send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Troyano Cobrax 1.0 [Actualizado 14/08/15]

  • 43 Respuestas
  • 11386 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado xxneeco83xx

  • *
  • Underc0der
  • Mensajes: 46
  • Actividad:
    0%
  • Reputación 0
  • ASM/C/C++/VB/Delphi
    • Ver Perfil
    • Email
  • Skype: nico.buzzi
« en: Julio 27, 2015, 10:31:02 pm »
Hola ! aqui una nueva actualizacion del programa.
Como había comentado ya antes en el ultimo post estaba trabajando en lo que es el FileManager v2.
Y aproveche para armar otros proyectos de por medio y trabajar de a ratos en el troyano.
Aquí las updates del dia.

NOTA :
NO SUBIR A VIRUSTOTAL.COM



ACTUALIZADO 14/08/2015 :

*FileManager Actualizado
+Se agrego menú contextual con las opciones disponibles
+Crear carpeta
+Borrar
+Descargar
+Actualizar
+Subir
**Ahora el FileManager incorporo los directorios fijos [Escritorio], [Archivos de Programa], [Temporales], etc.
*Se corrigió el botón Atrás.
*Se corrigió el error que hacia perder el directorio de los archivos luego de presionar Atrás.
*Al enviar archivos y descargar los mismos por medio de FileManager, la barra de progreso informara el estado de descarga/subida.

*Se corrigió un error en Windows x64. ahora es compatible.
*Se agrego un intervalo para el envió de datos extensos, así evitando la perdida de los mismos.
*Envió de teclas actualizado [Ahora permite el envió de teclas especiales de esta manera]
+ {ENTER}, {ESC}, {ALT}
+ Mensajes completos a ser enviados.

*Se agrego método de encryptacion propio, para las cadenas de texto y registros de lectura.
*Se corrigió el método de borrar archivos a la hora de eliminar carpetas

*En cliente se modifico el skin
*Se corrigieron algunos errores de programación


ACTUALIZADO 04/08/2015 :

*Se incorporo un nuevo comando (Revisar ventanas abiertas)
*Se agrego en el administrador de tareas remoto, la ruta del proceso activo (ejecutado)


ACTUALIZADO 03/08/2015:

*En cliente - se quito la transparencia de los formularios
*Se corrigió un error que hacia que el servidor crasheara repentinamente.
(ahora es estable en todos los sistemas)
*Se agrego auto-size (se ajusta a todas las resoluciones de pantalla) y los formularios
ahora son resizables, minimizables y maximizables.
*Se corrigió un error que no permitía ejecutar en Windows XP (Servidor)
*Se corrigió un error de ScreenShot perdía demasiadas imágenes (Cliente)
*Se corrigió un bug en el script batch que mantenía ejecutado el programa
(ahora no ejecuta tantas veces el proceso cmd.exe & conhost.exe)
si el script es cerrado, cerrara todo y se volverá a auto-ejecutar.
*En el keylogger offline, en algunos SO daba error al insertar el HOOK.
(Se corrigió, y ahora funciona correctamente, sin problemas)
*Servidor (Se quito código basura, y se reestructuraron algunas partes de código)
*Se cambio la imagen de splash de inicio & saber más!
*Se cambio la imagen de sonido de ambiente que suena cuando se presiona datos de autor. (Saber Más!)
*Se cambio el lugar donde se escribe el registro de inicio.
*Se acortaron algunos intervalos de espera para la reconexion.
*Testeado en Ordenadores con los siguientes antivirus instalados
(Windows XP - Avast 4.8) - ( Windows Seven Ultimate - Avast 5)
(Windows 8.1 - Bitdefender ) - ( Windows 10 - ESET 8 )
(Windows 8 - AVG )
Ningun antivirus detecto ninguna heuristica, ni nada sospechoso.
Peso del servidor con UPX - 55KB, peso del servidor sin UPX 172KB.


ACTUALIZADO 01/08/15:
*Se redujo el tamaño del stub ( server ) ( 50kbs aprox )
*Se quito el icono predeterminado
*Se mejoro el rendimiento y velocidad
*Se corrigió el problema de muchas ejecuciones del mismo servidor
*Se cambio el método de obtener las teclas presionadas, ahora se utiliza HOOKS en el teclado y ya no mas el API GetAsyncKeyState que consumía demaciados recursos
y hacia que fuera mucho mas sospechoso
*Se corrigió un error que hacia cerrar el servidor ni bien era ejecutado en algunos casos.
*Des-habilita el UAC sin notificación.
*En el cliente se cambio el Skin y la música de ambiente, en el botón Saber mas!
*Se comentaron mas lineas de código y algunas funciones fueron re-programadas.

