Pregunta sobre troyanos

Hack-11 · 6 Junio 2011, 19:46 PM

Hola pues vi en un foro que colgaron un crypter que en realidad era un fake y consiguieron sacar el no-ip y su ip que usaba para el troyano que se hacia pasar por cryoter como demonios lo hicieron? mas que nada curiosidad xD

Karcrack · 6 Junio 2011, 19:52 PM

Pues no se específicamente que técnica utilizarían... Normalmente con abrirlo con un editor hexadecimal ya puedes encontrar la cuenta No-IP en texto plano... Otras se ejecuta desde una maquina virtual y se observan las conexiones salientes... Pero sin duda la más fácil es subirlo a Anubis, allí ya te dicen donde se intenta conectar y mucha más información interesante

Hack-11 · 6 Junio 2011, 20:04 PM

aa pues muchas gracias la verdad esque pense que seria algo mas complico pero es bastante facil... la pagina esa de anuubis me la llevo a favoritos...

Salu2 (por cierto pitoloko te he enviado un mp si pudiera leerlo y contestarlo te lo agredeceria xDD)

SuperDraco · 6 Junio 2011, 20:33 PM

¿Pero en anubis distribuyen el sample? porque entonces no sirve para nada xD, si el crypter fuese indetectable y resulta q no está infectado por terceros, entonces a las pocas horas ya lo detectarian 10 av's xD, es arriesgarse demasiado (Si es que lo distribuyen, q no lo se)...

Creo que lo mejor es hacerlo uno mismo, abrir el troyano y con "moo0 connection watcher" monitorizas las conexiones entrantes/salientes y con "Moo0 file monitor" monitorizar si se expande algún regalito... algún archivo no deseado. o hacerlo como ya han mencionado.

PD: he leido tu mp

Karcrack · 6 Junio 2011, 20:53 PM

@pitoloko: No te preocupes, hasta donde yo tengo entendido Anubis no distribuye las muestras a ninguna casa de AVs

Edu · 6 Junio 2011, 23:13 PM

Cita de: Karcrack en 6 Junio 2011, 19:52 PM
Pues no se específicamente que técnica utilizarían... Normalmente con abrirlo con un editor hexadecimal ya puedes encontrar la cuenta No-IP en texto plano... Otras se ejecuta desde una maquina virtual y se observan las conexiones salientes... Pero sin duda la más fácil es subirlo a Anubis, allí ya te dicen donde se intenta conectar y mucha más información interesante

Pero si el troyano estaba encryptado se vera en texto plano? Decian que el Bifrost sin encryptar se veia clarisimo, pero Spynet y esos ya no, y menos encryptado para los 2 por eso te pregunto.

Una vez que conoces la ip del que intenta crear la conexion, hay programas para saber su no-ip si lo tiene actualizado claro, sabiendo el no-ip con un ping ya sabes la ip, pero yo digo hacer lo contrario, he bajado programas pero ninguno funciona, conocen alguno que funcione 100% ?

Karcrack · 7 Junio 2011, 00:21 AM

Digo que normalmente se ve en texto plano porque suelen ser RATs cutres que no se toman la molestia ni en cifrar el no-ip...

Se captura directamente la direccion no-ip, al menos en Anubis, ya que este no intercepta solo la conexion una vez efectuada, si no que intercepta el intento de obtener la IP a partir del dominio... es decir... obtiene la cuenta no-ip

Edu · 7 Junio 2011, 17:55 PM

Perfecto, habra que mirar esa web