



Ahora sigamos configurandolo como en las Imagenes:









Hacemos un click en New.



Ahora tenes que configurar como en la Imagen...



Ahora, cerramos las dos ventanas de configuración y vamos a Protect File...





Ahora vamos a Inicio, Ejecutar y escribimos esto:



Ahora sigamos las imagenes:











Ahora, vamos a Add y buscamos nuestro server protegido por Armadillo.











Ahora ponemos donde se va a guardar el server comprimido por IExpress.











Ahora vamos alResHacker v3.3.4.75 español para agregarle un icono a nuestro server.

Abrimos el ResHacker v3.3.4.75 español, vamos a Abrir y buscamos el server que pasó por IExpress.



Ahora abrimos la carpeta AVI, después 3001, después 3080 y hacemos click en Stop.



Ahora vamos a la carpeta de Icon, después a 1, después a 3082.
Vamos a Modificar y Remplazar Icono.



Vamos a Abrir con el icono... y seleccionamos nuestro icono para el server, se recomienda que el formato sea .ico



Ahora, vamos a Remplazar.
Y después vamos a guardar la configuración.



Ahora vamos a eleXeScope 6.30 español y lo abrimos.
Vamos a la opción Abrir, y buscamos nuestro server con icono.



Ahora, abrimos las opciones de Resource, Version y  hacemos click en 1.



Ahora arrastramos donde marqué un punto azul, hacia la derecha para que te muestre los Values.



Ahora vamos a Editar algunos de los Values.



Editalos y ahora vamos a Guardar Actualización.





Así quedaria nuestro server terminado:



Por ultimo un scan en virustotal:





Tutorial echo por g6kb
Espero que les sirva

Saludos 

Nota del moderador:

Los enlaces han sido suprimidos como prevencion.
Bajen todo el material de paginas webs oficiales.

[triplex hack]

mmm, has probado a saltarte el paso del iexpress, ya que los instaladores hacen que no salten los Av, ocurre lo mismo con el setupgenerator.

esta muy currado.

salu2

[g6kb]

Prueba tu y me cuentas como te fue.

Saludos

[triplex hack]

yo uso el setup generator pro, y el analisis de los antivirus lo realizo antes de pasar el empaquetador. ya que como te comente es como un escudo , y los antivirus no lo pillan, pero si el server es detectado antes de usar el empaquetador, al desempaquetarse e instalarse en el pc , llega a saltar en el caso de ser detectado por si solo el server.

cuando yo hago una critica o un comentario, no te lo tomes a mal, pero es despues de haber probado el metodo o por la experiencia.

salu2

[surty]

hola,
lo he probado yo y me salen estos resultados

[g6kb]

Con que troyano?

[g6kb]

Lo acabo de Scanear con Poison Ivy 2.2

Resultado:

[_Crash_]

Sino te importa decir exactamente como tienes la config de poison ya que sigo tus pasos al pie de la letra y la parte final de cambiar lo de la version no me sale esa opcion no la tengo en el reshacker ya no dice nada de la version tampoco asi k seguro tiene k ver con la config.

Pd:Uso la misma version de poison y los mismos programas

[BenRu]

No se dan cuenta de las versiones de los antivirus en esas imagenes?

Por ejemplo, hay pone Kaspersky 4.x

Actualmente, va por la version 7.X...

[Imagina]

Hola, el tutorial es muy bueno y se llega a una muy buena encryptacion, pero yo tengo un problema que no se si a los demas les pasa, que es que despues de pasarle el armadillo, el archivo queda totalmente inutilizable, tal es que si lo ejecuto me aparece un cartelito de loading q se va al toque. pero el server del troyano se borra. probe sin pasarle el armadillo y me funciono perfecto, solo que no logro q sea indetectable.

[Jose_Lito]

Muy bueno, funciona perfectamente en la version del Poison Ivy 2.2.0.

Pero lo interesante es en el Bifrost 1.2.1 y el poison 2.3.0, no vale para estos.

Alguna solucion¿

[nhaalclkiemr]

A ver, no es bueno hacer muchas combinaciones de crypters por varias razones:

-La mayoría de las veces los servers quedan inservibes.

