Mostrando entradas con la etiqueta Programas hacker. Mostrar todas las entradas
Mostrando entradas con la etiqueta Programas hacker. Mostrar todas las entradas

jueves, 14 de enero de 2010

Poison Ivy Taringa Tutorial - Uber * n00b amistoso

Poison Ivy Tutorial - Uber * n00b amistoso
Bueno he mirado en torno a las tutorías de los demás y sus demonios son complicados como para los inexpertos por lo que he hecho un uber-noob friendly tutorial sobre la Rata, la hiedra venenosa.

DESCARGAS::: Dificultad 1 / 5
No-IP actualización de cliente:

No-IP DUC (Dynamic DNS Update Client) - Descargas de software libre y software de evaluación - CNET Download.com

Poison Ivy:

http://www.poisonivy-rat.com/dl.php?file=PI232

PRE::: Dificultad 1 / 5
Bien, ahora tienes dos descargas simple. >>no-ip.com<<<" onmouseover="this.style.backgroundColor='#ebeff9'" onmouseout="this.style.backgroundColor='#fff'">Ahora vas a tener que firmar con No-IP en>>> no-ip.com <<<
Después de registrarse se tendrá que hacer una redirección nuevo. Mira las imágenes a continuación para los pasos.

(observe que TESTURL no tiene que decir exactamente eso, pero lo que recuerdo uso para más tarde)

Ahora, instale la actualización de la No-IP del cliente. Yo sugiero hacer que se ejecute en el arranque. Una vez instalado, ejecutar y entrar en los detalles de su login y ya está con el PRE parte del tutorial.

CONFIGURACIÓN DE RATA::: Dificultad 2 / 5
Ahora ... Tenemos que hacer un troyano de puerta trasera más conocido como un servidor. New Server." onmouseover="this.style.backgroundColor='#ebeff9'" onmouseout="this.style.backgroundColor='#fff'">Instalar Poison Ivy y luego ir a Archivo> Nuevo servidor.

Ahora ... Llegamos a la creación del servidor de arriba.

Haga clic en "Nuevo perfil".
El tipo de "prueba" y pulsa Aceptar.

En esta ventana hay una cosa que es diferente para cada persona que usa este tutorial, la redirección. Esto es lo que usa de modo que ahora se pone lo que su redirección es. Recuerde seguir FORMATO!
:8000:0," onmouseover="this.style.backgroundColor='#ebeff9'" onmouseout="this.style.backgroundColor='#fff'">Formato: : 8000:0,
Minas: TESTURL.no-ip.biz: 8000:0,
Si usted no sigue este formato EXCEPTO se le

Nota: Cuando haga clic en decir 5 veces, haga clic en 5 veces o más.

Nota: No tiene por qué ser el nombre exacto. Exe lo hice. Eso es sólo un ejemplo.

Ahí está en la carpeta. DISTRIBUIR ESTE. EXE A SU VICTIMA Y tienen que ejecutarlo para que funcione. Nota: Incluso si se ejecutará el troyano puede que no funcione correctamente teniendo en cuenta que una gran cantidad de Anti-Virus de atraparlo.

Ok, tan abierto Poison Ivy .. New Client." onmouseover="this.style.backgroundColor='#ebeff9'" onmouseout="this.style.backgroundColor='#fff'">Archivo> Nuevo Cliente. Hacer que el puerto 8000 y, a continuación, haga clic en Aceptar. Ahora ... Ahora .. Ahora .. Ahora, inicia Pwning noobs que corrió su troyano.

Todos los controles explicó:
Esta información muestra información del sistema operativo y servidor de información de
Gerentes
Archivos de buscar archivos y descargar / cargar y excute
Regedit lío con el registro .. No juegues con esto a menos que usted sabe lo que hace a su hermano
Mismos procesos que con Ctrl-Alt-Delete proceso ficha
Servicios
Los dispositivos de hardware computadoras .. usted puede desactivar / activar todo, excepto el ratón / teclado
Las aplicaciones instaladas en Agregar o quitar programas
Windows las ventanas abiertas, puede cerrar y enviar a pulsaciones de teclas, etc
Herramientas
Relay, puertos activos, Remote **** l No juegues con ellos a menos que sepa lo que usted haga
save as)" onmouseover="this.style.backgroundColor='#ebeff9'" onmouseout="this.style.backgroundColor='#fff'">P *** vista en caché guarda las palabras con MSN y el explorador de Internet (puede guardarlos por clic derecho> guardar como)
Vigilancia
Key Logger puede ver las teclas que presiona, literalmente ... duh
De audio, puede elegir las opciones para escucharlos. esto es divertido de escuchar su música y preguntar acerca de cada canción para escuchar su
Toma una captura de pantalla de pantalla ... empezar por los siglos x MS o único de sólo 1 Screenie. Asimismo, en el rito eligió al 100%, 24 bits para mejor o el 25%, 16 bits para el peor
Webcam havent he encontrado una persona que tiene un trabajo un lol. pero si u hacer precisamente misma pantalla












sábado, 24 de octubre de 2009

Entrar a otra pc por el net bios

NETBIOS (Network Basic Output/Input System que en español Sistema Básico de Red Entrada/Salida) es el protocolo que se encarga de compartir los archivos y las impresoras entre varios ordenadores. Tal vez habrás oído mencionar alguna vez el NETBEUI (NetBIOS Extended User Interface o Interfaz de Usuario Extendido),pues bien, es lo mismo pero NETBIOS lo desarrollaron IBM y Sytek, y NETBEUI lo desarrollo microsoft, tratando de optimizar el NETBIOS para Windows.

