Posts etiquetados ‘troyano’

Uso o manual del Poison Ivy

Publicado: abril 26, 2011 de nachocp en Hacking básico., Hacking., Tutoriales
Etiquetas:, , , , , , ,

Hola señores:

Este es un manual muy interesante que encontre en programas-hack.com muy interesante sobre este software espero que les guste.

Cita:

Empezado por wikipedia

os troyanos de conexión inversa son los que hacen que el servidor sea el que se conecte al cliente; las ventajas de éste son que traspasan la mayoría de los firewall y pueden ser usados en redes situadas detrás de un router sin problemas.

bueno, comenzamos, para empezar, nuestro lugar de trabajo XD, cuando abrimos el poison ivy, vemos esto…

ID:muestra el nombre que le dimos a la victima.
WAN:muestra la IP de internet de la victima.
LAN:muestra la IP de red de la victima.
Computer: muestra el nombre de la PC de la victima.
User Name: muetra el nombre del usuario activo en la PC de la victima.
Acc. Type:muestra el tipo de sesion que esta activo en la PC de la victima.
OS: muestra el sistema operativo (operating system)(Windows 98, ME, 2000, XP, Linux, etc)
CPU:nos dira la cantidad de megahertz (MHz) que tiene el procesador de la PC de la victima.
RAM:nos dira la cantidad de memoria RAM que posee la PC de la victima.
Version:indica la version del server que tiene instalada la victima.
Ping:indica la velocidad de conexion con la victima. entre mas alto es el numero, mas dificil es la conexion
Port: xxxx :indica el puerto que estamos escuchando.
Connection: xx :indica la cantidad de conexiones que tenemos.

bueno, esto en general de la ventana del poison, ahora damos doble clic sobre la victima, y nos aparecera otra ventana…

primero tenemos la ventana information

aca aparece la informacion sobre la PC y sobre el server que
estamos utilizando…

luego tenemos en Manager, Files…
sirve para ver todos archivos en la PC de la victima…

con esta opcion podemos refresar la ventana, buscar archivos o carpetas, ver iconos grandes, subir archivos o carpetas, descargar archivos o carpetas, ejecutar archivos de forma visible u oculta, renombrar archivos o carpetas, borrar archivos normalmente o de manera segura. esto es util por ejemplo si keremos robar un archivo o si keremos ejecutar algun otro virus en la PC infectada..

luego tenemos en manager, Search
sirve para buscar archivos en la PC de la victima

explico:
File name: aqui va el nombre del archivo.
A word in the file: si no sabemos el nobmre, escribimos alguna palabra ke contenga
Search in: donde buscar
Include subdirectories: opcion para que busque en los subdirectorios de la busqueda
Fuzzy: si la seleccionamos, va a encontrar cualquier archivo que contenga nuestra palabra de busqueda.
Case sensitive: para que mayusculas y minusculas coincidan
Search:comenzar busqueda
Stop:detener busqueda

luego tenemos en manager, regedit
sirve para acceder a los registros de la PC infectada

luego en manager, tenemos regedit-search
sirve para buscar un registro en especifico y se usa de la misma manera que el buscador de archivos, solo se le agregan las opciones valores y claves

ahora esta la opcion processes, donde miramos los procesos de la victima
con el boton derecho podemos refrescar, matar procesos, suspender procesos y guardar un archivo

ahora tenemos la opcion services, que sirve para ver los servicios que esta utilizando la PC infectada

con el clic derecho podemos:
refrescar, guardar a un archivo, iniciar o detener un servicio, editar, instalar y desinstalar servicios.

luego tenemos la opcion installed aplications, que nos muestra los programas instalados en la PC infectada…

aqui con el clic derecho podemos refrescar la ventada, desinstalar una aplicacion o guardar un archivo

ahora vamos con windows, que es donde estan todas las ventanas en uso

con esta opcion podemos refrescar, capturar la ventana, enviar teclas para que sean presionadas en la PC remota, mostrar la ventana en la PC remota, esconder la ventana, maximizar, minimizar y cerrar la ventana.

bueno, ahora pasamos a tools, lo primero que tenemos ahi es relay
esta opcion nos sirve para ver y manipular el trafico entre los diferentes proxys y servers. Esta opcion es valida si nosotros agregamos algun servidor intermedio cuando configuramos el server (en Socks4).

