interesante

Gusto despues de haber conosido el antifrost se me subio algo parecido a la cabeza, un programa igual, pero esta vez que sea para muchos server de troyano.

que mal, yo no se C

ah, eh provado el binario para el v1.2 de bifrost, y no me funciona, solo palpadea y despues se cierra

saludos...

Lo primero es saber como se escribe la configuración. Eso se puede saber creando dos servidores del mismo troyano con diferente configuración y comparándolos. Se suele escribir o al final del fichero o como un recurso del ejecutable.

Lo siguiente es ver si la configuración va sin codificar, si puede ver con un editor hexadecimal por ejemplo o va codificada. Si va codificada pues o intentamos ver si es un simple xor lo que se ha usado, o sino tendremos que usar el ollydbg para ver como el server o el cliente codifican/decodifican la configuración.

Una vez que tenemos la configuración en "texto plano" tendremos que ver cuanto ocupa cada campo, por ejemplo el puerto puede ocupar 2 bytes, el dns 20 bytes, etc... Aunque también hay algunos troyanos que usan algún delimitador por ejemplo:
IP|puerto|nombre del exe
127.0.0.1|80|server.exe|

Y lo siguiente es hacer un programa en C que lea esa configuración.
Después busco un troyano que sea sencillo de leer la configuración que escribe y te lo pongo para que lo intentes.

¿Me puedes pasar el server con el que falla? No será la versión private o algo así, con esa no funciona.

Saludos.

cierto al ejecutarlo directamente se te muestra el modo de uso y finaliza el programa, está mas pensado para ser usado desde la consola de windows. De momento está así pero la idea es hacerle una interfaz que llame a estos programas y muestre la salida...Pero bueno esa ya se verá.

Saludos.

Pues la idea es fabulosa, pero llevará muchisimo trabajo...

Yo no se VB (siempre lo digo) pero igualmente puedo ponerme a buscar info e ir posteando links sobre el tema...

Apuesto a que si se llegase a publicar finalmente ese soft, habria cientos de descargas diarias, ya que son cientos las personas que dia a dia resultan infectadas por troyanos enviados por lammerulos y eso...

¡¡Asi que animo, todo es posible!!

Un ejemplo mas o menos fácil es el del bifrost 1.0. El cliente cuando se construye un server añade la configuración de este al final del fichero. Los últimos 4 bytes te dicen la longitud total de la configuración, lo que debemos hacer es ver al longitud de la configuración, retroceder esa longitud para situarnos al principio de la configuración y leerla.
Así que lo primero será abrir el fichero que se recibe como parámetro situarnos al final del fichero menos los 4 bytes que nos dicen la longitud de la configuración y leer esos 4 bytes:
Este programa te muestra la longitud de la configuración.
Lo siguiente sería retroceder esa longitud y empezar a leer los datos:
Con esto leeríamos los 3 dns del bifrost, pero los datos están codificados
El bifrost añade 16 bytes aleatorios, que son los usados para codificar la configuración usando la operación xor. Así que hice una función para descodificarlos:
Siendo char codes[16] los 16 bytes usados para codificar, char *bytes la cadena a decodificar y short int length la longitud de esta cadena. Como veis es ir haciendo xor a cada byte de la cadena con cada byte de la clave...bueno esto mejor que explicarlo es ver el código...

Tras crear muchos servers con distintas configuraciones fui viendo que se escribía en cada campo, una vez que supe que había en cada sitio hice una estructura en C para que quedara mejor organizado:

El resto del código esta en el rar que puse arriba, con esto espero que podais entender mejor el código.


Los pasos a seguir para añadir otro troyano/malware serían:

• Ver en que parte se escribe la configuración, usando editores hexadecimales que permitan comparar dos ejecutables.
• Si está codificada ver como descodificarla, bien "a ojo" puede ser un simple xor, bien mirando el código fuente del troyano si está incluido, o usando algún debugger como ollydbg.
• Cuando ya tenemos la configuración en texto plano, tendremos que ver en que orden se escriben los diferentes campos, la longitud de estos, si se usa algún delimitador para separarlos etc...
• Ya lo último es hacer un programa, da igual el lenguaje, que reciba como segundo parámetro el servidor del troyano, y devuelva la configuración de este.

Para los 3 primeros pasos no es necesario saber programar, y el lenguaje no es ninguna limitación.

Por ejemplo alguien podría postear donde escribe un troyano la configuración y que estructura sigue esta y otro podría hacer el programa.
Saludos.

eaa yo me apunto, ademas puedo decir que funciona perfectamente  . Hace un año aprox ... me baje un crack de crackmanworld cuando aun existia y resulto ser el bifrost 1.2, estaba cifrado o algo xq no lo dectectaba ningun antivirus, lo tuve que mandar a kaspersky yo mismo ^^ y sacarlo a mano. weno el resultado es el siguiente:

Port: 6333

Password: 1337

Number of hosts: 1

 brainstorming.no-ip.info

Enable connection through proxy: No

Number of proxies: 0

Filename when installed: server.exe

Directory to install: Bifrost in Windows directory

Autostart at reboot: Yes

 Registry start key: {9B71D88C-C598-4935-C5D1-43AA4DB90836}

Registry key: Bifrost

Mutex name: Bif123

Persistant server: Yes

Include extension pack: Yes

 Name extension pack: addon.dat

Offline keylogger: Yes

 Keylogger filename: klog.dat

 Exclude Shift and Ctrl: Yes

 Exclude Backspace: No

Try to inject to a specific process: Yes

 Process to inject: iexplore.exe

Assigned name: Default

Stealth mode: Agressive

Set attribute hidden: Yes

Set older file date: Yes

Melt server: No

Delay type: No delay

 Time to delay: 0 Days 0 Hours 0 Mins

Kernel level unhooking: No

Hide process: No

Use TOR plugin: No

 Include TOR plugin in server: Yes

 Url to download TOR plugin:

 Onion hash:

 Filename when installed TOR plugin: TORplugin.dat

//Lo cuelgo x si le a pasado a alguien mas//

Estoy estudiando C asi que espero poder colaborar.
Repito una vez mas, magnifico, muxas gracias Thor
Ahora queda averiguar de donde este esta ip 69.65.19.125-brainstorming.no-ip.info 

http://brainstorming.no-ip.info/
Una página de publicidad...Igual dejo de usar ese dns, a saber...

Lo siento por no poner nada estos dias, pero son tan ajetreados... Espero publicar una interfaz para usarlo, y el mismo código del bifrost 1.0 en todos los lenguajes que pueda. Y detectores para el poison ivy.

Saludos.