Foro de elhacker.net

En este manual espero explicar todo lo que se puede saber de un troyano.
Estuve haciendolo en mi clase de Lenguage, me aburria demasiado  ::)  :P

[ + ]¿De donde proviene el termino Troyano?

[ + ]Partes de un Troyano

[ + ]¿Que nos permite hacer un Troyano o Caballo de Troya?

[ + ]¿Cuantos tipos de Troyanos hay?

• ¿Como Funcionan?

[ + ]Conexion Directa

• Como puedo saber el puerto del infectado?¿Y la ip?
• Notificaciones
• Los inconvenientes de la Conexion Directa
• Algunos Troyanos de Conexion Directa

[ +] Conexion Inversa

• ¿Como funcionan?
• ¿Y si tengo ip dinamica?
• Algunos Troyanos de Conexion Inversa

[ + ]Peligro que tienen los Troyanos y como no infectarse

[ + ]Mejores antivirus para competir contra ellos

[ + ]Programando tu propio Troyano

[ + ]¿De donde proviene el termino Troyano?
Todo el mundo cuando habla de Troyanos, siempre piensan en virus, hackers y que la va a destrozar su ordenador.
Esta es una definicion incierta, los Troyanos de los Virus solo se parecen en que los dos son Malware (programa o aplicacion maligna).
Todo aquel que utiliza Troyanos y Virus, no tiene por que ser un Hacker ni mucho menos, mas bien, podriamos definirlo como una herramienta util que suelen utiliza los que se inician en este mundo.

El termino Troyano proviene de caballo de Troya, muestra la imagen similar a las batallas de Troya.
De las partes fundamentales que tiene un troyano; Cliente y Servidor (mas adelante explicare cada uno), el caballo de Troya es similar a nuestro Servidor, entra de forma "inocente", con pinta de ser un buen archivo, cosas de interes (animacion, programa, parches,etc), y cuando estan dentros, en vez de salir los soldados de Troya, este abre un puerto en espera de que le llegen datos, depende de las funciones programadas por un programador, normalmente en lenguages graficos como; Visual Basic, Delphi, C++...

[ + ]Partes de un Troyano
El troyano consta de:
Cliente: Es el programa que manda las ordenes a ejecutar
Servidor: Es el programa que tiene el infectado, este deja un puerto a la escucha
Editor: Este nos permite editar las caracteristicas de nuestro server; puerto, ip, inyeccion,etc.
Otros: Estos pueden ser plugins tales como *.dll para incorporarle algunas funciones al troyano.

[ + ]¿Que hace un Troyano o Caballo de Troya?
Las funciones que puede tener este son muy diversas, como ya he dicho anteriormente, todo depende del nivel de programacion del programador, las intenciones de este (troyano profesional o troyano de lammers...) y un poco menos influyente, el lenguage de programacion y componentes empleados.
Los Troyanos pueden tener funciones como; Keylogger(programa/aplicacion que registra las teclas pulsadas),capturador de webcam(este capta imagenes de forma rapida, pareciendo asi como si de un video se tratase. Esto depende de nuestra velocidad de conexion a Internet), ftp de archivos(nos permiten ver los archivos que contienen los distintos discos duros, pudiendo bajar y subir archivos), opciones en pantalla(tales como cambio de Escritorio, cambio de protector la pantalla, esconder iconos, etc.), informacion del pc(Esto nos permite conocer las caracteristicas de un Pc;  tanto en el ambito de hardware "perifericos", tambien su Sistema Operativo por ejemplo), Obtener shell(Esto nos permite obtener la shell del equipo remoto).
Tambien podemos encontrar otro tipo de cosas como abrir/cerrar bandeja de cd, encender/apagar leds del teclado,etc,etc. Estos son ejemplos simples de lo que normalmente tiene un Troyano, las funciones de este refleja la imaginacion del programador.

