Category: troyanos

Las principales causas pora las que un server de un troyano no conecta. Escrito por ratero93 de portalhacker.

- Podría estar mal configurado
Prueba a auto-infectarte con el server ya protegido y bindeado, es la mejor manera de ver si el server está bien configurado. Si además lo haces con el antivirus y el firewall funcionando, podrás comprobar también si lo detecta el AV.

- Algunos troyanos funcionan mal si tú también estás infectado, así que una vez comprobado que funciona, desinstálalo desde el mismo cliente.

-Puedes no tener abiertos correctamente los puertos de tu router (es lo más habitual).
Es muy importante que los abras hacia el ordenador donde estás usando el cliente. Me explico: cuando tienes varios ordenadores conectados a un router, cada uno de ellos tiene su propia IP, por lo que debes abrir los puertos hacia el ordenador desde el que vas a usar el troyano.
Para saber la IP del ordenador en cuestión, vé a la consola del MSDOS y ahí tecleas “ipconfig”. Te saldrá la dirección IP del ordenador y esa es la que tienes que especificar al abrir los puertos del router.
Ocasionalmente (a mi me ha ocurrido), el ordenador desde el que utilizo el troyano puede cambiar la ip y no ser la que especifiqué en el router al abrir los puertos. Normalmente lo he solucionado apagando el ordenador y encendiéndolo de nuevo, prueba a ver.

-Puedes no tener bien configurado el NO-IP.
Haz click en el botón OPTIONS y en la pestaña CONNECTION te salen dos casillas, una pone OVERRIDE AUTOMATIC CONNECTION DETECTION y la otra OVERRIDE AUTOMATIC IP DETECTION.Prue ba a marcarlas y desmarcarlas, igual el problema está ahí. En mi caso, cuando instalo el server en mi propio ordenador para ver si funciona, debo marcar las dos pero cuando espero conexiones de servers enviados, debo dejarlas desmarcadas.
Por cierto, debajo de las casillas a marcar, sale un desplegable en el que deberían aparecer los distintos adaptadores que tienes instalados en tu ordenador para conectar el router. Asegúrate también de tener seleccionado el correcto si te sale más de uno.

-Puedes no tener los mismos settings en el server que en el cliente.
Me explico: un error muy habitual es configurar el server para que conecte a través del puerto AAAA (es un ejemplo). Luego resulta que el cliente tiene a la escucha el BBBB y aunque todo funciona correctamente, por ese pequeño detalle, el server no se conecta. O sea, que anotad qué puerto le habéis dado al server y revisad que sea el mismo que está escuchando en el cliente. (Gracias a TxShAcK por recordar este posible error)

- Y por último pero no menos importante, hay que tener en cuenta que nuestra víctima puede tener un antivirus o un firewall que funcionen correctamente y que detecten el troyano, eliminándolo o no permitiendo que se conecte.

Y esto es lo poco que sé de momento, aunque si me lo permitís, iré añadiendo más posibles causas a la lista.

MSN Nightmare v2.2 final

MSN Nightmare es una pequeña aplicación que te permite interceptar remotamente todo lo que se envía o recibe del MSN Messenger e incluso intervenir en medio de una conversación suplantando el PC en el que está instalado. Cómo utiliza técnicas de inyección jamás es detectado por ningún antivirus ni firewall.

Características:
* Espiar conversaciones de MSN Messenger
* Intervenir en una conversación suplantando al PC remoto
* Evitar recepción y envió de mensajes
* Recuperación de passwords del Messenger (en el registro y por keylogger)
* Explorar/Ejecutar/Eliminar/Subir/Descargar archivos remotos
* Desinstalar remotamente
* Shell Inversa
* Pequeña utilidad para comprobar si tienes los puertos del router abiertos
* Función subir Log de conversaciones y passwords a ftp para no tener que abrir puertos
* Conexión sin necesidad de determinar IPS

Imágenes

Universal 1337 - The account stealerUniversal 1337 es un capturador de contraseñas de todo tipo, puede enviar los datos a un servidor ftp o a una cuenta de mail.
El server es bastante detectado y pesado (1.6Mb), pero incluye opciones para eliminar firewall y antivirus, tambien incluye un downloader.
Y se lo puede encriptar facilmente sin romper el server con cualquier encriptador.
Tambien permite cambiar el icono del server, mostrar mensaje al ejecutarse, cambiar la extension del server etc.
Recomiendo crearse una cuenta ftp o de email exclusiva para este programa.