-Lo que detecta el antivirus es el último crypter, aunke pases mil crypters el que detecta el AV es el último stub, es decir el último crypter.

-El iexpress es un simple empaquetador de archivos, es un compresor que crea archivos SFX con comprensión CAB, es decir, que su contenido se descomprime en un archivo temporal antes de un ejecutable...

-En tu caso quedó indetectable para casi todos los antivirus, pero provaste durante la ejecución? algunos antivirus solo detectan cuando se ejecutan, en tu caso el ultimo programa fue el iexpress, hay algunos AV (que por muy raro que sea) no descomprimen los archivos de dentro antes de ejecutarlos, pero a la hora de ejecutarlo y que se decomprima en una carpeta temporal puede que lo detecte...

Aún así en tu caso lo hiciste bastante bien...pero en mi opinión la solución está en un crypter o en como mucho dos...al fin y al cabo el ultimo crypter va a encriptar los anteriores, asi k da igual k crypters usaras anteriormente pork al estar la información cifrada no lo va a detectar.

En caso de archivos comprimidos lo que hacen es decomprimirlos y analizarlos, en el caso de los crypters lo que detectan es el stub...que es el encargado de desencryptar los datos y ejecutarlos...

Saludos

saludos

[g6kb]

Hola, el tutorial es muy bueno y se llega a una muy buena encryptacion, pero yo tengo un problema que no se si a los demas les pasa, que es que despues de pasarle el armadillo, el archivo queda totalmente inutilizable, tal es que si lo ejecuto me aparece un cartelito de loading q se va al toque. pero el server del troyano se borra. probe sin pasarle el armadillo y me funciono perfecto, solo que no logro q sea indetectable.

Algún paso abras echo mal del Armadillo.

Muy bueno, funciona perfectamente en la version del Poison Ivy 2.2.0.

Pero lo interesante es en el Bifrost 1.2.1 y el poison 2.3.0, no vale para estos.

Alguna solucion¿

La verdad, estoy trabajando en el Bifrost, creo que una solución seria Infectarlo con el PI 2.2, y despues le subes el server del Bifrost y lo ejecutas

A ver, no es bueno hacer muchas combinaciones de crypters por varias razones:

-La mayoría de las veces los servers quedan inservibes.

-Lo que detecta el antivirus es el último crypter, aunke pases mil crypters el que detecta el AV es el último stub, es decir el último crypter.

-El iexpress es un simple empaquetador de archivos, es un compresor que crea archivos SFX con comprensión CAB, es decir, que su contenido se descomprime en un archivo temporal antes de un ejecutable...

-En tu caso quedó indetectable para casi todos los antivirus, pero provaste durante la ejecución? algunos antivirus solo detectan cuando se ejecutan, en tu caso el ultimo programa fue el iexpress, hay algunos AV (que por muy raro que sea) no descomprimen los archivos de dentro antes de ejecutarlos, pero a la hora de ejecutarlo y que se decomprima en una carpeta temporal puede que lo detecte...

Aún así en tu caso lo hiciste bastante bien...pero en mi opinión la solución está en un crypter o en como mucho dos...al fin y al cabo el ultimo crypter va a encriptar los anteriores, asi k da igual k crypters usaras anteriormente pork al estar la información cifrada no lo va a detectar.

En caso de archivos comprimidos lo que hacen es decomprimirlos y analizarlos, en el caso de los crypters lo que detectan es el stub...que es el encargado de desencryptar los datos y ejecutarlos...

Saludos

Este tutorial está creado para servers de PI 2.2 y Nuclear RAT 2.1
Con otros servers, los deja inservibles

Aunque los AVs detecten el stub, tiene buen resultado.

Lo de Iexpress, es algo importante para el tutorial, para poder cambiar la version del server, si no haces o de IExpress, no puedes cambiar su versión.

PD: Probaste el Tutorial?

[nhaalclkiemr]

PD: Probaste el Tutorial?

No, me fío de ti

Está bien logrado, la cuestión es saber si los archivos quedan indetectables también a la hora de su ejecucion si el AV tiene el residente activado

SAludos

[Gleper]

ALguien me da las paginas para descargar los crypters??
xk no eh encontrado ninguna oficial.

grax