Pregunta sobre troyanos

Iniciado por Hack-11, 6 Junio 2011, 19:46 PM

0 Miembros y 1 Visitante están viendo este tema.

Hack-11

Hola pues vi en un foro que colgaron un crypter que en realidad era un fake y consiguieron sacar el no-ip y su ip que usaba para el troyano que se hacia pasar por cryoter como demonios lo hicieron? mas que nada curiosidad xD

Karcrack

Pues no se específicamente que técnica utilizarían... Normalmente con abrirlo con un editor hexadecimal ya puedes encontrar la cuenta No-IP en texto plano... Otras se ejecuta desde una maquina virtual y se observan las conexiones salientes... Pero sin duda la más fácil es subirlo a Anubis, allí ya te dicen donde se intenta conectar y mucha más información interesante :D

Hack-11

aa pues muchas gracias la verdad esque pense que seria algo mas complico pero es bastante facil... la pagina esa de anuubis me la llevo a favoritos...

Salu2 (por cierto pitoloko te he enviado un mp si pudiera leerlo y contestarlo te lo agredeceria xDD)

SuperDraco

¿Pero en anubis distribuyen el sample? porque entonces no sirve para nada xD, si el crypter fuese indetectable y resulta q no está infectado por terceros, entonces a las pocas horas ya lo detectarian 10 av's xD, es arriesgarse demasiado (Si es que lo distribuyen, q no lo se)...


Creo que lo mejor es hacerlo uno mismo, abrir el troyano y con "moo0 connection watcher" monitorizas las conexiones entrantes/salientes y con "Moo0 file monitor" monitorizar si se expande algún regalito... algún archivo no deseado. o hacerlo como ya han mencionado.


PD: he leido tu mp
No he vuelto, solo estoy de paso.

Karcrack

@pitoloko: No te preocupes, hasta donde yo tengo entendido Anubis no distribuye las muestras a ninguna casa de AVs

Edu

Cita de: Karcrack en  6 Junio 2011, 19:52 PM
Pues no se específicamente que técnica utilizarían... Normalmente con abrirlo con un editor hexadecimal ya puedes encontrar la cuenta No-IP en texto plano... Otras se ejecuta desde una maquina virtual y se observan las conexiones salientes... Pero sin duda la más fácil es subirlo a Anubis, allí ya te dicen donde se intenta conectar y mucha más información interesante :D

Pero si el troyano estaba encryptado se vera en texto plano? Decian que el Bifrost sin encryptar se veia clarisimo, pero Spynet y esos ya no, y menos encryptado para los 2 por eso te pregunto.

Una vez que conoces la ip del que intenta crear la conexion, hay programas para saber su no-ip si lo tiene actualizado claro, sabiendo el no-ip con un ping ya sabes la ip, pero yo digo hacer lo contrario, he bajado programas pero ninguno funciona, conocen alguno que funcione 100% ?

Karcrack

Digo que normalmente se ve en texto plano porque suelen ser RATs cutres que no se toman la molestia ni en cifrar el no-ip...

Se captura directamente la direccion no-ip, al menos en Anubis, ya que este no intercepta solo la conexion una vez efectuada, si no que intercepta el intento de obtener la IP a partir del dominio... es decir... obtiene la cuenta no-ip

Edu

Perfecto, habra que mirar esa web