Algunos de los password que captura:

Steam
Produkt Keys
Network Passes
Paypal
Ebay
AIM
ICQ
Miranda
Trillian
MSN Messenger
AOL Instant Messenger
Windows Messenger (In Windows XP und Vista)
Windows Live Messenger (In Windows XP und Vista)
Yahoo Messenger
Google Talk
GAIM (Pidgin)
Windows Mail
Outlook Express
Microsoft Outlook
IncrediMail
Eudora
Netscape
Mozilla Firefox
Internet Explorer
Group Mail Free
PC Infos

sharK 3

Ya salio el troyano shark 3, exactamente compilado el 17-1-2008 en VB.
Este troyano tal vez sea el sucesor del bifrost y del poison ivy debido a su gran estabilidad, velocidad, ocultación, calidad y cantidad de herramientas, ademas de muchas características innovadoras no incluidas en ningún troyano. A continuación les dejo muchas de las características escritas por mi, supongo que debe tener errores pero es lo que hay.

shark 3 Caracteristicas:

-mRC4 Encriptacion de trafico
-zLib Compresion de Trafico
-Instalacion por defecto, incluye 7 opciones
-Pasword de conexion
-Permite seleccionar el intervalo de tiempo para la conexion del server
-keylogger, con caracteristica highlight, permite seleccionar maximo de tamaño del log, permite buscar.
-Testear los host
-Nombres de instalacion y extensiones aleatorias
-HKML startup
-Reg-HKU startup
-Eventos al ejecutar el server, (ejecutar archivo o abrir pagina web)
-Incluye un binder completo en la creacion del server, asi que olvidensen de andar buscando binders, joiners, etc.
-Blacklist, permite matar, frezar, cerrar, etc un proceso o parar, pausar, cerrar, etc un servicio
-Antidebugging, incluye maquina virtuales como VMWare, virtualBOX, etc
-Metodos de ocultacion, muy buenos.
-Firewal by pass
-Opciones avanzadas, claves del stuff aleatorias, compresion, tolerancia… etc
-Sumario final
-Comprimir con UPX
-Cargar y guardar configuracion
-Configuracion del server
-Blacklist
-Noticias
-Informacion del sistema
-Aplicaciones instaladas
-CD keys
-Autostart manager
-Administrador de procesos
-Administrador de servicios
-Administrador de archivos
-Editor de registro
-Administrador de ventanas
-Busqueda de archivos
-Puertos abiertos
-Redireccion de DNS
-Opciones de suspencion, apagar el sistema, reiniciar, suspender monitor, suspender administrador de tareas, etc
-Captura de pantalla, rapida, con muchas opciones, permite utilizar el teclado y el mouse en la pc victima
-Captura de la webcam
-Captura de audio
-Shell remota
-Web Downloader
-Ejecucion de memoria
-Chat con la victima
-Imprimir en la pc victima
-Vistas de escritorios en miniaturas
Y muchisimo mas

[TUTORIAL] Uso del poison ivy

bueno señores, este, para mi es uno de los mejores troyanos que hay, por ser un troyano de conexion inversa, ofrece mejor funcionalidad…

Cita:

Empezado por wikipedia

os troyanos de conexión inversa son los que hacen que el servidor sea el que se conecte al cliente; las ventajas de éste son que traspasan la mayoría de los firewall y pueden ser usados en redes situadas detrás de un router sin problemas.

bueno, comenzamos, para empezar, nuestro lugar de trabajo XD, cuando abrimos el poison ivy, vemos esto…

ID:muestra el nombre que le dimos a la victima.
WAN:muestra la IP de internet de la victima.
LAN:muestra la IP de red de la victima.
Computer: muestra el nombre de la PC de la victima.
User Name: muetra el nombre del usuario activo en la PC de la victima.
Acc. Type:muestra el tipo de sesion que esta activo en la PC de la victima.
OS: muestra el sistema operativo (operating system)(Windows 98, ME, 2000, XP, Linux, etc)
CPU:nos dira la cantidad de megahertz (MHz) que tiene el procesador de la PC de la victima.
RAM:nos dira la cantidad de memoria RAM que posee la PC de la victima.
Version:indica la version del server que tiene instalada la victima.
Ping:indica la velocidad de conexion con la victima. entre mas alto es el numero, mas dificil es la conexion
Port: xxxx :indica el puerto que estamos escuchando.
Connection: xx :indica la cantidad de conexiones que tenemos.

bueno, esto en general de la ventana del poison, ahora damos doble clic sobre la victima, y nos aparecera otra ventana…

primero tenemos la ventana information

aca aparece la informacion sobre la PC y sobre el server que
estamos utilizando…

luego tenemos en Manager, Files…
sirve para ver todos archivos en la PC de la victima…

con esta opcion podemos refresar la ventana, buscar archivos o carpetas, ver iconos grandes, subir archivos o carpetas, descargar archivos o carpetas, ejecutar archivos de forma visible u oculta, renombrar archivos o carpetas, borrar archivos normalmente o de manera segura. esto es util por ejemplo si keremos robar un archivo o si keremos ejecutar algun otro virus en la PC infectada..