Es habitual oír hablar simplemente del "139" este es el puerto por el que funciona este protocolo, el 137 y el 138 también forman parte de este protocolo,

NetBIOS-ns 137 TCP / UDP NetBIOS Name Service

NetBIOS-dgm 138 TCP / UDP NetBIOS Datagram Service

NetBIOS-ssn 139 TCP / UDP NetBIOS Session Service

Para poder comprobar este ataque con éxito debes tener instalado el protocolo en tu PC, para ello, si tienes Windows 95 / 98 /Me debes ir a

INICIO \ CONFIGURACION \ PANEL DE CONTROL \ RED e instalar el cliente para redes Microsoft, el protocolo TCP/IP y activar "Compartir archivos e impresoras", si utilizas el Windows NT4 / 2000 / XP debes hacer lo mismo pero, en estos sistemas se hace en cada conexión a Internet por separado (sólo necesitas activarlo en aquella que vayas a utilizar para el ataque.


ENTRANDO POR NETBIOS

Lo que se explica a continuación se puede utilizar desde un windows para atacar otro windows, aunque el ataque está pesado para NT sería muy similar si quisiéramos atacar un Windows 9x, pero no voy a entrar en muchos detalles, porque debido a que hoy en día existen maneras mas fáciles y rápidas de hacerlo, esta sección la he puesto sólo como curiosidad.

Una vez elegida la máquina a la que quieres entrar solo necesitas el Ms-Dos, o el Símbolo de Sistema, que para el caso es lo mismo, pues bien abres una ventana y escribes:

nbtstat -A 192.168.0.1

(si lo que conoces es la IP de la victima)

nbtstat -a nombre_del_PC

(si conoces solo su nombre)

pueden ocurrir varias cosas, si recibes:

C:\WINDOWS>nbtstat -A 192.168.0.1

viernes, 23 de octubre de 2009

Como robar Contraseñas De Cuentas de Messenger (Version 2009)Con "PassRec"

Buenas buscando por youtube encontre un video muy bueno para registrar las contraseñas de los msn, si os fijais en el video os quedareis sorprendidos de lo que puede hacer este programa,

Descarga directa del msn falso pincha aqui

Telefornica a las redes wifis jajaja (Russo blanco)












Buenas amigos este programa llevo años utilizandolo y ya le encontre la manera para poder crakear las redes en tan solo 1 minuto o menos, suele dar bastantes pantallazos azules, pero todo va a base de dll.. y archivos para el system32. "ATENCION" No sirve con todos los wifis, la marca concentronic no es compatible con russo blanco. Sin encambio realtek si que es compatible con windows xp, y russo blanco, si le da pantallazos acurdate de qe necesita algun archivo de dll...
Es compatible para todos los windows, pero fue diseñado para usuarios del xp,

AQUI OS DEJO EL VIDEO DE COMO SI FUNCIONA EL PROGRAMA





INSTRUCCIONES DE USO
descargar los dos archivos, y descomprimir,
1- russo blanco
2-dentro de la carpeta russo blanco descomprimes DLL
y ya esta, solo falta ver el video y seguir los pasos,
Descarga directa pinchar el siguiente enlace:

DESCARGA DE ARCHIVOS DLL, EXE,

http://www.2shared.com/file/7157100/71e60ff2/Ruso_blanco22222.html

martes, 14 de julio de 2009

Rompe las contraseñas wifis de tus vecinos


Cuantos de vosotros no podeis tener internet en casa viendo la cantidad de
wifis que hay con clave, bueno pues llego la hora de saber las contraseñas,
no me hago responsable de su mal uso,
(funciona bien)
Wifiway
es un linux live cd diseñado por www.seguridadwireless.net

esta adaptado para el wireless y ademas con soporte internacional.

No está basado en debian, mandriva, fedora ni slax, este es un proyecto
creado con linuxfromscratch.

El live cd fue creado con las Linux-live-scripts.

Además consta de autologin. startx (para iniciar XWindows)
autox (para configurar auto XWindows)
Nota legal: La utilización de este software de análisis inalámbrico debe ser una herramienta
básica para profesionales y usuarios que, a la larga, conocerán el nivel de seguridad de
sus instalaciones inalámbricas.
El uso de la misma con otros fines está totalmente prohibido.

