Bueno primero que nada creare este manual tan grande para personas que se crean conflicto en la cabeza buscando en el foro estando todo tan claro y si este manual anda hecho por ahi que yo no lo haya visto, moderadores ustedes sabran que hacer con mi post.
Modifico el post para agregar la pagina oficial del Poison
http://www.poisonivy-rat.com/index.php?link=downloadModifico este post para Advertir a los que usen troyanos
"jamas usar contra ustedes la opcion persitence, Porq se les cierra el puerto y ya jamas podran infectar a sus victimas, hagan sus pruebas en ustedes mismos si esa opcion señalada o tendran que probar con demas puertos disponibles o formatear el windows o buscar en el registro el rastro de su troyano"Bueno enpezaremos con el Manual del Poison 2.2.0Bueno ahora enseñare paso por paso que deben hacer...
Cuando ejecutamos el Poison Ivy aparece la siguiente ventana:
Empiezo explicando las columnas de la ventana principal:
ID:
muestra el nombre que le dimos a la victima.
WAN:
muestra la IP de internet de la victima.
LAN:
muestra la IP de red de la victima. Si no se encontrara en una red se mostrara la misma IP
que en WAN.
Computer:
muestra el nombre de la PC de la victima.
User Name:
muetra el nombre del usuario activo en la PC de la victima.
Acc. Type:
muestra el tipo de sesion que esta activo en la PC de la victima. Estos pueden ser
Administrador, Invitado, Usuario comun, etc, y determina el tipo de privilegios que se tiene en
la PC.
OS:
significa "Operating System", es decir "Sistema Operativo" y nos dira que sistema operativo
tiene la PC de la victima (Windows 98, ME, 2000, XP, Linux, etc)
CPU:
nos dira la cantidad de megahertz (MHz) que tiene el procesador de la PC de la victima.
RAM:
nos dira la cantidad de memoria RAM que posee la PC de la victima.
Version:
indica la version del server que tiene instalada la victima.
Ping:
indica la velocidad de conexion con la victima. Si el numero es muy alto se dificultara nuestra
conexion con la victima y se podria perder. Cuanto mas bajo sea es mejor.
Port: xxxx :
indica el puerto que estamos escuchando.
Connection(s): xx :
indica la cantidad de conexiones que tenemos.
Esta era la solapa "Connections", ubicada en la parte inferior derecha de la pantalla. Ahora
explico las otras:
Build:
aca se creara nuestro server. Aparecera la siguiente ventana:
DNS/Port:
aca se deben ingresar las IP's o los dominios en NO-IP a los que nuestro server se
conectara. Al hacer click en "Add" aparecera esta ventana:
Debemos agregar IP's o dominios NO-IP y luego probar las conexiones con el boton "Test
Connections". Si aparece un _/ en verde significa que la conexion funciona. Caso contrario
aparecera una X roja.
Continuamos con las opciones de "Build":
ID:
es el nombre con el que aparecera nuestra victima conectada. Aparece en la columna "ID" de
la ventana principal.
Password:
es la clave para diferenciar nuestros servers de los otros tantos que existen.
DNS/Ports dentro de "Socks4":
se agrgan de la misma manera, con el boton "Add", y sirve para agregar proxys en el medio
de a conexion. Utilizando esta opcion va a lentificar la velocidad de conexion.
Active-X Key:
para utilizarla hay que activar la casilla "Startup". Sirve para crear un registro en la PC de
la victima para que nuestro server se conecte cada vez que se inicia Windows.
Filename:
es el nombre con que se instalara el server en la PC de la victima. Es conveniente escribir uno
que no llame la atencion.
Copy file to:
si la seleccionamos, debemos elegir "System Folder" o "Windows folder". Es la carpeta en la
cual se copiara nuestro server.
Melt:
si la seleccionamos, cuando nuestra victima ejecute el server, éste desaparecera.
Keylogger:
sirve para activar la opcion de Keylogger apenas se ejecuta el server.
Persistence:
no estoy muy seguro de esta opcion, pero me parece que sirve para que el server sea dificil
de eliminar.
Advanced:
estas opciones son avanzadas y no son convenientes cambiarlas. Tratan funciones de Procesos
y Keylogger.
Icon:
al presionarlo se elegira un icono para que tenga nuestro server.
Build:
construira nuestro server en la carpeta donde se encuentre el Poison Ivy.
Settings:
aca se manejan opciones del programa. La ventana es la siguiente:
Listen on port: xxxx :
aca se establece el puerto que se va a escuchar.
Password:
aca se debe escribir el password para identificar nuestros servers asi pueden conectarse.