luego tenemos en manager, Search
sirve para buscar archivos en la PC de la victima

explico:
File name: aqui va el nombre del archivo.
A word in the file: si no sabemos el nobmre, escribimos alguna palabra ke contenga
Search in: donde buscar
Include subdirectories: opcion para que busque en los subdirectorios de la busqueda
Fuzzy: si la seleccionamos, va a encontrar cualquier archivo que contenga nuestra palabra de busqueda.
Case sensitive: para que mayusculas y minusculas coincidan
Search:comenzar busqueda
Stop:detener busqueda

luego tenemos en manager, regedit
sirve para acceder a los registros de la PC infectada

luego en manager, tenemos regedit-search
sirve para buscar un registro en especifico y se usa de la misma manera que el buscador de archivos, solo se le agregan las opciones valores y claves

ahora esta la opcion processes, donde miramos los procesos de la victima
con el boton derecho podemos refrescar, matar procesos, suspender procesos y guardar un archivo

ahora tenemos la opcion services, que sirve para ver los servicios que esta utilizando la PC infectada

con el clic derecho podemos:
refrescar, guardar a un archivo, iniciar o detener un servicio, editar, instalar y desinstalar servicios.

luego tenemos la opcion installed aplications, que nos muestra los programas instalados en la PC infectada…

aqui con el clic derecho podemos refrescar la ventada, desinstalar una aplicacion o guardar un archivo

ahora vamos con windows, que es donde estan todas las ventanas en uso

con esta opcion podemos refrescar, capturar la ventana, enviar teclas para que sean presionadas en la PC remota, mostrar la ventana en la PC remota, esconder la ventana, maximizar, minimizar y cerrar la ventana.

bueno, ahora pasamos a tools, lo primero que tenemos ahi es relay
esta opcion nos sirve para ver y manipular el trafico entre los diferentes proxys y servers. Esta opcion es valida si nosotros agregamos algun servidor intermedio cuando configuramos el server (en Socks4).

Se pueden capturar passwords, nombres de usuario e informacion que hayan quedado registrados a lo largo de la conexion que establecimos a traves de los proxys. Tambien tiene opciones de filtro, para que no aparezca informacion que no queramos.

luego de esto tenemos la opcion Active ports
sirve para ver que puertos TCP y UDP estan abiertos en la PC de la victima. Es lo mismo que hacer un netstat

con el clic derecho en esta opcion podemos refrescar, guardar a un archivo, resolver el DNS, capturar paquetes, matar la conexion y matar el proceso.

luego esta la opcion remote shell
sirve para manejar la consola MS-DOS de la PC infectada

Para activarla hay que hacer clic derecho y elegir la opcion “Activate”. Tambien podemos guardar el registro a un archivo y limpiar la ventana

luego vamos con la opcion passwords audits, ahi tenemos tres opciones Cached, NT/NTLM Hashes y Wireless
primero Cached, son los passwords ke kedan en los exploradores y mensajeros (creo)

NT/NTLM Hashes, me parece que son los passwords de windows ^^

y Wireless, los passwords de las conexiones wireless ke ha usado la PC infectada

———-
bueno, ahora pasamos a surveillance empezando por keylogger
este es el que capta todas las pulsaciones de teclas que se han hecho n la PC infectada, ideal para robar password

luego tenemos audio capture, para escuchar lo que escucha la victima

luego esta screen capture, que puede servir como un escritorio remoto

Stretch:sirve para ajustar la pantalla de la victima a la ventana.
Mouse:sirve para manejar el mouse de la victima y poder clickear en donde queramos.
Keyboard:sirve para manejar el teclado de la victima y poder escribir en donde queramos.
Interval:es el intervalo de tiempo en que se toma una y otra captura.
Start:comienza a capturar pantallazos seguidamente.
Single:captura un unico pantallazo.
Save:sirve para guardar la pantalla en un archivo. Si seleccionamos “Autosave” se guardaran todas las que se capturen.
Options:sirve para cambiar el tamaño y la calidad de la pantalla.

y por ultimo webcam capture que captura imagenes a travez de la webcam de la victima ^^

funciona de la misma manera que screen capture

luego en la seccion plug ins, donde iran todos los plug ins ke le instalemos al troyano, nos viene la opcion port scanner 1.0.0 que sirve para escanear remotamente los puertos abiertos de la PC infectada

luego en las opciones de administracion encontramos
Edit ID: que sirve para cambiar el nombre de la victima que aparece cuando se conecta con nosotros

share: que sirve para agregar otra ip o servidor de no-ip y asi compartir al conexion de la victima con alguien

DNS/Port: aca agregaremos la nueva IP o dominio NO-IP.
ID: el nombre con el que se conectara la victima en ese nuevo dominio.
Password: la clave del server en ese nuevo dominio.
Socks4:si se quieren agregar proxys o servidores intermedios.
Run in Same Process/New Process: para que el server se ejecute en el mismo proceso o uno nuevo.
Privileges: para que el server compartido tenga los permisos apropiados. Full (el server compartido tiene acceso a todas las opciones), Normal (al server compartido no se le esta permitido cambiar opciones de administracion del server), Restricted (al server compartido no se le esta permitido utilizar opciones peligrosas).

Update: actualizar el server a uno nuevo que hayamos creado.

Restart: resetear el server.

Uninstall: desinstalar el server.

espero este tutorial le haya servido de algo a alguien XD… comentarios, puteadas, halagos, insultos, todo aca ^^

Hecho por SoLiD SnAkE