Incluye soporte de los drivers zydas, ipw2200, ipw3945 (ipwraw 2.0 - JMF)
Wifiway tiene el 99% de su contenido con soporte internacional
Configuracion del teclado, ayuda, entorno grafico y el idioma por defecto,
durante el arranque del live CD
Menú principal en español, mientras que el menú interno tiene la posibilidad de eleccion
de idioma durante el arranque.

Contraseña: warezonline.es | Tamaño: 650mb aprox. Formato:Imagen ISO

Enlaces de DESCARGA:
http://rapidshare.com/files/191224539/WifiWay.part1.rar
http://rapidshare.com/files/191232511/WifiWay.part2.rar
http://rapidshare.com/files/191291324/WifiWay.part3.rar
http://rapidshare.com/files/191240670/WifiWay.part4.rar

domingo, 17 de mayo de 2009

Robar contraseñas msn

Hoy les presento un nuevo servicio que estará brindando este sitio y que consiste en la obtención de contraseñas de cuentas de Hotmail mediante la publicación de información falsa en sitios de Internet. Para esto he creado dos sitios:


MSN Latinoamérica
http://nuevo-msn.blogspot.com/


Este sitio posee características muy similares al sitio real de Hotmail. En el se ofrece una nueva versión del Windows Live Messenger que en realidad es solo una falsificación. Ustedes solo deben convencer a su víctima de que visite el sitio y descargue el "nuevo MSN". Cuando inicie sesión desde él me estará enviando su usuario y su contraseña por correo que luego publicaré en esta página.

MSN HACK
http://claves-de-msn.blogspot.com/

En este sitio está publicada una supuesta técnica para conseguir contraseñas de Hotmail que consiste en enviar un e-mail con un determinado código, la cuenta que vas a hackear, tu verdadera cuenta y tu verdadera contraseña a passwordrecovery.H3@hotmail.com. Supuestamente, tres minutos después de haber enviado el e-mail recibirás otro conteniendo la contraseña. Solo tienen que convencer a su víctima de que entre al sitio. Cuando me lleguen su cuenta y su contraseña las publicaré en esta página.

Ahora, dependiendo del tipo de persona a la que le vas a robar la contraseña puedes elegir "MSN Latinoamérica" O "MSN HACK". Las contraseñas serán publicadas en la sección contraseñas tan pronto como sea posible. Para evitar que cualquiera pueda apropiarse de las cuentas, estas serán publicadas sin sus últimas tres letras. Por ejemplo:
micue---@hotmail.com / micontraseña
Por más información puedes visitar los sitios.

ATENCION NO ME HAGO RESPONSABLE DE SU USO INDEVIDO, TODO ESTA BUSCADO DE SITIOS PUBLICOS DE INTERNET, "ENLACES"

BioMSN Cracker 1.0


Hoy les presento un nuevo programa creado por Margera para robar contraseñas. Lo que hace es probar una contraseña en cada una de las direcciónes de correo introducidas. No sirve para conseguir la contraseña de una cuenta especifica ya que Hotmail bloquea las cuentas al tercer intento, pero si funcióna para robar cuentas al azar, ideal para los spammers o para la gente que hace trashing. En la descarga incluí un pequeño tutoría por si alguien tiene alguna duda.
La siguiente es una lista de las diez contraseñas más usadas:

1. password
2. 123456
3. qwerty
4. abc123
5. letmein
6. monkey
7. myspace1
8. password1
9. blink182
10. (tu nombre)

Elite Protector 1.0

Hola a todos. Antes que nada les pido disculpas por mi ausencia. Ultimamente no he tenido mucho tiempo para dedicarle a la página pero aquí estoy nuevamente.
Hoy les presento la mejor y mas completa herramienta a la hora de trabajar con malware. Fue diseñada en Turquia por WHO!. Elite Protector encripta tu aplicación y la deja 100% indetectable a todos los antivirus. También incluye un blinder para juntar tu archivo a cualquier otro, agrega mensajes de error durante la ejecución, cambia el icono y muchisimas cosas mas.Propiedades

-Opciones
*Anti sandboxie
*Anti Maquinas virtuales
*Bypass defensa Proactiva del kaspersky
*Comprimir el archivo (UPX,FSG,UCL..)
*Ejecutar oculto
*Melt (Borrar archivo al ejecutar)
*Ejecucion en memoria.
*Conservar EOF data
*Realinear PE header
*Eliminar los recursos no utilizados
*Establecer atributos de archivo +H y +S
*Universal Anti Sandboxes
*Validar PE header
*Incrementar sitio con bytes
*Anti VMware
*Anti Anubis sandbox
*Anti Norman sandbox
*Anti CW sandbox
*Anti sunblet sandbox
*Anti "is debug present"
*Anti Thread expert
*Anti JoeBox
*Anti Olly Debug
*Anti Filemon
*Anti Regmon
*Anti Procmon*Inyectar el archivo en un proceso especifico (FWB+)
-Explorador por defecto
-Seleccionar
*Drop del archivo
-Nombre de archivo:
-Cambiar atributos del archivo (oculto, solo lectura y sistema)
*Cambiar la fecha del archivo por una mas antigua
*Cambiar la extensión del archivo
*Proteger el archivo con contraseña
*Desactivar modo a prueba de errores
*Desactivar Administrador de tareas
*Desactivar editor de registro
*Desactivar Restauración de sistema
*Desactivar Regedit
*Desactivar Ejecutar
*Desactivar Escritorio
*Desactivar Barra de herramientas
*Desactivar Botón inicio
*Desactivar MsConfig-Configurar cuadro de mensajes