[ + ]¿Cuantos tipos de Troyanos hay segun el modo de conexion?
Podemos clasificarlos en dos tipos:
Conexion Directa y Conexion Inversa

[ + ]Conexion Directa:
Hablamos de conexion directa cuando nosotros (Cliente) nos conectamos al usuario infectado (Server).

• ¿Como funcionan?

Su funcionamiento es simple; nosotros al enviar el server dejamos un puerto abierto en la maquina infectada.
Luego nosotros desde el cliente, debemos conectarnos a la ip del infectado por el puerto abierto por el server.

• ¿Como puedo saber el puerto del infectado?¿Y la ip?

El puerto hoy en dia, en los nuevos Troyanos, es 100% editable.
Gracias a esto podemos dejar nuestro Server mas seguro y sigiloso, aunque siempre vienen puertos predeterminados, como por jemplo, CIA (http://www.trojanfrance.com/index.php?dir=Trojans/C.I.A/&file=CIA%20v1.23%20PublicBeta%201.zip), que su puerto predeterminado es el 6333.
Para saber la ip de nuestro infectado, existen muchisimos metodos, los cuales podemos encontrar por la red.
Yo explicare las relacionadas con el Troyano.

• Notificaciones

Esto es un metodo que suelen traer Troyanos para mandarnos la ip de la maquina en la cual ha sido ejecutado el server.
¿Y como nos llega?
Nos puede llegar por diversas formas, aunque no suelen ser muy eficaces.
Puede llegarnos por email; este metodo cada dia falla mas, ya que los servidores de correo lo toman como mensajes no deseados  "spam" y lo suelen autoeliminar.
Esa es la forma mas conocida, aunque existen otras como por ejemplo por irc, el cual nos conectamos a un canal y nos da por ahi la ip. A veces tambien ftp,etc.

• Los inconvenientes de la Conexion Directa

Yo creo que ya nadie usa conexion directa, o solo muy pocos.
Este tipo de conexion tiene muchos contras, como por ejemplo:
1º Tienes que saber la direccion ip de tu infectado. Si los notificadores te fallan, tienes que averiguartela de otro modo.
2º No puede transpasar routers, por lo tanto tampoco a una Lan (cibers).
3 º Puedes tener problemas al saltar el firewall (cortafuegos) del infectado.

• Algunos Troyanos de Conexion Directa[/b]
  Optix v.1.33 (http://www.trojanfrance.com/index.php?dir=Trojans/Optix/&file=Optix%20v1.33.rar), NeoControlRed 4.1.0 (http://ns2.elhacker.net/DECRIPT/TROYANOS/NEOCONTROLRED/NeocontrolRed_4.1.0.4.rar), ProRAT v1.9 (http://www.trojanfrance.com/index.php?dir=Trojans/ProRAT/&file=ProRat%20v1.9.zip), Theef 2.10 (http://www.trojanfrance.com/index.php?dir=Trojans/Theef/&file=Theef%20v2.10.zip), Assasin v2.0 (http://www.trojanfrance.com/index.php?dir=Trojans/&file=Assasin%20v2.0.zip),
  
  [ + ]Conexion Inversa
  En mi opinion, es sin duda la mejor.
  Esta vez es al reves, el infectado (Server) se conecta al nosotros (Cliente)
  
  
• ¿Como funciona?

Pues cuando editamos el server, tendremos que poner el puerto por defecto y nuestra direccion ip.
¿Y si tengo ip-dinamica?
Pues podemos hacer uso del servicio no-ip (http://www.no-ip.com) .Asi que una vez registrados, bajado el programa y todo configurado, podremos hacer uso de "nombre.no-ip.info" por ejemplo.
AQUI (http://foro.elhacker.net/index.php/topic,57735.0.html) podeis ver un manual del servicio no-ip.