ACTUALIZADO 29/07/15:
*Se corrigió el PASS del RAR para que puedan descomprimirlo
*Se corrigió bug en el FileManager, a la hora de descargar un archivo desde el remoto este daba un nombre indebido.
*Se corrigió un bug's en la captura de pantalla cuando este cliente recibía demasiadas, ahora corre sin problemas.
*Se añadió un modulo que hace que si el servidor se cierra, o lo cierran, desconecta y demás, este sera de nuevo ejecutado.
*Se simplificaron varias lineas de código.


ACTUALIZADO 28/07/15:
*Se corrigió el error de auto-inicio (este no iniciaba correctamente)
*Se agrego función de subir archivos a rutas determinadas en el FileManager
*Se modificaron varios formularios, y se mejoro la accesibilidad para el usuario.
*Se corrigieron mensajes mal impresos.



Algunas funciones :

*Keylogger offline & Online
*Monitoreo de la victima, WebCam & Escritorio remoto.
*FileManager (Manejo de archivos remotos)
*Envio de archivos, y recibir archivos remotos.
*Downloader
*Spread USB|P2P
*Payloads (Diversion del usuario con la victima)
*Escuchar microfono remoto
*Envio de mensajes
*Manejo de servicios
*Desactivar Firewall
*Conexiones multiples
*Soporta UPX compresion.
*Es bastante estable
*Consta con muchas opciones mas.
 

En que sistema funciona ?
Multi SO - XP/Vista/Seven/8/10


























Analize el servidor en VirSCAN.ORG. aqui los resultados.
You are not allowed to view links. Register or Login


Scanner   Engine Ver   Sig Ver   Sig Date   Scan result   Time

ahnlab   9.9.9   9.9.9   2013-05-28   Found nothing
antivir   1.9.2.0   1.9.159.0   7.11.250.172   Found nothing
antiy   AVL SDK 3.0   2014112615531100   2014-11-26   Found nothing
arcavir   1.0   2011   2014-05-30   Found nothing
asquared   9.0.0.4157   9.0.0.4157   2014-07-30   Found nothing
avast   150727-1   4.7.4   2015-07-27   Found nothing
 avg   2109/8526   10.0.1405   2015-01-30   Found nothing
baidu   2.0.1.0   4.1.3.52192   2.0.1.0   Trojan.Backdoor.Heur.gen
baidusd   1.0   1.0   2014-04-02   Found nothing
bitdefender   7.58879   7.90123   2015-01-16   Found nothing
clamav   20725   0.97.5   2015-07-26   PUA.Win32.Packer.UpxProtector
comodo   15023   5.1   2014-11-24   Found nothing
ctch   4.6.5   5.3.14   2013-12-01   Found nothing
drweb   5.0.2.3300   5.0.1.1   2015-07-21   Found nothing
fortinet   26.983   5.1.158   2015-07-27   Found nothing
fprot   4.6.2.117   6.5.1.5418   2015-07-27   W32/Felix:VC_program!Eldorado
fsecure   2014-04-02-01   9.13   2014-04-02   Found nothing
gdata   24.3819   24.3819   2014-08-29   Found nothing
hauri   2.73   2.73   2014-06-13   Found nothing
ikarus   1.06.01   V1.32.31.0   2015-07-27   Found nothing
jiangmin   16.0.100   1.0.0.0   2014-07-28   Found nothing
kaspersky   5.5.33   5.5.33   2014-04-01   Found nothing
kingsoft   2.1   2.1   2013-09-22   Found nothing
mcafee   7638   5400.1158   2014-11-30   Found nothing
nod32   1777   3.0.21   2015-06-12   Found nothing
panda   9.05.01   9.05.01   2014-06-15   Found nothing
pcc   11.816.07   9.500-1005   2015-07-27   Found nothing
qh360   1.0.1   1.0.1   1.0.1   Found nothing   
qqphone   1.0.0.0   1.0.0.0   2015-07-28   Found nothing   
quickheal   14.00   14.00   2014-06-14   Found nothing   
rising   25.17.00.04   25.17.00.04   2014-06-02   Found nothing   
sophos   5.08   3.55.0   2014-12-01   Found nothing
sunbelt   3.9.2589.2   3.9.2589.2   2014-06-13   Found nothing   
symantec   20150721.001   1.3.0.24   2015-07-21   Found nothing   
tachyon   9.9.9   9.9.9   2013-12-27   Found nothing   3
thehacker   6.8.0.5   6.8.0.5   2014-06-12   Posible_Worm32   
tws   17.47.17308   1.0.2.2108   2014-06-16   Found nothing   
vba   3.12.26.4   3.12.26.4   2015-07-27   Found nothing   
virusbuster   15.0.985.0   5.5.2.13   2014-12-05   Found nothing   

El servidor esta programado en C++, y el cliente en Visual Basic 6.0
Al que le interese el código, simplemente que me mande un MP.

Aqui sin mas les dejo el programa, cualquier duda, reporte de bug, comentario u opinión son bien recibidos, mientras mas grande sea el apoyo, mas incita a continuar el programa, muchas gracias!!


TROYANO JUNTO CON SU CODIGO + Plus - Una vacuna en caso de infección y su codigo.

Nuevo Link 14/08/2015

Link de la carpeta del proyecto
 

You are not allowed to view links. Register or Login

Link directo del rar con codigo y binarios
You are not allowed to view links. Register or Login

PASS : xxneeco83xx


*TRABAJANDO ACTUALMENTE EN : Nuevas funciones
   8)
« Última modificación: Agosto 14, 2015, 05:31:14 pm por xxneeco83xx »
El arte de crear malware, es algo que solo pocos entienden!


Desconectado Yavi

  • *
  • Underc0der
  • Mensajes: 173
  • Actividad:
    0%
  • Reputación 0
  • Es como una pagina redirigiendose a si misma
    • Ver Perfil
    • Email
  • Skype: yavios@hotmail.com
  • Twitter: @YaviOS64
« Respuesta #1 en: Julio 28, 2015, 01:03:31 am »
Muy interesante, lastima que no manejo el C++

Vaya, soy el primer comentario. Bueno, por ahora me mantengo en otros lenguajes,  :-[
"Eso es lo bueno de internet. De que sirve internet si chateas con tus vecinos??? para eso te sacas unas sillas al fresco y hablais y jugais a las cartas". @windux

Desconectado rochesto

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #2 en: Julio 28, 2015, 07:40:17 am »
Estoy aprendiendo c++, lo utilizare para aprender un poco, y ver como funcionan de paso los troyanos a nivel interno. Gracias por el aporte

Enviado desde mi Note 3 mediante Tapatalk


Desconectado xxneeco83xx

  • *
  • Underc0der
  • Mensajes: 46
  • Actividad:
    0%
  • Reputación 0
  • ASM/C/C++/VB/Delphi
    • Ver Perfil
    • Email
  • Skype: nico.buzzi
« Respuesta #3 en: Julio 28, 2015, 01:32:10 pm »
En un rato, subire un link nuevo, con un bug corregido, de autoarranque. (este no funcionaba como debia ser), y adjuntare el codigo source, para que puedan analizarlo y estudiarlo.  ;D
El arte de crear malware, es algo que solo pocos entienden!


Desconectado RisingMage

  • *
  • Underc0der
  • Mensajes: 62
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Julio 28, 2015, 02:59:32 pm »
Muy buen trabajo, un saludo.

Desconectado xxneeco83xx

  • *
  • Underc0der
  • Mensajes: 46
  • Actividad:
    0%
  • Reputación 0
  • ASM/C/C++/VB/Delphi
    • Ver Perfil
    • Email
  • Skype: nico.buzzi
« Respuesta #5 en: Julio 28, 2015, 03:55:17 pm »
You are not allowed to view links. Register or Login
Muy buen trabajo, un saludo.

Muchas gracias !  :D, estaré actualizándolo.
El arte de crear malware, es algo que solo pocos entienden!


Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #6 en: Julio 29, 2015, 09:34:10 am »
Que gran aporte la verdad, es una lástima que no maneje demasiado C++, pero si necesitas algún día alguien que testee cuenta conmigo ;)

Saludos.



Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 215
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #7 en: Julio 29, 2015, 10:46:26 am »
You are not allowed to view links. Register or Login
PASS : xxneeco83xx
¿Seguro? Quería echarle un vistazo al código fuente pero tengo problemas para descomprimirlo con xxneeco83xx, XXNEECO83XX, xxNEECO83xx, XXneeco83XX, a pedírselo por favor, a escupir a la pantalla... Y nada, sigo sin acertar.
¿Le habrás puesto tu "contraseña habitual" inconscientemente al volver a comprimirlo? A menudo yo meto la pata y cifro con una contraseña distinta a la que quería poner, por eso de tener tantas contraseñas en la cabeza.
¿O es que algo no va bien en mi equipo?  :o
Si alguien pudiera confirmarme que se descomprime correctamente lo agradecería mucho. Igual que el código fuente, que es digno de agradecer.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #8 en: Julio 29, 2015, 11:52:56 am »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
PASS : xxneeco83xx
¿Seguro? Quería echarle un vistazo al código fuente pero tengo problemas para descomprimirlo con xxneeco83xx, XXNEECO83XX, xxNEECO83xx, XXneeco83XX, a pedírselo por favor, a escupir a la pantalla... Y nada, sigo sin acertar.
¿Le habrás puesto tu "contraseña habitual" inconscientemente al volver a comprimirlo? A menudo yo meto la pata y cifro con una contraseña distinta a la que quería poner, por eso de tener tantas contraseñas en la cabeza.
¿O es que algo no va bien en mi equipo?  :o
Si alguien pudiera confirmarme que se descomprime correctamente lo agradecería mucho. Igual que el código fuente, que es digno de agradecer.


En efecto, contraseña incorrecta.

Un saludo.



Desconectado xxneeco83xx

  • *
  • Underc0der
  • Mensajes: 46
  • Actividad:
    0%
  • Reputación 0
  • ASM/C/C++/VB/Delphi
    • Ver Perfil
    • Email
  • Skype: nico.buzzi
« Respuesta #9 en: Julio 29, 2015, 01:21:14 pm »
uuff ! si disculpen. inconcientemente le habre puesto otra contraseña, pero bueno, Ya resubi una nueva version que saque ayer por la noche, jaja con otras corregidas.
y la pass si va a ser correcta.  :D
El arte de crear malware, es algo que solo pocos entienden!


Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 215
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #10 en: Julio 29, 2015, 05:58:45 pm »
You are not allowed to view links. Register or Login
uuff ! si disculpen. inconcientemente le habre puesto otra contraseña, pero bueno, Ya resubi una nueva version que saque ayer por la noche, jaja con otras corregidas.
y la pass si va a ser correcta.  :D
Gracias, bro. Echándole un vistazo por encima ya vi que lo tienes muy bien ordenado y comentado. Eso se agradece muchísimo.
En cuanto tenga un ratito me paro con calma con él.
« Última modificación: Julio 29, 2015, 06:01:51 pm por rand0m »
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado xxneeco83xx

  • *
  • Underc0der
  • Mensajes: 46
  • Actividad:
    0%
  • Reputación 0
  • ASM/C/C++/VB/Delphi
    • Ver Perfil
    • Email
  • Skype: nico.buzzi
« Respuesta #11 en: Julio 29, 2015, 08:07:40 pm »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
uuff ! si disculpen. inconcientemente le habre puesto otra contraseña, pero bueno, Ya resubi una nueva version que saque ayer por la noche, jaja con otras corregidas.
y la pass si va a ser correcta.  :D
Gracias, bro. Echándole un vistazo por encima ya vi que lo tienes muy bien ordenado y comentado. Eso se agradece muchísimo.
En cuanto tenga un ratito me paro con calma con él.

Buenisimo, me comentas a ver que tal, y quienes los hayan probado, se agradece sus opiniones y reportes.
El arte de crear malware, es algo que solo pocos entienden!


Desconectado nkmil

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #12 en: Julio 30, 2015, 12:33:44 am »
Hola! soy nuevo en el foro, conocí este foro por medio de la aplicación talkpak.. me encanta todo lo que tiene que ver con troyanos, malware los ejecuto en un ambiente controlado.. al ejecutar el troyano me sale el siguiente error...

Component 'LabelDegradado.ocx' or one pf its dependencies not correctly registered: a file is missing or invalid

Conectado Stiuvert

  • *
  • Moderador Global
  • Mensajes: 2659
  • Actividad:
    38.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #13 en: Julio 30, 2015, 05:14:11 am »
You are not allowed to view links. Register or Login
Hola! soy nuevo en el foro, conocí este foro por medio de la aplicación talkpak.. me encanta todo lo que tiene que ver con troyanos, malware los ejecuto en un ambiente controlado.. al ejecutar el troyano me sale el siguiente error...

Component 'LabelDegradado.ocx' or one pf its dependencies not correctly registered: a file is missing or invalid

Instala ronda OCX

You are not allowed to view links. Register or Login


Saludos

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 215
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #14 en: Julio 30, 2015, 05:37:01 am »
Por lo que estuve viendo, ¿no debería saltar el UAC de Windows al ejecutarlo?
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Conectado Stiuvert

  • *
  • Moderador Global
  • Mensajes: 2659
  • Actividad:
    38.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #15 en: Julio 30, 2015, 08:02:41 am »
You are not allowed to view links. Register or Login
Por lo que estuve viendo, ¿no debería saltar el UAC de Windows al ejecutarlo?


Eso es normal ya que esta pidiendo permisos de administrador, y casi cualquier software para Windows pide permisos.


Saludos

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 215
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #16 en: Julio 30, 2015, 09:14:58 am »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Por lo que estuve viendo, ¿no debería saltar el UAC de Windows al ejecutarlo?

Eso es normal ya que esta pidiendo permisos de administrador, y casi cualquier software para Windows pide permisos.
Ya, eso es indiscutible. Pero si hablamos de un troyano estaría bien intentar evadir el UAC en la medida de lo posible, ¿no?
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Conectado Stiuvert

  • *
  • Moderador Global
  • Mensajes: 2659
  • Actividad:
    38.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #17 en: Julio 30, 2015, 10:05:02 am »
Eso es cierto, además de que es muy sospechoso. Yo cuando te respondí no pensaba que fuese el Server.


Un saludo

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 215
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #18 en: Julio 30, 2015, 10:38:38 am »
You are not allowed to view links. Register or Login
Eso es cierto, además de que es muy sospechoso. Yo cuando te respondí no pensaba que fuese el Server.
No hagas mucho caso de la captura, la puse para ilustrar el UAC. En realidad no lo compilé, pero estuve viendo el código fuente y no vi ningún intento de escalar privilegios o evadir la seguridad de Windows, por lo que supuse que activaría la alerta en algún momento.
Si el sistema no está parcheado contra You are not allowed to view links. Register or Login podría intentar usarse You are not allowed to view links. Register or Login para conseguir privilegios de SYSTEM, con lo que lo demás está rodado.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado xxneeco83xx

  • *
  • Underc0der
  • Mensajes: 46
  • Actividad:
    0%
  • Reputación 0
  • ASM/C/C++/VB/Delphi
    • Ver Perfil
    • Email
  • Skype: nico.buzzi
« Respuesta #19 en: Julio 30, 2015, 01:16:57 pm »
Si eso lo tenia en cuenta, pero aun no me he puesto a trabajar en ello, vere que metodo consigo agregarle. así evadirlo.  ::)
El arte de crear malware, es algo que solo pocos entienden!


 

¿Te gustó el post? COMPARTILO!



Dendroid - Troyano para Android (Con codigo Fuente)

Iniciado por ANTRAX

Respuestas: 17
Vistas: 13947
Último mensaje Abril 22, 2015, 06:53:28 pm
por ANTRAX
Troyano java OpenSource Adsocks v1.0 beta

Iniciado por Aryenal.Bt

Respuestas: 3
Vistas: 3615
Último mensaje Mayo 06, 2012, 01:27:06 pm
por Matabarras
AndroRAT (Troyano para Android)

Iniciado por ANTRAX

Respuestas: 43
Vistas: 47585
Último mensaje Septiembre 29, 2017, 08:55:23 am
por ANTRAX
Spy Note 5.0 (Troyano Android)

Iniciado por comandosoft

Respuestas: 24
Vistas: 4892
Último mensaje Marzo 28, 2018, 02:50:56 am
por aprendis23