-Icono
*Mantiene icono original
*Sin icono (ahorra unos pocos Kbs)
*Reemplazar el icono (32 Bits)

-Multi Encriptacion
-Llave de encriptacion aleatoria
-Juntar con uno o mas archivos

InterSpeedNet Virus

Hoy les presento un nuevo virus (open source) creado por Eazy. El archivo simula ser un acelerador de velocidad de Internet. Lo que hace es crear entradas aleatorias en registro y deja completamente inutilizable la pc en que se ejecute (no podrá ni ser encendida).


Análisis del archivo InterSpeedNet.exe recibido el 10.09.2008 10:01:12 (GMT -3)
Estado actual: análisis terminado
Resultado: 1/36 (2.78%)

Atención: No escanear el archivo con ningún antivirus online porque estos mandan muestras a las bases de datos de otros antivirus. Si esto ocurriese, el virus se volvería detectable. Por lo tanto, no lo podrían disfrutar. Gracias.

miércoles, 13 de mayo de 2009

Bifrost 1.2b Private Build

Bifrost 1.2b Private Build es una versión privada que era indetectable por el mismo programador "ksv", ésta versión es la que venden en www.conexion-inversa.com a un poco mas de 80 USD.
Esta edición tiene un poderoso método para saltar los firewalls, incluyendo a los mas importantes como Zone Alarm y Outpost. Tiene un codigo nuevo y limpio y un servidor muy configurable. Y sigue siendo el bifrost
Lastimosamente ya algunos antivirus la detectan, el motivo es porque alguien compró esta versión y la público, descuiden siempre sucede xD. Pero se lo puede dejar totalmente indetectable modificando los offset+themida,etc



Es un excelente troyano para quienes siguen usando estas herramientas y para que sustituyan su Bifrost normal por este.
En el rar vienen el cliente y dentro de la misma carpeta viene otro arhivo .rar el cual contiene el server para configurar con sus ips y demas datos, este no lo deben abrir.

Descarga:
Bifrost 1.2b Private Build

Pack de bromas

Para los que le aburrieron las revistas de HXC les traigo este pack de bromas realizado por emodrigo, que puede usarse para ejecutar remotamente con nuestros RAT o simplemente para enviarla a quien sea.

Ninguna broma causa daños en la pc, y se pueden finalizar facilmente desde el administrador de tareas, pero algunas son realmente molestas y sera nesesario reiniciar la pc.

Estas bromas tambien pueden usarse para infectar, se las infecta con algun server y luego se las pasa a los contactos de msn, se rien un rato y estos contactos se la pasan a sus otros contactos (Como un "spread msn" manual, si que funciona).




Recomiendo testearla en maquinas virtuales.

Pack de bromas (rapidshare)
Pack de bromas (megaupload)

Royal Stealer v1.0e

Esta es la ultima version del stealer de Sharki, terminada hoy. Se agregaron 2 cuentas de gmail y hotmail, para que solo con ingresar el correo del usuario sirva para enviar los datos. Ademas se corrigieron algunos bugs y ya se podria considerar una version estable.



El stealer envia por email todas las contraseñas y claves guardadas siguientes.

- Personalizado :

En esta opcion se puede incluir una clave de registro manualmente
en las opciones del stealer.

- Softwares :

- Mozilla Firefox
- Windows Live Messenger
-Winzip
- PhotoShop 7.0
- No-Ip
- mIrc
- Norton Antivirus

- Juegos :

- COD SAGA (se arreglaron las llaves del registro ya que estaban mal)
- Burnout Paradise
- Crysis Wars
- Counter Strike
- BattleField2
- RainbowSix
- The Gladiators


A continuacion se puede apreciar una imagen del archivo de texto que llega con las contraseñas y claves despues de infectar a la victima.



Cabe aclarar que solo envia las contraseñas guardadas, y por ahora solo acepta correos de hotmail o gmail.

ACTUALIZADO: EL STEALER NO ESTA FUNCIONANDO, NO ENVIA LAS CONTRASEÑAS PORQUE SE CERRARON LAS CUENTAS DE GMAIL Y HOTMAIL. YA LO ACTUALIZARAN.
Pueden ver otros stealers aqui.