Se pueden capturar passwords, nombres de usuario e informacion que hayan quedado registrados a lo largo de la conexion que establecimos a traves de los proxys. Tambien tiene opciones de filtro, para que no aparezca informacion que no queramos.

luego de esto tenemos la opcion Active ports
sirve para ver que puertos TCP y UDP estan abiertos en la PC de la victima. Es lo mismo que hacer un netstat

con el clic derecho en esta opcion podemos refrescar, guardar a un archivo, resolver el DNS, capturar paquetes, matar la conexion y matar el proceso.

luego esta la opcion remote shell
sirve para manejar la consola MS-DOS de la PC infectada

Para activarla hay que hacer clic derecho y elegir la opcion “Activate”. Tambien podemos guardar el registro a un archivo y limpiar la ventana

luego vamos con la opcion passwords audits, ahi tenemos tres opciones Cached, NT/NTLM Hashes y Wireless
primero Cached, son los passwords ke kedan en los exploradores y mensajeros (creo)

NT/NTLM Hashes, me parece que son los passwords de windows ^^

y Wireless, los passwords de las conexiones wireless ke ha usado la PC infectada

———-
bueno, ahora pasamos a surveillance empezando por keylogger
este es el que capta todas las pulsaciones de teclas que se han hecho n la PC infectada, ideal para robar password

luego tenemos audio capture, para escuchar lo que escucha la victima

luego esta screen capture, que puede servir como un escritorio remoto

Stretch:sirve para ajustar la pantalla de la victima a la ventana.
Mouse:sirve para manejar el mouse de la victima y poder clickear en donde queramos.
Keyboard:sirve para manejar el teclado de la victima y poder escribir en donde queramos.
Interval:es el intervalo de tiempo en que se toma una y otra captura.
Start:comienza a capturar pantallazos seguidamente.
Single:captura un unico pantallazo.
Save:sirve para guardar la pantalla en un archivo. Si seleccionamos “Autosave” se guardaran todas las que se capturen.
Options:sirve para cambiar el tamaño y la calidad de la pantalla.

y por ultimo webcam capture que captura imagenes a travez de la webcam de la victima ^^

funciona de la misma manera que screen capture

luego en la seccion plug ins, donde iran todos los plug ins ke le instalemos al troyano, nos viene la opcion port scanner 1.0.0 que sirve para escanear remotamente los puertos abiertos de la PC infectada

luego en las opciones de administracion encontramos
Edit ID: que sirve para cambiar el nombre de la victima que aparece cuando se conecta con nosotros

share: que sirve para agregar otra ip o servidor de no-ip y asi compartir al conexion de la victima con alguien

DNS/Port: aca agregaremos la nueva IP o dominio NO-IP.
ID: el nombre con el que se conectara la victima en ese nuevo dominio.
Password: la clave del server en ese nuevo dominio.
Socks4:si se quieren agregar proxys o servidores intermedios.
Run in Same Process/New Process: para que el server se ejecute en el mismo proceso o uno nuevo.
Privileges: para que el server compartido tenga los permisos apropiados. Full (el server compartido tiene acceso a todas las opciones), Normal (al server compartido no se le esta permitido cambiar opciones de administracion del server), Restricted (al server compartido no se le esta permitido utilizar opciones peligrosas).

Update: actualizar el server a uno nuevo que hayamos creado.

Restart: resetear el server.

Uninstall: desinstalar el server.

espero este tutorial le haya servido de algo a alguien XD… comentarios, puteadas, halagos, insultos, todo aca ^^

Manual de Bifrost 1.2.1

Publicado: abril 26, 2011 de nachocp en Hacking básico., Hacking.
Etiquetas:, , , ,

Introduccion:

El Bifrost se trata de un troyano de conexion inversa, es decir, que el server, una vez alojado en la Pc de nuestra victima, se conecta a nosotros para poder controlar su ordenador.

Comenzemos:

Pueden descargar el Bifrost de AQUÍ

Una vez descargado, ejecutenlo y les aparecera la pantalla principal del bifrost. En la parte inferior, hagan clic en Settings.

En ports: tienen 3 huecos a rellenar. Esto es el puerto por el que el sever se conectara con vosotros. Se conectara por el puerto que este primero escrito, si por este no puede lo ara por el 2º y sino por el 3º. En caso de que querais poner un solo puerto (por ejemplo el 2000) dejad los otros dos espacion en 0.

En password: introduzcan uno que recuerden.

En Name of extension after upload pondremos addon.dat (es el nombre que tendra la extension)

Despues seleccionaremo s tal y como se muestra en la imagen, la casilla, Msn style notification (para que al conectarse las victimas nos lo notifique con una ventana estilo a la del MSN)

Seleccionaremo s tambien, Compress file transfer ( que comprimirá los datos de la transferencia de archivos para que se realice más rápido)

Si marcamos la casilla, Check password for incoming connections, nos pedira la contraseña cada vez que halla una coñexion.

Method to determine flag, es la forma que bifrost determina la bandera del pais de la victima. Podemos elegir segun las opciones de region e idioma del PC, o segun el idioma que utilice el teclado.

Una vez echo esto, damos a ok, y ahora cliqueamos en Builder, que es donde crearemos el server.

En Dynamic DNS/IP deveremos ingresar nuestra IP, que sera a la que se conectara nuestro server. Pero existe un problema, que como la IP es dinamica (es decir va cambiando) cuando nuestro server se intente conectar a nuestra PC, cuando esta cambie no lo podra hacer. Por esta razon deveremos crear una no-ip, que lo que hace es redireccionar siempre nuestro server a nuestra IP en caso de que cambie. Es un proceso que tardaremos 10 minutos tan solo, y teneis su manual en esta misma seccion (troyanos y virus)
En este caso la no-ip que emos usado a sido “ejemplo.no-ip.info”. Una vez escrita, damos a Add.
En Password y Port deveremos escrivir lo mismo que en Settings.

Ahora pasemos a la lengueta Installation.

Filename when installed: sera el nombre con el que se instalara nuestro server en el pc de la victima. Es recomendable un nombre que no levante sospecah y que parezca cosa del sistema, como SR032.exe, SIP43.exe etc
Directory to install to: sera el nombre de la carpeta donde se instalara. Esta estara dentro de Systen32, y como en la vez anterior, es aconsejable algo que no levante sospecha como Systcod, RZWIN, 309CF, etc
El resto de las opciones lo mas aconsejable es marcarlas como en la imagen. (Si teneis alguna duda sobre que significa alguna de ellas, no dudeis en postear, os respondere con la mayor brebedad posible)

Bien, ahora pasemos a Stealth.

Como en la vez anterior, os aconsejo marcar las mismas casillas que en la imagen.
Aqui teneis su significado.
Stealth Mode: aqui elegimos el modo de ocultación del server. Si seleccionamos Visible mode,el server se ejecutara de forma visible. Si seleccionamos Cautious mode, el server se ejecutará de forma oculta, pero si no logra injectarse se cerrará para no ser descubierto. Si seleccionamos Agressive mode, el server se ejecutará de forma oculta, y si la inyección falla, intentará conectarse igual.
Set attribute hidden: el server tendrá la opción “Oculto” activada.
Set older file date: el server y su carpeta tendrán su fecha de creación antiguas.
Melt server: cuando el server sea ejecutado, va a desaparecer.
Kernel level unhooking: esta opción sirve para lograr pasar más cantidad de firewalls. Igualmente no es recomendable activarla, ya que esa función todavia es beta y puede presentar problemas.
Delayed Connection: sirve para darle al server un tiempo antes de ejecutarse. Si seleccionamos No delay se ejecutará inmediatamente . Con Delay to next reboot lo hará cuando la PC se reinicie. La tercera opción nos permite establecer un tiempo exacto, con días, minutos y horas, para que el server se ejecute.
Hide Process: intenta ocultar el proceso del server. Esta función requiere que la víctima posea Windows XP y que el usuario sea administrador. Igualmente, es beta y es probable que no funcione correctamente.

La ventana de Miscellanius, es una forma de conectarse a una red TOR, pero por su complejidad y posibles fallos que pueda producir, es aconsejable no marcarla.

Y bien, una vez echo esto, ya tenemos nuextro server configurado. Ahora hacemos clic en Build, y se creara el server.exe en la carpeta donde tengamos el bifrost.

Bien, aora ya tenemos el server creado. Este sera el que deveremos enviar a nustra victima, lo cual es algo mas complicado, pero no dificil. Para que resulte mas facil deveremos hacerlo indetectable para los anti virus y enviarlo por correo o subirlo a lagun servidor para que lo descarguen.

Despues el uso que le den, pues ya depende de cada quien…

Pueden sacar informacion muy personal de la gente, como por ejemplo contraseñas…

… aechivos e imagenes de su pc… etc, asi que tratenlo con respeto hacia la persona… no agan lameradas… y sean buenos xD

Si tienen alguna pregunta no duden en postear.

Pues sí , este troyano es capaz de conseguir los datos privados contenidos por el Android de la marca de Google , y enviarlos a un servidor remoto en el cual unos usuarios “maliciosos” se aprovechaban de sus víctimas.

La empresa de seguridad Lookout Mobile Security alertó sobre el troyano y lo nombró “Geinimi”. Según Lookout, el troyano es una de las amenazas más sofisticadas para teléfonos móviles y mantiene un perfil bajo para que el usuario no se dé cuenta del peligro.

Geinimi se propaga por juegos piratas para Android disponibles en Internet. La empresa afirma que por ahora sólo ha detectado el troyano en sitios de Internet chinos, pero no duda de que la amenaza no tardará en expandirse a otros lugares del mundo.

Algunos de los juegos afectados por el troyano son Monkey Jump 2, Sex Positions, President vs. Aliens, City Defense y Baseball Superstars 2010. Los juegos originales disponibles en Android Market no propagan esta amenaza.

El troyano Geinimi recibe órdenes de un servidor remoto cada cinco minutos y puede recolectar datos del dispositivo y su usuario para enviarlos al cibercriminal que lo controla.

Entre los datos que recolecta se encuentran los datos que identifican al aparato, las coordenadas con su ubicación y una lista de las aplicaciones instaladas en el teléfono. Geinimi también puede instalar otras aplicaciones maliciosas, realizar llamadas y enviar mensajes de texto desde el dispositivo infectado.