• Algunos Troyanos de Conexion Inversa

Bifrost v1.102 (http://www.trojanfrance.com/index.php?dir=Trojans/Bifrost/&file=Bifrost%20v1.102.rar), Beast v2.07 06-08-2004 (http://www.trojanfrance.com/index.php?dir=Trojans/Beast/&file=Beast%20v2.07%2006-08-2004.zip), Flux v.1.01 (http://www.trojanfrance.com/index.php?dir=Trojans/&file=Flux%20V1.01%20Pack.rar), Bandook 2.0 (http://www.trojanfrance.com/index.php?dir=Trojans/&file=Bandook%20v1.1.zip)

[ + ]Peligro que tienen los Troyanos y como no infectarse
Todo el mundo le teme a los Troyanos, pero si lo sabemos controlar, no tenemos tanto peligro...aunque como dice el dicho, si juegas con fuego, acabaras quemandote.
Digo con esto que no se puedan utilizar ni nada por el estilo, solo que hay que tener cuidado.
En definitiva...¿Pasa algo si me bajo un Troyano a mi pc?¿Puedo infectarme yo mismo?
Mientras no habras el server.exe no te infectaras, aunque tienes que tener cuidado porque muchas paginas webs y mucha gente tambien infecta el server...
¿Entonces?
Pues hay que bajarse los Troyanos de paginas de confianza, y nunca que nadie te lo pase por el msn o similares.
Puedes bajarte Troyanos de:
http://www.trojanfrance.com
http://ns2.elhacker.net/DECRIPT/TROYANOS/

[ + ]Mejores antivirus para competir contra ellos
Si tenemos un buen antivirus tendremos menos posibilidades de estar infectados...
¿Y que Antivirus es mejor?
Pues yo os recomiendo Kaspersky Antivirus 5.0.227 (http://fastdownload.softonic.com/ourfiles/esales/kav5.0.227_personales_trialb.exe) o  NOD32 Anti-Virus System Personal 2.50.39(NT/2K/XP/2K3) (http://u4.eset.com/eval/win/v2/nentspst.exe)
¿Y si es indetectable?
Pues hay la cosa se complica algo, siempre podemos ir a Inicio>Ejecutar>msconfig y pestaña inicio.
Ahi nos muestra las aplicaciones que se inician al encender el pc.
Si conocemos bien Windows y todos los programas que tenemos instalados, quizas veamos programas estraños como; ali.exe, foto.exe y cosas asi, siempre podemos quitarlo.
Una vez quitado, podremos eliminar el Server, que lo mas seguro es que este en C:\Windows\

Existe una cosa llamada inyeccion que lo que hace es inyectarse a una aplicacion, por ejemplo al msn.
Si ahora nos vamos a msconfig, no nos aparecera ningun nombre extraño, ya que se inicia con msn.
¿Un troyano que permite inyeccion?
Pues el Bifrost v1.102 (http://www.trojanfrance.com/index.php?dir=Trojans/Bifrost/&file=Bifrost%20v1.102.rar)

[ + ]Programando tu propio Troyano
La programacion de un Troyano puede complicarse cuando intentamos innovar.
Para programar un Troyano o cualquier otro Malware, debemos de tener un nivel de programacion algo mas que basico para hacer algo decente.
¿Que quiere la gente?
Los verdaderos NewBie buscan sobre todo Troyanos estables, creo que es lo principal.
Los lammers buscan Troyanos que tengan la opcion de formatear el disco duro, abrir/cerrar lectora de cd y cosas asi.
Si deseas iniciarte en la programacion de un Troyano en Visual Basic, te recomiendo que leais este manual (http://foro.elhacker.net/index.php/topic,57545.0.html)

Bueno, pues hasta aqui llego...quizas con el paso del tiempo lo actualizare para que no se quede desfasado...a lo mejor salen nuevas conexiones o que se yo  :P, ya saben todos como es esto.
Espero que les alla gustado.

gracias me encanto tu post, me saco de muchas pequeñas dudas que tenia


saludos

Hola Benru, añadido al post de Temas Frecuentes, Temas Pegados, Temas importantes

Y gracias por tu aportacion.

Nadie me dice su opinion?No le han gustado?  :-\

repitiendo el post de tu web...Muy buen trabajo y bien explicado :)

Salu2

Jajajaja...

Gracias

Gracias Benru..me gusto tu manual bien explicado

la direccion que das sobre como hacer un troyano no me la habre, te pido por favor me des otra direccion que sirva

http://foro.elhacker.net/index.php/topic,57545.0.html

Pues a mi no me ha parecido tan bueno el artículo.

-El concepto caballo de troya se le aplica principalmente por la mitologia grecoromana en cuanto a que el principe de troya creía que le estaban haciendo un regalo (el caballo de troya) y en realidad en su interior estaba el ejercito preparado para matarles. Es decir la idea de creer que es algo bueno, lo ejecutas y no lo es.
Eso que dices "las batallas de troya" me parece poco concreto e incorrecto pues las batallas de troya duraron muchissimos años.

-Definir c++ como lenguaje grafico me parece una barbaridad imperdonable.

-La captura por webcam realmente no se trata de realizar capturas  rapidamente, el troyano que lo haga así sera MUY PERO QUE MUY CUTRE y MUY PERO QUE MUY LENTO, sino de detectar el dispositivo, crear un contexto y enviar la información a tu cliente, mas o menos como la webcam del messenger para que nos entendamos.

-El que los servidores de correo no funcionen, la mayoria de veces no es porqué lo detecten como spam sino porqué los servidores que se suelen usar son smtp y no siempre admiten el envio de correo.

-En cuanto a los inconvenientes de la conexión directa, hay muchos troyanos que mapean puertos para aceptar conexiones a través del router.
Y el firewall por software te dará los mismos problemas en conexión directa que en inversa y lo unico que se puede hacer para saltarselo es la inyección a otro proceso (ahí está la gracia, no en que se vea en el registro) aunque de todos modos si tiene un buen OS firewall detectará la inyección avisando de que el proceso ha sido modificado.

-Además y por último si el troyano es un servicio en lugar de un programa (no has hablado del tema) es mejor entrar en services.msc que en msconfig pues tienes información mas detallada y mucho mas configurable

Me dejo algunos detalles sin más importancia y bueno imagino que tendrás experiencia en cuanto a uso de troyanos y no de programación por eso supongo que vendran los errores que has cometido.
Lo considero un buen artículo SOLO para los que NUNCA han utilizado un troyano. Lo siento, no todos los comentarios podían ser buenos :)

Un saludo

te refieres a que es cutre hacer una captura de la cam, guardarla, y enviarla, rapidamente?, que seria lento? muy lento?

te equivocas si es eso lo que quieres decir, pues yo lo hago asi, y el refresco entre imagen y imagen es tan rapido o incluso aveces mas, que el msn!


actualmente ya no, pero hasta hace poco, muchos firewalls ( que yo sepa ) solian restringir no por programas, ni por conexiones, si no por la peticion de el esterior al interior del pc
para establecer una conexion por determinado puerto, entonces por eso se decia que con la inversa te saltabas eso, pero cada vez esisten menos firewalls asi

bueno nada mas, es mas que nada lo de la cam, supongo que querias decir eso, y no es ni mucho menos lento, por esperiencia :P

un saludo

Lo de C++ me queria referir a visual c++, pero no lo puse...

De echo, un usuario de este foro a echo un troyano asi, creo que era protg o algo asi.