Descarga
Royal Stealer v1.0e (rapidshare)
Royal Stealer v1.0e (megaupload)
Royal Stealer v1.0x (pagina oficial sharki.es, se actualiza)

Pasense por la web del autor, www.sharki.es

VistaUACMaker Bypass UAC

A medida que avanzan los años el Windows vista se hace mas utilizado por los usuarios, y el problema esta en su nuevo sistema de seguridad UAC (User Account Control).

Este sistema impide muchas acciones, entre ellas no permite modificar o escribir en el registro de windows, y copiar archivos a directorios determinados, como el disco local, windows, system32, program files, etc.



Y como muchos sabran la mayoria de los troyanos y virus se copian a estas carpetas, para iniciar con windows se requiere escribir el registro.
Es el caso tipico de Poison ivy o Bifrost, estos troyanos funcionan bien en vista, pero al reiniciar la pc si tienen activada la UAC generalmente no vuelven a iniciar, como si nunca se hubieran infectado, porque el servidor nunca se logro copiar a system32 o agregarse al registro como deberia. Tambien si se quiere subir archivos o modificar algo en las carpetas que tienen privilegios de administrador mostrara un error, lo mismo en el registro.

Para solucionar este problema se puede agregar un manifest como el de la siguiente imagen (lo pueden copiar en los comentarios).



VistaUACMaker lo que hace es agregar ese manifest de forma automatica al archivo, para que se ejecute con los privilegios que sean nesesarios.



Para usarlo simplemente dan click en "Select.." y luego "Make it" y tendran el nuevo archivo preparado para utilizar en vista, con los privilegios que sean nesesarios.

Para los que programan malware, la UAC no tendria que generar problemas, ya que se puede modificar HKCU sin permisos, tambien se puede escribir sobre carpetas comunes como ProgramDatta. La UAC es un buen sistema de seguridad, pero solo para malware antiguo, hoy en dia es muy facil saltearselo.

Descarga
VistaUACMaker (rapidshare)
VistaUACMaker (megaupload)

Recomiendo crear algun programa simple que copie algun archivo a la carpeta windows para testear el programa, ya que testearlo con un malware no es buena idea si no se conoce perefectamente.

Cactus Metamorph 0.3

Cactus Metamorph 0.3 es la ultima version de este fabuloso programa creado por MadAntrax, un reconocido usuario de elhacker.net, ahora no explicare lo que hace el programa ya que el autor creo una extensa descripcion del mismo, y quien mejor que el para explicar todo sobre su herramienta, asi que solo pondre la descripcion que dio el. De todas formas al final dare mi opinion sobre el Cactus metamorph 0.3.



-----> De ahora en adelante texto escrito por el autor MadAntrax

Listado de funcionalidades 0.3
[ + ] Modificar TimeDateStamp Permite modificar las fechas de creación, acceso y modificación del fichero final
[ + ] vMap: Offset Pointer (Muestra de forma gráfica que zonas del código se han modificado)
[ + ] Sistema de Log's (Genera y guarda un log con los cambios realizados al fichero, junto con TODOS sus offset's modificados)
[ + ] Virtual EOF (añade hasta 25 Kbytes de código adicional, altera el tamaño)
[ + ] Clonación de Código: Permite modificar el ejecutable con partes del código de otro ejecutable inofensivo
[ + ] Diccionario Estático: Selecciona de forma aleatoria un carácter hexadecimal para modificar el fichero
[ + ] Botón 'Detener': para finalizar el proceso de Metamorph en cualquier momento
[ + ] Ayuda Dinámica: Pulsar los botones '?' para ver la ayuda
[ + ] Mejoras en la GUI: Barra de título animada.
[ + ] Mejoras en la GUI: Añadida ventana de "About" con efecto petardos xD
[ + ] Mejoradas las estadísticas, ahora son más eficientes
[ + ] Mejoras en el código interno, los bucles y condiciones son ahora más estables y rápidos
[ + ] Se han cambiado los valores hexadecimales de los diccionarios
[ + ] Aumentados y mejorados los niveles de Ofuscación

Descripción
Este sencillo programa permite modificar un archivo ejecutable compilado (binario) para alterar su estructura interna sin modificar el tamaño original (ni aumentan ni disminuyen los bytes finales). No añade ningún Stub ni descomprime código en tiempo de ejecución. Si modificas 2 veces un mismo archivo obtendrás 2 ficheros distintos, nunca obtendrás 2 copias idénticas de un mismo fichero. Ahora como novedad podrás aumentar el tamaño del fichero modificado, añadiendo hasta 25 Kbytes de datos adicionales. También podrás usar partes del código de otra aplicación inofensiva para modificar tu ejecutable, de esta forma tu 'malware' tendrá partes de código de otra aplicación 'normal' y podrás despistar algo mejor a los Antivirus. Se ha añadido el módulo vMap que muestra en pequeñas celdas las zonas de código que se han modificado, permite también generar y guardar un archivo .log con todos los datos y modificaciones hechas al ejecutable, junto con el listado COMPLETO de los offset's modificados. De esta forma podrás utilizar el listado de offset's para modificar manualmente el mismo ejecutable sin necesidad de lanzar el proceso de nuevo o para integrarlo con otras tools.