Debe ser el mismo que escribimos cuando creamos el server.
Sim. Transfers:
son las descargas simultaneas que el cliente va a comenzar.
Secure Delete rounds:
es la cantidad de veces que un archivo se sobreescribe antes de ser borrado, cuando se
utiliza la opcion "Secure Delete"
Enable Caching:
la verdad no entiendo para que sirve esta funcion. Cuando lo averigue lo agrego. Mientras
tanto dejenla seleccionada.
Auto Refresh:
para que se actualize automaticament e la ventana de archivos de la victima.
Treeview Layout:
si la seleccionamos vamos a ver los archivos de la victima a manera de arbol genealogico.
Menu Layout:
si la seleccionamos vamos a ver los archivos de la victima a manera de menu.
Key log colors:
sirve para cambiar los colores de las diferentes opciones del Keylogger. Estas son "Nombre de
la ventana", "Tiempo del registro" y "Nombre de la tecla". Haciendo clic izquierdo vamos a
seleccionar nuevo color. Con un clic derecho vamos a volver al color predeterminado .
Close to system tray:
sirve para que cuando cerremos la ventana del Poison Ivy, se minimize al lado del reloj.
Minimize to system tray:
sirve para que cuando minimizemos la ventana del Poison Ivy se minimize al lado del reloj.
Balloontip notification:
sirve para que nos notifique las nuevas conexiones en forma de globo.
Promt for password on new connection:
sirve para que cuando se conecte una victima nos pida password.
Promt before exit:
sirve para que nos pida confirmacion antes de cerrar el Poison Ivy.
Promt before delete:
sirve para que nos pida confirmacion antes de borrar.
Interface language:
el idioma del Poison Ivy, aunque por ahora parece que se puede elegir nada mas que ingles.
Save:
para guardar los cambios que hayamos hecho.
Stats:
al hacer clic aparecera la siguiente ventana:
Aca se muestra informacion sobre los datos enviados y recibidos. No hay ninguna otra opcion.
About:
aparecera la siguiente ventana:
Son los creditos y autores del programa. No es nada importante.
Bueno este manual fue creado por mi y explicado por "mandiubi" asi que me hace facilidad no escribir tanto.Bueno empecemos con el manual del Bifrost 1.2.1DescargarUna vez descargado el troyano, lo ejecutan (asegúrense de tener el antivirus desactivado). La
ventana principal es la de siempre:
Bueno como ven tengo las mismas personas que tengo en el poison asi que les cale mi troyan del
bifrost para jamas perder conexion. Asi que ven pocas porq no esperare que se conecten
todas.
Analizaremos primero las columnas de esta ventana
Assigned Name: es el nombre de la víctima en nuestro cliente. Sirve para diferenciar las PCs
que tengamos, así es más facil identificarlas . Una opción nueva es que aparece una bandera
indicando de qué país es la víctima.
IP: muestra las direcciones IP de la víctima. Primero se muestra la interna y luego la pública,
separadas por una / . Si la víctima no se encuentra dentro de una red, las dos IP serán
iguales.
Computer/User Name: muestra el nombre de la PC de la víctima, y el usuario activo.
Version: muestra la versión del server instalado en la PC de la víctima.
C: muestra si la PC de la víctima posee Webcam. Si aparece una x significa que no se verificó
si hay webcam. Si aparece una X significa que sí posee webcam. Si aparece un - significa que
la PC no posee una webcam.
E: muestra si la víctima tiene instalada la extensión del Bifrost. Es lo mismo que el Plugin en
las versiones anteriores, y sirve para poder utilizar ciertas funciones del troyano. Es
recomendable incluirla siempre.
Idle: por el momento no sé bien qué significa esta funcion. Después lo actualizo.
Ping: siempre es conveniente echar un ojo al número que aparece acá. Si estamos realizando
muchas tareas a la vez en la víctima (descarga de archivos, webcam, screen capture
simultáneamente por ejemplo), el Ping aumentará. Si es muy alto podemos llegar a perder la
conexión con la víctima. Cuanto más bajo esté mejor.
Ahora analizaremos los botones de la parte inferior de la ventana principal.
Settings: en esta opción se cambian opciones de configuración del cliente. La ventana es la
siguiente:
Ports: acá debemos ingresar el puerto con el que el server se conectará al cliente. Nos da la
posibilidad de ingresar tres puertos, esto es por si en alguno no se puede conectar, intenta
con el otro puerto. Si no queremos ingresar los otros dos puertos, dejamos el valor 0.
Password: se debe ingresar una contraseña que debe coincidir con la que luego ingresaremos en
el server.
Name of extension after upload: ingresaremos el nombre que tendrá la extensión (o plugin) si
subimos un server con la opción Upload.
Msn style notification: si la seleccionamos, cuando las víctimas se conecten nos notificará
mediante una ventana al estilo MSN.
Check password for incoming connections: si la seleccionamos, se verificará la contraseña
cuando recibamos las conexiones.
Compress file transfer: si la seleccionamos, comprimirá los datos de la transferencia de
archivos para que se realice más rápido.
Method to determine flag: es la forma que utiliza el Bifrost para determinar la bandera del
país de la víctima. La primera opción utiliza las opciones de región e idioma en la PC de la
víctima. La segunda opción utiliza el idioma del teclado.
Builder: acá es donde creamos el server. Vamos a ir viendo las diferentes solapas de esta
ventana.
Builder - Connection: se configuran las opciones de conexión del server. La ventana es la
siguiente:
Dynamic DNS/IP: acá debemos ingresar la dirección DNS (creada, por ejemplo, en no-ip.com)
o la dirección IP de nuestra PC. Una vez que lo hayamos hecho, debemos clickear en el botón
Add y se agregará a la lista. Podemos agregar muchas direcciones, pero el server se
intentará conectar primero a la dirección que se encuentre al tope de la lista. Si falla, lo hará
con la segunda, y así sucesivamente. Podemos también borrar direcciones con el botón Delete.
Con los botones Up y Down podemos cambiar el orden de las direcciones de la lista.
Password: debemos ingresar una contraseña. Ésta debe coincidir con la que esté en Settings.
Port: debemos ingresar el puerto que el server utilizará para conectarse. Debe también
coincidir con el de Settings.
Connect through Socks 4: sirve para que la conexión pase a través de un servidor intermedio o
proxy. Se maneja de la misma manera que la lista anterior.
Builder - Installation: se manejan opciones de instalación del server.
Filename when installed: acá debemos ingresar el nombre por el que se hará pasar nuestro
server una vez instalado en la PC remota.
Directory to install to: es el directorio que el server creará una vez instalado en la PC de la
víctima. Luego debemos seleccionar una de las tres opciones que hay, Program files directory,
System directory o Windows directory. Por ejemplo, si en el directorio a instalar escribo
"portalhacker", y selecciono "Program files directory", el server se instalará en C:\Archivos
de programa\portalhacker .
Autostart at reboot: si la seleccionamos, el server se ejecutará automáticamente cada vez
que se inicie Windows en la PC remota. Con el botón Random Key podemos generar un valor al
azar que se creará en el registro.
Mutex name: esta opción es avanzada, y es conveniente no cambiar el valor.
Registry key: acá debemos ingresar un nombre que será creado en el registro de la PC
remota, en donde se almacenarán datos tales como el nombre que le asignamos a la víctima.
Include extension pack: si la seleccionamos, el server tendrá el paquete o plugin que le
permite utilizar ciertas funciones. Es recomendable activarlo. Igualmente el plugin se puede
subir luego.
Offline keylogger: si la seleccionamos, el server activará (una vez que se haya instalado en la
PC remota) el keylogger. Comenzará a guardar las teclas presionadas. Con Exclude Shift and
Ctrl no tendrá en cuenta las teclas Shift y Control (en otras versiones, en el keylogger
aparecía SHIFT y CONTROL cada vez que se presionaban esas teclas, y era un poco
molesto). Con la opción Exclude Backspace hará que en el log no aparezca esta tecla, de igual
manera que la otra opción ya explicada.
Try to inject to a specified process before injecting to the browser: nos permite injectar el
server en un proceso (el cual debemos escribir en Process name), para que se haga pasar por
él. Si no la seleccionamos, o el server no puede injectarse a ese proceso, lo hará con su
explorador de internet predeterminado.
Assigned name: es el nombre con el que aparecerá conectada la víctima en nuestro cliente.
Persistant server: hará que el server vuelva a ejecutarse si su proceso fue cerrado, o si fue
eliminado se creará nuevamente.
Builder - Stealth: maneja opciones de ocultación del server. La ventana es la siguiente:
Stealth Mode: acá elegimos el modo de ocultación del server. Si seleccionamos Visible mode, el
server se ejecuta de forma visible, esto es útil si se quiere dar servicio técnico. Si
seleccionamos Cautious mode, el server se ejecutará de forma oculta, pero si no logra
injectarse se cerrará para no ser descubierto. Si seleccionamos Agressive mode, el server se
ejecutará de forma oculta, y si la inyección falla, intentará conectarse igual.
Set attribute hidden: el server tendrá la opción "Oculto" activada.
Set older file date: el server y su carpeta tendrán su fecha de creación antiguas. Esto es
muy útil para no crear sospechas.
Melt server: cuando el server sea ejecutado, va a desaparecer.
Kernel level unhooking: esta opción sirve para lograr pasar más cantidad de firewalls. El
usuario debe ser administrador para que funcione. Igualmente no es recomendable activarla,
ya que esa función todavia es beta y puede presentar problemas.
Delayed Connection: sirve para darle al server un tiempo antes de ejecutarse. Si
seleccionamos No delay se ejecutará inmediatamente . Con Delay to next reboot lo hará
cuando la PC se reinicie. La tercera opción nos permite establecer un tiempo exacto, con días,
horas y minutos, para que el server se ejecute.
Hide Process: intenta ocultar el proceso del server. Esta función requiere que la víctima posea
Windows XP y que el usuario sea administrador. Igualmente, es beta y es probable que no
funcione correctamente.
Builder - Miscellaneous: acá se maneja una opción de conectarse a una red TOR, que es
anónima y oculta nuestra identidad. Igualmente no sé bien como funciona, pero les dejo la
ventana y una descripción de wikipedia:
Citar
Tor (The Onion Router) es una implementación libre de un sistema de encaminamiento llamado
onion routing que permite a sus usuarios comunicarse en Internet de manera anónima.
Originado en el US Naval Research Laboratory y hasta Noviembre de 2005 patrocinado por la
Electronic Frontier Foundation, Tor es desarrollado por Roger Dingledine y Nick Mathewson
junto con otros desarrolladore s.
Tor provee un canal de comunicación anónimo y está diseñado para ser resistente a ataques de
análisis de tráfico (traffic analysis). Por lo tanto, usando Tor es posible realizar una conexión
a un equipo sin que este o ningún otro tenga posibilidad de conocer el número de IP de origen
de la conexión.
Tor es usualmente combinado con Privoxy para acceder a páginas web de forma anónima y
segura. Privoxy es un proxy HTTP diseñado para proteger la privacidad en la navegación de
internet.
La interfaz de Tor es un proxy SOCKS (usualmente en el puerto 9050).
Bueno este manual fue creado por mi y explicado por "mandiubi" asi que me hace facilidad no escribir tanto. Tmb corregi algunos errores ortograficos.Ahora Empezaremos con el manual del no-ipPaso 1: Entra en
www.no-ip.com y pulsa sobre FREE NO-IP. Una vez hecho esto le das al
boton de abajo Sign up now!
Cuando te registres y valides tu cuenta, pulsando sobre el link que mandaran a tu cuenta de
correo, logeate en la pagina poniendo tu email y password.
Paso 2: Pulsa sobre el boton ADD en el panel de la izquierda.
En hostname pon lo que quieras, por ejemplo: danger y eliges algunos de los host's que ponen
ahi, por ejemplo no-ip.org da igual cual sea. En Host Tipe deja DNS (A) y debera aparecer
tu IP en IPadresses. El resto dejalo como esta y dale a create host.
En un minuto o menos debera estar.
Paso 3: Ahora vete a downloads y baja el DUCK para windows.
Entrar
Instala este programa, que tendras que tener abierto siempre que uses un troyano con
conexion inversa. Al abrirlo te pedira tu email y password (el mismo que tienes en no-ip.com).
Una vez te logees en el programa debera aparecerte algo asi:
Cliquea sobre la carita feliz hasta que se ponga asi: XD y entonces estara conectado.
Explicado por "electro-ooz" y modificado y corregido por mi __D4NG3R__Bueno estas fotos colocadas obvio que son mias y lo demas ya sabran hice esto para que no tengan que tener dificultad en los demas post, espero que dejen este tema los mod y sea valorado asi como todos los del area, si necesitan otro manual como el private o algun escriter que ya haya usado les avisare o me avisaran.
Manual del themida completo, cambiar extension y todos los pasos de como indetectar un server Hecho por mi.Bueno comencemos hay una forma de que el server del poison no sea exe pero aun sigue siendo ejecutable y son terminaciones como estas .scr , .dll, .ocx y por supuesto exe...
Bueno lo primero que haremos es hacer un nuevo server de prueba, le colocamos el icono que keramos y despues guardar con el terminal .scr
Ahora pueden hacer los pasos que ustedes deseen yo lo hago de otro modo, no lo ajunto con nada el server ya que no me gusta aunque se pero mejor usemos lo sencillo y si tienen alguna duda postearla...
abrimos el themida y vamos a ponerlo el peso menos posible y que ningun anti virus lo detecte.. veamos...
Bueno en Ouput le cambiamos un poco el nombre o sino se hara al server normal
Ahora vamos a Opciones avanzadas
Y le sacamos todo...
Ahora vamos a Virtual Machine... y bajamos todo lo que veran en la foto y suben lo de 14 ah 100
esto hara que el server no sea detectado por ningun anti virus...
Bueno ahora vamos a Opciones de proteccion y hacemos lo mismo sacamos toda opciones menos algunas que veran en mi foto...
Bueno ahora el final proteger el server...
Ahora el final donde se va haciendo el proceso de todo , nota: no darle a test o se constagearan y se les cerrara el puerto..
Bueno ya terminado le dan close y despues lo cierran les dira si desean guardar le dan donde dice no... bueno para mi esta explicacion fue acaba espero que sea de algo util para ustedes pork es sencillo pero a la vez troyan bien como he infectado bastante personas con la menos sospecha que una foto diga exe sino scr...
Sino tienen esta version del themida aca se los dejo....
Bueno aqui agregare como abrir los puertos de su router es muy facil:Primero que nada vamos a entrar ha:
Inicio - Ejecutar - Cmd
Donde nos presenta la pantalla dos y ahi intruduciremos esto:
ipconfig
Ahora se vera asi:
Entonces donde dice Puerta De Enlace Preterminada la ip con la cual abriran su router
Ahora abrimos el internet explorer o firefox lo que tengamos y abrimos una pagina en blanco, escribimos nuestra ip preterminada y nos saldra asi:
Que nos pide, bueno la mayoria de router tienen el acceso con el admin y el numero de serie de la marca del modem, tmb tienen el nombre del modem como clave o abajo del mismo router esta la clave en la version etc, si llega el caso y no sabemos ni podemos conseguir la clave Nota: Llamemos a nuestro Proveedor de Internet donde ellos le tienen que asignar la contraseña.
Muy bien ya que hemos entrado a Nuestro Router nos saldra una ventana asi:
Nota: Recuerden algo, cada modelo de router se abre el puerto de una forma diferente al entrar a el, pero en conseguir nuestra IP todo es igual.
Ahora llegamos a donde todos queremos, como abrir el puerto con cual nuestra victima se nos conectara a nosotros.
Vamos donde dice: Elija una tarea...
Despues:
Asignar un juego o aplicación a un dispositivo de red local
Despues vamos donde dice: Elija una tarea...
Crear un nuevo juego o aplicación
Ya que hemos elegido la opcion: Asignar un juego o aplicación y Despues: Crear un nuevo juego o aplicación, Nos saldra una ventana en donde colocaremos asi:
Ya que tenemos esos pasos como dije, le damos ha "Siguiente"
Nos saldra otra ventana en donde deberemos poner el puerto en Tcp Asi:
Despues que tenemos los pasos le damos a "Agregar" Despues tendremos que darle a donde dice:
Elija una tarea...
Asignar un juego o aplicación a un dispositivo de red local y nos saldra asi:
Recuerden que pueden agregar muchos puertos pero deben hacer los pasos de siempre dandole a: Crear Un Nuevo Juego o Aplicacion.
Ahora en la foto que mostre ahi debemos elegir el Poison que fuel el cual creamos nuevo y darle como hice en la foto, yo por lo cual cree uno mas llamado Bifrost Con el puerto 81 que es con el cual ando troyando a mis victimas y despues que hemos elegido en la lista nuestra nueva aplicacion se nos vera asi:
Ahi ven donde dice "Encendido" eso quiere decir que yo ya tengo mis dos puertos abiertos el 80 del Poison y el 81 del Bifrost.
Ahora como sabremos si nuestro puerto esta abierto de verdad muy facil entramos ha esta pagina llamada:
http://www.upseros.com/En donde miramos abajo que dice: Servicios y despues le damos a donde dice: Scan De Puertos. Nota: Hay miles de programas para saber nuestros puertos abiertos, pero yo la verdad lo hago mas facil mediante la web es 100% Segura, jamas me ha fallado.
Ya que le dimos ahi y esperamos el test de verificacion de nuestros puertos abiertos, nos saldra una pantalla en donde muestra mayoria de nuestros puertos y nos dira que el 80 estara abierto si desean saber que mas puerto tienen abierto utilicen el programa "PortScan" Por sino lo tienene descarguenlo aqui:
DescargarBueno hasta aqui termina el Manual, mas claro de ahi no podria explicarles asi que espero que puedan entender Chaito.
Post original pero asi me conocen mejor
http://foro.portalhacker.net/index.php/topic,50395.0.html By __D4NG3R__
Autor
En línea
Gracias