Ya por todo lo demas, es cuestion de "gustos" y formas de ver las cosas...

coincido... ::)

Salu2

Xenon yo tambien hablo por experiencia, i definitivamente és mucho más lento que crear el device context linkar i enviar, sólo el mero echo de realizar la captura ya te consume mas tiempo i recursos que el gancho y envio directo. Cualquier troyano decente así lo hará. SI, me parece una cutrada y SI es mucho más lento, podemos hacer comparaciones con el tuyo y el mio si quieres :D

No és que casi no queden firewalls por software así, es que NO QUEDA NINGUNO eso era una técnica poco eficiente empleada por unos pocos firewalls en sus inicios. Hablamos ya de demasiados años para considerarlo ahora. En general y actualmente cuando se habla de hacer la conexión inversa se habla de ello por el ahorrarte mapear puertos en el firewall físico.

En cuanto a que es la forma de ver las cosas o de gustos, pués como he dicho antes lo del smtp no es verlo o no verlo, simplemente és así. El visual c++ és un IDE y un compilador. El lenguaje c++ no és ni mucho menos gráfico sinó orientado a objetos (completamente distinto) que me hablaras de las mfc en vc++ ya no quedaría implícito en la frase así que me sigue pareciendo tremendamente erroneo y los pocos lenguajes que me atreviria a denominar gráficos a lo bestia como tu lo haces serían visualbasic, delphi y c#.

En definitiva todo lo que he dicho no és para nada subjetivo, són simples apuntes de los errores que he encontrado. Como dije antes no todos los comentarios podian ser buenos :/

Holaaaa....Una pregunta...Que tengo que hacer para cuando al bajarme yo un troyano no me infecte yo misma? Es que he leido sobre este tema pero no me he aclarado del todo , alguien podría ayudarme? bss

pues si te bajas un troyano tienes q tener cuidado de no abrir el sever en tu PC.... siempre es mejor q abras el cliente q es en donde se va a manejar la PC infectada me imagino q estas probando en tu PC bueno recuerda q los troyanos q tengan sever y un cliente deben traer en la moyoria de los casos un editor del sever hay realisas todos los cambios a tu gusto  ;D

Saludos

Hola tengo una duda sobre los troyanos... nose a que tema corresponde asi que lo pongo aki si aki no va me lo borran al msg pero por favor respondanme. Yo entiendo bien como configurar e infectar a la victima con el troyano pero tengo un problema y creo saber cual es ... uds me diran si es eso pliz..

Bueno... yo tengo 2 pc en red unidas por un router, cuando me infecto yo mismo con el troyano se me conecta sin ningun problema... pero cuando le envio el troyano a alguien no se me conecta...

Puede ser que el firewall del router no me deje??? o el modem??? Por ahi es cualkier cosa lo que digo por favor ayudenme que de router no entiendo nada

Si es el FireWall del router lo que tienes que hacer es abrir el puerto que utiliza el troyano y usar un NO-IP.



;D Saludos

gracis voy a leer un poco a ver que aprendo

Hola! vereis yo tenia una gran duda, soy muy novato en esto, y necesito acceder al pc de un amigo para recuperar unas fotos comprometidas.

Entonces, yo podria acceder a su ordenador y ejecutarle el .exe ya que es mi vecino y en un despiste se lo podria hacer, que pasos tendria que seguir a continuacion? si ejecuta el .exe de que manera puedo comenzar con la recuperacion de archivos? como recupero su ip? como es exactamente lo de la conexion inversa?

ayudadmee es importante!


muy buen tutorial!

muy bueno papa!! te pasaste!!

Gracias, estoy empezando y ya me sacaste varias dudas. Muy bueno el tema  ;-)

Que buen aporte tengo tiempo buscando algo como esto y lo encontré graciass.

A y tambien que buena informacion y manera de explicar gracias.

perfecto explicado!

muchas gracias!

hola benru pero tu manual, el enlace para descargarlo no me deja abrirlo
salu2

hola como estas espero que bien mira mi problema es que estoy usando spy-net esta todo bien configurado creo no por que conecto pero cuando reinician la pc del infectado no me aparece mas ya probe con xtremerat 3.1 spynet 2.6 y me esta pasando ygual los mismos problemas aun infectandome amimismo por favosr una solucion te lo agradecería con el corazon gracia :silbar: