Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - gryphus_d

Páginas1
#1
Análisis y Diseño de Malware / Re: [SOURCE] Gh0st RAT
10 Septiembre 2009, 03:10 AM
Jaixxon Jax, esa Dll es el troyano en sí; forma parte del servicio que crea el server en el ordenador, para poderse iniciar cada vez que se encienda el ordenador. En mi experiencia, a parte de lo de esa Dll y algunos archivos mas que crea al ser ejecutado, el programa aparentemente no tiene comportamientos extraños, aunque nunca es suficiente toda precaución.
#2
Análisis y Diseño de Malware / [SOURCE] Gh0st RAT
10 Septiembre 2009, 02:00 AM
Troyano Gh0st rat
Ante todo, este troyano tan completo no lo he programado yo. Se trata del famoso troyano Gh0st rat; el mismo que hasta hace pocos meses utilizaba el gobierno chino, para espiar al Dalai lama y a una lista de embajadas enemigas. Esta es la versión 3.6 beta y esta programado en C++.
Entre las características que icluye:

  • Sin límite de conexiones(el troyano gestiona y balancea la red automáticamente)
  • Conexión inversa
  • Tamaño del servidor: 109 Kb
  • Capturador de Pantalla con velocidad propia de un cliente VNC; capacidad de ajustar el algoritmo de compresión y profundidad de color. Control total del mouse remoto, con desplazamiento incluido.
  • Captura de web cam con posibilidad de compresión y grabado en vídeo de la imagen capturada
  • Captura de micrófono (con envío y recepción de audio)
  • Shell remota
  • Keylogger (offline y online)
  • Visualizador de procesos remotos, de contraseñas y de ventanas
  • Explorador de archivos remoto
  • Utilidad para reiniciar, cerrar la sesión y apagar el PC infectado
  • Capacidad de abrir URLs remotas y de actualización del servidor

Unas pequeñas imágenes de muestra:

Ventana principal


Creación del server


File manager


Visualizador de procesos


Captura de pantalla


Para compilar el código fuente se necesita tener instalado el Microsoft SDK 2003 que se descarga de aquí: http://www.microsoft.com/msdownload/platformsdk/sdkupdate/psdk-full.htm, el visual C++ 6.0 y opcionalmente, (si se quiere modificar un driver interno que incluye el servidor) el Windows DDK 3790.1830. Con estas herramientas compila sin fallo alguno.

El servidor no usa inyección en memoria, si no que se registra como servicio de Windows con privilegios de sistema.
Adjunto dos versiones diferentes del virus: El código fuente con los diálogos traducidos desde el chino al español, y el código fuente original (en chino).
También subo dos binarios diferentes, uno en inglés y otro traducido al español.

El proyecto esta muy avanzado y es completamente funcional, aún así espero que la gente se anime a toquetearlo y postee las mejoras en el código que le haga.
Desde luego, el troyano es un digno sucesor del Bifrost y del Poison Ivy, y tiene algo que no poseían los otros, el código fuente, con lo que hacerlo indetectable no debe de ser muy complicado.

Código fuente del programa:
Versión original
Código [Seleccionar]
http://depositfiles.com/files/v5aazl2sh
Traducción al español
Código [Seleccionar]
http://depositfiles.com/files/uqmntw625

Binarios del programa:
Versión en inglés:
Código [Seleccionar]
http://depositfiles.com/files/r95bc33be
Versión en Español:  
Código [Seleccionar]
http://depositfiles.com/files/qqqqo24b6
Páginas1