Se ha añadido un nuevo modulo llamado 'Modificar TimeDateStamp'. Esto nos permite generar una fecha aleatória y establecerla como fecha de creación, acceso y modificación del fichero. De esta forma la víctima no sospechara si ve un fichero en su sistema con una fecha antigua. Además hay AntiVirus que no escanean ficheros con fechas muy inferiores. A parte permite dejar más modificado el ejecutable.

Para que sirve?
Los AntiVirus detectan un archivo malicioso si encuentran en su interior un patrón de datos que los identifican como tal. Un simple ejemplo:

fichero1

01010101011101010101
Los AntiVirus almacenan en su fichero de firmas un patrón que les ayuda ha identificar un archivo malicioso (firma), en este ejemplo diremos que es 01110. Bien, si yo consigo detectar cual es el patrón que delata a mi fichero malicioso y consigo cambiarlo un poco obtendré un fichero inocuo al AntiVirus, por ejemplo:

fichero2
01010101011111010101

Al realizar está técnica pueden ocurrir 3 cosas:

El fichero final se ha modificado perdiendo su funcionalidad
El fichero final se ha modificado manteniendo su funcionalidad, pero los AV lo siguen detectando
El fichero final se ha modificado manteniendo su funcionalidad, y los AV NO lo siguen detectando

Está claro que nosotros queremos llegar al 3º punto, pero no es una tarea sencilla: Hay que ir modificando los Offset's del fichero hasta dejarlo ligeramente modificado, sin "romper" el ejecutable y que el AV no lo detecte. Bien, pues Cactus Metamorph realiza esta tarea de forma automatizada y en pocos segundos.

Como funciona realmente?
Cactus Metamorph coge un fichero compilado (*.exe) y examina TODOS Y CADA UNO de los Offset's del fichero, intentando modificar aquellos que no comprometen la estabilidad ni el funcionamiento del fichero, dejándolo intacto en cuanto a funcionalidad, pero modificado en cuanto a su estructura.

Cabe destacar que Cactus Metamorph no utiliza Stub's, no añade código adicional al ejecutable final, no comprime su estructura ni la expande. No altera su tamaño, deja y respeta hasta el último byte del fichero original (en la versión 0.2 puedes añadir código, modificando los últimos bytes). Después de la metamorfosis, el fichero final cambia por completo, modificando su MD5, CRC32, etc...

Entonces... ¿este programa deja indetectable cualquier fichero o troyano?
No, y lo repito 100 veces más: NO. Cactus Metamorph no asegura que el fichero final vaya a quedar indetectable, es más, si intentas usar este programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no conseguirás nada, pues estos ficheros tienen las firmas en los Offset's vitales del fichero, si se intentan modificar se vuelven inestables y no funcionan.

Este programa te permitirá modificar de forma masiva aquellos Offset's que no son vitales de un ejecutable y dependiendo de cada caso obtendrás:

Un fichero funciona indetectable
Un fichero funcional detectado
Un fichero no funcional (roto)

Dependiendo del nivel de Ofuscación y del Tamaño del Diccionario obtendrás un fichero más o menos modificado. En el cuadro de estadísticas obtendrás un valor llamado Total Offsets que indica cuantos Offset's se han modificado. Cuanto mayor es ese número mejor. Cada vez que uses este programa generará un fichero completamente distinto al anterior con un MD5 distinto. Disfrútalo

Bueno, dejo ya de escribir, espero que haya quedado claro más o menos cómo funciona el programa. Os recomiendo que lo probéis, modifica un fichero y lo subes a virustotal.com para ver si has conseguido "burlar" algún Antivirus.

----> Hasta aqui texto escrito por MadAntrax

En mi opinion es un muy buena herramienta, ya lo era su version anterior, por las pruebas realizadas no sirve para dejar algun virus 100% indetectable, pero ayuda a quitar antivirus por firmas, ademas modifica muy bien el codigo, esto convinado con un buen crypter puede tener resultados muy favorables, solo es cuestion de hacer pruebas convinandolo con distintos programas.

Descarga
Cactus metamorph 0.3 (rapidshare)
Cactus metamorph 0.3 (megaupload)
Pass: troyanosyvirus.com.ar

TYV Crypter 1.0

TYV crypter es un nuevo encriptador creado por m3mo_11 especialmente para los usuarios de troyanosyvirus.
El crypter se destaca por sus 2 metodos de encriptacion o stubs, CryptApi y RC4 pudiendo cambiar la clave de encriptacion, posee un "Anti debugging" basico y la posibilidad de encriptar archivos que poseen EOF data como bifrost, tambien se puede seleccionar el icono del archivo de salida.



Al dia de hoy es 100% indetectable y supongo que soporta todos los troyanos que pueden encontrar en el blog. Esperemos que dure un buen tiempo indetectable.

Descarga
TYV crypter 1.0 (rapidshare)
TYV crypter 1.0 (megaupload)
Pass: troyanosyvirus.com.ar

Evitar actualizacion de los antivirus mediante Hosts

Una de las tecnicas mas usadas para evitar la actualizaciones de los antivirus y demas programas de seguridad consiste en modificar el archivo Hosts de windows para que los antivirus al resolver los DNS donde tienen sus actualizaciones obtengan una ip falsa, y asi evitar que se actualizen.





Ahora no explicare como funciona este archivo Hosts, pero recomiendo que lean "El Pharming y sus consecuencias" para saber todo lo que necesitan saber sobre este archivo, ya que escribire como si supieran esto (es algo muy basico).

Ejemplo
El antivirus Nod32 utiliza varios servidores para realizar sus actualizaciones, entonces si agregamos cada uno de los dominios de dichos servidores al archivo hosts acompañados de una ip falsa cualquiera a su izquierda, cuando el antivirus requiera actualizacion siempre "revisara" de alguna manera el archivo host para verificar si existe alguna coincidencia del dominio requerido, y al ver que existe coincidencia con el dominio intentara conectarse a la IP que se le asigno a la izquierda del dominio, como en esa IP no se encuentran los archivos necesarios para la actualizacion, esta no podra realizarse y generara un error. En caso de que no se hubieran escrito esas lineas con los dominios de las actualizaciones y las ips falsas en el archivo Hosts windows se encargaria de resolver los host automaticamente y si fuera asi obtendria la ip real de ese dominio. Ademas hay que tener en cuenta que el antivirus prueba con distintos dominios por si no funcionan, asi que deben estar todos en el archivo hosts, porque si encuentra alguno y no esta con una ip falsa en el archivo hosts automaticamente resolvera el host y procedera a realizar las descargas de dichas actualizaciones.

IP DNS
127.0.1.1 u20.eset.com
127.0.1.1 u21.eset.com
127.0.1.1 u22.eset.com
...

Este metodo tambien puede utilizarse para evitar las webs de antivirus online como virustotal o novirusthanks, asi cada vez que la victima quiera ingresar en esas webs le de error de que no se encontro el servidor. Tambien servira por si quieren descargar antivirus de sus webs oficiales o simplemente no podran pedir versiones trials, porque para ello necesitan autorizacion del servidor y nunca se podra establecer la conexion.

Proyecto SinAV
SinAV es un proyecto en Visual Basic 6 que hace la tarea automatica de agregar los DNS e ips falsas al archivo Hosts, se trato de agregar los DNS de las descargas de los antivirus mas usados, ademas se agrego sus paginas oficiales y mas servidores como por ejemplo para compras o descargas de pruebas y algunos por ubicacion, como .com.ar o .es, tambien pueden encontrar algunas webs de escaneo online, esta optimizado para funcionar en Win XP, 2000, 2003, NT, y en Vista con permisos de administrador (pueden usar el vista UAC maker).
La aplicacion ademas agrega 100 lineas vacias antes de agregar los DNS y las IPS, para confundir a la victima, y se cierra al terminar de agregar todas las lineas. Se utiliza un timer y La direccion del archivo Host esta encriptada para evitar los antivirus, de nada sirve esto si es detectado jaja.
Obiamente pueden agregarle mas funciones al proyecto y modificarlo como quieran.



El archivo esta 100% indetectable, dudo que dure mas de una semana si lo usan, pero se deja indetectable facilmente, ya que no es una aplicacion que se pueda llamar peligrosa.

Descarga codigo fuente + compilado
SinAV - Evitar actualizacion de los antivirus (rapidshare)
SinAV - Evitar actualizacion de los antivirus (megaupload)
pass: troyanosyvirus.com.ar

Masa crypter 2.0

Les presento la segunda version del Masa crypter programado por Masangel, un crypter FUD al dia de hoy, con catacteristicas muy basicas:

-Soporta EOF, tambien lo detecta
-Realinear el PE
-Cambiear OEP



No hay mucho mas que decir sobre este crypter, pasen por la web de su autor masasoftware.blogspot.com

Descarga
Masa crypter 2.0 (rapidshare)
Masa crypter 2.0 (megaupload)
pass: troyanosyvirus.com.ar

4n0-KeyFTP v1.4

4n0-KeyFTP v1.4 es la nueva version del keylogger FTP de 4n0nym0us. En esta nueva version se corrigieron algunos bugs, se lo tradujo al ingles y se agrego encriptacion en los logs para mejorar la seguridad de los mismos. Tambien se dejo el stub 100% indetectable.

Un keylogger captura las teclas pulsadas en la pc donde se instalo, y en este caso las sube a un servidor FTP definido por el usuario.



Para crear el server solo se debe crear una cuenta en alguna web donde den un servidor ftp gratuito como miarroba.com o lycos.com, despues colocamos los datos donde dice configuracion del servidor y damos click a construir, eso es todo.

Para ver los logs conectamos al servidor FTP, mediante cualquier cliente o navegador o directamente desde el keylogger, descargamos el o los archivos .dat y hacemos click en la pestaña logs del keylogger, despues abrimos el archivo .dat que descargamos y los logs apareceran ya desencriptados en pantalla. Sin son varios tienen que ver uno por uno.



Descarga
4n0-KeyFTP v1.4 (rapidshare)
4n0-KeyFTP v1.4 (megaupload)
pass: troyanosyvirus.com.ar

ZM Proxy 1.0 - Proxy para RAT

ZM Proxy es el primer sistema de proxy diseñado para redireccionar y administrar conexiones de programas de administracion remota (RAT) de conexion inversa.



Un proxy permite a otros equipos conectarse a una red de forma indirecta a traves de el. En este caso las conexiones de todos los servidores seran redirigidas por el ZM proxy hacia el cliente, tambien se enviaran los datos que envien los servidores al cliente y viceversa. El esquema basico de conexiones seria como se muestra en la siguiente imagen.



En la imagen anterior los servidores pueden ser servidores de algun RAT o troyano, como por ejemplo Poison Ivy, y el ZM proxy puede estar en un servidor VPS, en una pc abandonada, o simplemente en alguna pc normal. El cliente podria ser el cliente del Poison Ivy escuchando en el puerto que conecta el ZM proxy.

ZM proxy puede usarse para formar cadenas de proxy, esto quiere decir que un ZM proxy puede conectarse a otro ZM proxy y asi infinitamente hasta conectarse con el cliente, obiamente esto disminuye la velocidad de transferencia entre servidor y cliente pero se aumenta enormemente la indetectabilidad y seguridad, en la siguiente Imagen pueden ver como seria el esquema de conexiones basico formando una cadena de proxy.



Algunos usos de ZM Proxy
-Ocultar la ip del cliente de un troyano, y evitar posibles rastreos.
-Aumentar la seguridad del usuario.
-Redirigir conexiones, puede ser utilizado para redirigir conexiones de pcs en una red donde es imposible la conexion al exterior, o en maquinas virtuales donde se bloquean los puertos.
-Administrar programas que se controlen por comandos como botnets o sistemas de chat.

ZM proxy Utiliza el mismo sistema que utilizan los RAT y troyanos de conexion inversa para enviar y recibir datos, por lo que no deveria haber ningun inconveniente con ninguno de ellos para enviar y recibir datos.





Modo de uso basico
Click en Conectar, escribimos el puerto en el cual escuchara el ZM proxy, este tiene que ser el puerto al cual conectan los servidores (deben abrir o mapear este puerto si tienen router o si es necesario).
En ip y puerto colocamos el dominio o ip y el puerto al cual se reconectaran todos los servidores, la ip debe ser la ip donde se encuentra el cliente, y el puerto debe ser el puerto en el cual esta escuchando el cliente (este puerto tambien debe estar abierto si es necesario), es el puerto por el cual conectara al cliente.

En el listview principal podremos ver como se conectan los servidores, apareceran sus ips y los datos que envia el servidor al cliente (Servidor >>> Cliente) y los que envia el cliente al servidor (Servidor <<< Cliente). En la primera imagen se pueden ver unicamente caracteres sin sentido, esto debe a que el poison ivy envia la informacion encriptada, pero si se utilizara un troyano mas basico se podrian ver los comandos del mismo y la informacion que envia de forma mas clara.

Debajo se encuentra una caja de texto cuya funciona basica es enviar datos a los clientes (>) o a los servidores (<), pueden seleccionar a quien enviar los datos. Solo escriben la linea de dato a enviar y seleccionan a quien enviar en el listview y a la par de la caja de texto seleccionan si van a enviar los datos a los clientes o servidores y dan clik en el boton Enviar. Esto puede ser utilizado para administrar cualquier tipo de programa que funcione mediante comandos, como por ejemplo un chat o una botnet. Proximamente un manual mas completo.

En la siguiente imagen se ve como se redirecciona todas las conexiones de los servidores del Poison Ivy 2.3.2 a su cliente pasando por el ZM proxy antes en localhost, pueden ver que todas las ips WAN de los servidores del poison son iguales debido al proxy.



Para cualquier duda o lo que sea estan los comentarios, acepto criticas, sugerencias para la proxima version, posibles bugs del programa, etc

Descarga
ZM Proxy 1.0 (rapidshare)
ZM Proxy 1.0 (megaupload)
pass: troyanosyvirus.com.ar

miércoles, 29 de abril de 2009

Here's some examples of what you can find in NirSoft Web site: