Underc0de

Les dejo este post para que posteen todas sus dudas sobre el primer taller en el cual hablamos de troyanos.

Bueno.. Primero que todo, Esta primer Guia estuvo Exelente...! pero a la hora de hacer la practica no pude por lo siguiente  :( :(:

(http://imagengratis.org/images/bifrost.jpg)
(http://imagengratis.org/images/darkcomet.jpg)

Bno... Espero Tu respuesta y ojala una solucion rapida para empezar con las pruebillas  :P :P

GRACIAS!!!
PD: Copia el url al portapapeles... no se porque redireccionan los links a otro lado xD

no hay imagenes :S
las puedes subir a un host?
http://imagengratis.org/

si hay men!...

subraya, copia y pega en el navegador!

Las puedes subir a otro sitio? no veo nada...

ok no hay lio!

Pueden ser dos cosas:
El puerto esta siendo usado
El Firewall te bloquea la conexion

Proba con otro puerto que no sea el 81, pone el 2001
y si tienes AVs o Firewall desintalalos o instala una maquina virtual e intenta ahi

bro! El firewall esta desactivado junto con mi AV... y no anda con esos puertos...

Intente con el 2001 y almenos no me sale ese error... lo deja a la escucha pero no conecta :(

Perfecto, ahora deja el puerto que quedo a la escucha y modifica todos los datos, incluyendo el mutex, nombre de fichero y demas

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
bro! El firewall esta desactivado junto con mi AV... y no anda con esos puertos...

Intente con el 2001 y almenos no me sale ese error... lo deja a la escucha pero no conecta :(

anda a www.canyouseeme.org y dale al puerto 1604 y al 81 para ver si estan abiertos.

(http://imagengratis.org/images/perfectodj5ed.jpg)

Lindo men!! Gracias  8)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
bro! El firewall esta desactivado junto con mi AV... y no anda con esos puertos...

Intente con el 2001 y almenos no me sale ese error... lo deja a la escucha pero no conecta :(

anda a www.canyouseeme.org y dale al puerto 1604 y al 81 para ver si estan abiertos.

Men, Dice que no estan Abiertos...

No se fien de las webs esas. casi nunca aciertan.
Para cada troyano asignale un numero diferente.
Puede ser cualquier numero, 2000, 2001, 2002, etc...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No se fien de las webs esas. casi nunca aciertan.
Para cada troyano asignale un numero diferente.
Puede ser cualquier numero, 2000, 2001, 2002, etc...

Si yo mucho no me fijo ahi pero bueno. Sino podes hacerte un scan con NMAP.

EDIT: se que puede parecer medio tonta la pregunta pero igual...entraste a la configuracion del router a abrir los puertos? sino podrias abrirlos usando uTorrent.

ahh ok! Muchas Gracias... Intentare entonces con los otros troyanos...  :D

Una duda Antrax , si instalo un Windows en una máquina virtual para hacer practicas con troyanos y esas cosas me funcionará igual que si fuera otro PC?

Me refiero , tener el cliente en mi sistema base y el troyano en la máquina virtual....

Hola Cresar, puedes usar una máquina virtual sin problemas y yo te recomendaría conectarla a otra red para NO usar el trojan como local y comprobar que funciona bien la conexión de puertos.

Otra opción es usar la máquina virtual y configurar el DNS/IP del troyano con tu dirección IP local (la encontrarás en inicio - ejecutar - cmd - ipconfig).


Nota: Según he entendido es para infectar con el server la máquina, si es para usar cliente y servidor tendrías que seguir lo del taller y funcionaria sin problemas.



Saludos

Si como bien dice Stiuvert, en la virtual te funcionara lo mas bien.
Lo unico que no se puede hacer es tener el cliente en la virtual, ya que las DNS no funcionan ahi.
Pero si la infectas con el server, servira normalmente.
Recuerda que si la tienes en red con la pc normal, deberas cambiar la ip 127.0.0.1 por la ip privada.

Saludos

Cuando trato de ejecutar el  IndSocket RAT, tanto la versión v1.6 como la v1.8 me tira el siguiente error:
Run-time error '339':
Component 'MSCOMCTL.OCX' or one of its dependencias not correctly registered: a file is missing or invalid.
Alguna idea de por que puede ser esto?

Si, te falta la OCX en tu libreria.
Que windows usas?

A mi tambien me aparece ese error... Uso Windows XP sp3

Pasen por este post:
http://www.underc0de.org/foro/index.php?topic=2067.msg3224
y por este otro:
http://www.underc0de.org/foro/index.php?topic=5017.0

Si pasan por el segundo, lo instalan y listo, deberia dejar de dar errores.

Bueno... yo hago TODO, me sale todo bien etc etc... pero al infectarme a mi... o a cualquiera no me muestra nada en la consola, ya probe con varios troyanos (bifrost, poison ivi etc) el puerto me lo ccarga bien y lo tengo abierto, me hice mi no-ip lo tengo cargado y todo... no tengo ni idea que hago mal... saben porque puede ser??

En local te funciona bien?
con 127.0.0.1?

como  en local? yo me quise infectar pero en lapantalla principal donde aparece quienes estan infectados no me aparece nada )=

Si te infectas a ti misma dando la direccion Ip:127.0.0.1 en la configuración a eso se refiere

directamente no se me aparece nada... y que configuracion tengo que poner esa IP

Donde va la direccion de No-IP en vez de poner la direccion pones 127.0.0.1 para infectarte a ti mismo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pasen por este post:
http://www.underc0de.org/foro/index.php?topic=2067.msg3224
y por este otro:
http://www.underc0de.org/foro/index.php?topic=5017.0

Si pasan por el segundo, lo instalan y listo, deberia dejar de dar errores.

Muchas gracias ANTRAX! Funcionó a la perfección! :D

Una duda cree el server y  lo abri pero no paso nada solamente que use windows xp en una maquina virtual ¿será por eso? ¿o en serio debo infectar mi pc? es queria evitar eso jaja

saludos!

Como ??' xD mira karurosu si estas en una virtual, no veo el problema te debe de funcionar tranquilamente la infeccion la configuracion del server la hiciste bien revisa por si las moscas si infectaras la misma maquina debes de poner la misma direccion ip 127.0.0.1 si lo haras desde tu maquina anfitrion a la virtual depende la direccion que configures..
saludos :P

Yo tengo una duda: antrax las definiciones son tuyas tuyas verdad?

Te recomiendo que para sacar un material para ense;ar a los demas, antes aprende tu, para que
asi no confundas a los que recien empiezan, me lei varias ezines y estan pa' llorar.

No te enojes, te lo digo en buena onda, como por ejemplo:

La definicion tuya de "dns" es una alternativa de no-ip, algo asi pusiste, permiteme corregirte porque
estas totalmente equivocado, Domain name system, con el simple nombre te das una idea de lo que
es.

Es el que me acuerdo porque borre la ezine, si la seguia leyendo me daba un infarto.

Yo si fuera a sacar un material y andar presumiendolo, creo que deberia sacar algo digno de
presumir, cosa que a estas revistas les falta demasiado, igual te equivocaste en otros puntos,
y tambien le dije a mi amigo maztor muchos errores en su ezine, espero que la proxima sea
algo digno de leer :)

Y si no tienen la capacidad mejor no lo hagan, solo averguenzaran el  foro

Hey Xz1t3 tonces porque tu no haces un paper en vez de estar criticando como lo haces, enseña a realizar  una E-Zine o mejor a redactar y brindanos tus conocimientos que por lo visto sabes mucho, enseñas muy bien con tus terminos eres un guru de la informatica xD mas bien me dio ganas de llorar al ver tu respuesta  :'(

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Una duda cree el server y  lo abri pero no paso nada solamente que use windows xp en una maquina virtual ¿será por eso? ¿o en serio debo infectar mi pc? es queria evitar eso jaja

Seguramente ya has probado lo que dijo "Snifer" ya que se muestra en la revista, prueba a parte de localhost (127.0.0.1) con tu dirección IP local (la encontrarás en Inicio > ejecutar > cmd > ipconfig).

Y sobre el miedo que tienes en infectar tu propio PC no te preocupes, todos los troyanos tienen una opción para "Desinstalar" el Servidor así que tu PC quedará libre de infecciones y además si tienes un Anti-Spyware puedes hacer un Scan para comprobarlo.



Saludos

Buenoo con la ayuda de Fakapiuter pude hacer la autoinfeccion por teamviewer, y con ganas del proximo paper aver si infecto a a lguien

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo tengo una duda: antrax las definiciones son tuyas tuyas verdad?

Te recomiendo que para sacar un material para ense;ar a los demas, antes aprende tu, para que
asi no confundas a los que recien empiezan, me lei varias ezines y estan pa' llorar.

No te enojes, te lo digo en buena onda, como por ejemplo:

La definicion tuya de "dns" es una alternativa de no-ip, algo asi pusiste, permiteme corregirte porque
estas totalmente equivocado, Domain name system, con el simple nombre te das una idea de lo que
es.

Es el que me acuerdo porque borre la ezine, si la seguia leyendo me daba un infarto.

Yo si fuera a sacar un material y andar presumiendolo, creo que deberia sacar algo digno de
presumir, cosa que a estas revistas les falta demasiado, igual te equivocaste en otros puntos,
y tambien le dije a mi amigo maztor muchos errores en su ezine, espero que la proxima sea
algo digno de leer :)

Y si no tienen la capacidad mejor no lo hagan, solo averguenzaran el  foro

Xzite, Puse lo de la no-ip por que las definiciones son referidas a malwares nada mas.
Se lo que es una DNS.
Si no te gusta el foro o te caigo mal, no leas los tutos y no te pases por el foro.
Saludos

 Una pregunta, alguien más tuvo problemas con el archivo de Spy-net 2.6?.
Lo he descargado de la base de datos de underc0de y cuando lo quiero extraer me dice: error final inesperado. He intentado con el winrar y con el 7zip y me da el mismo error en ambos. Alguien sabe que puede ser?.
El nombre del archivo es:
Spy-Net_v2.6.rar

Saludos!.

Hola cipos, eso probablemente es porque tienes activado tu AntiVirus y bloquea/elimina el contenido de la descarga.



Saludos

Desactiva el antivirus

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo tengo una duda: antrax las definiciones son tuyas tuyas verdad?

Te recomiendo que para sacar un material para ense;ar a los demas, antes aprende tu, para que
asi no confundas a los que recien empiezan, me lei varias ezines y estan pa' llorar.

No te enojes, te lo digo en buena onda, como por ejemplo:

La definicion tuya de "dns" es una alternativa de no-ip, algo asi pusiste, permiteme corregirte porque
estas totalmente equivocado, Domain name system, con el simple nombre te das una idea de lo que
es.

Es el que me acuerdo porque borre la ezine, si la seguia leyendo me daba un infarto.

Yo si fuera a sacar un material y andar presumiendolo, creo que deberia sacar algo digno de
presumir, cosa que a estas revistas les falta demasiado, igual te equivocaste en otros puntos,
y tambien le dije a mi amigo maztor muchos errores en su ezine, espero que la proxima sea
algo digno de leer :)

Y si no tienen la capacidad mejor no lo hagan, solo averguenzaran el  foro

Viejo.
1.-Esto no lo veo para nada como una critica en "buena onda" ::)
2.-Si tanto sabes,y vienes jactar tus conocimientos..por qué no te veo de tutór por acá??
3.-Estas desvirtuando el foro.Esto es Dudas del Taller. (algun mod que borre el post d este troll porfa).

 Buenas, gracias por contestar, desactive el antivirus como recomendaron y lo pude instalar.
Ahora tengo un problema peor. Seguí el ejemplo del pdf y anduvo todo bien. Pero luego la máquina se me infecto y no me anda, solamente a prueba de errores. Borre los archivos que fui creando y aún así me anda mal. Se me cuelga al iniciar. Que hago?, en lo posible quisiera evitar formatearla.
Deje todo como en el ejemplo, solamente le cambie el arranque (cambie el registro realtek), el directorio y el nombre del fichero.
Borre las carpetas donde habia creado el servidor. Igual me anda mal, ahora estoy pasando un antivirus y el Spybot y vere si logro sacarlo, pero por si no funciona posteo la duda a ver si alguien me puede ayudar.
Saludos!.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas, gracias por contestar, desactive el antivirus como recomendaron y lo pude instalar.
Ahora tengo un problema peor. Seguí el ejemplo del pdf y anduvo todo bien. Pero luego la máquina se me infecto y no me anda, solamente a prueba de errores. Borre los archivos que fui creando y aún así me anda mal. Se me cuelga al iniciar. Que hago?, en lo posible quisiera evitar formatearla.
Deje todo como en el ejemplo, solamente le cambie el arranque (cambie el registro realtek), el directorio y el nombre del fichero.
Borre las carpetas donde habia creado el servidor. Igual me anda mal, ahora estoy pasando un antivirus y el Spybot y vere si logro sacarlo, pero por si no funciona posteo la duda a ver si alguien me puede ayudar.
Saludos!.

Volve a abrir el troyano y desinfectate desde ahi y listo

 Bueno, gracias por la respuesta ANTRAX, voy a intentar, lo hago desde el modo a prueba de fallos?, por que si inicio la PC de manera normal se cuelga apenas arranca y no me deja hacer nada.
Saludos!.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Bueno, gracias por la respuesta ANTRAX, voy a intentar, lo hago desde el modo a prueba de fallos?, por que si inicio la PC de manera normal se cuelga apenas arranca y no me deja hacer nada.
Saludos!.

Hacelo en modo a prueba de fallos y pasale el Malware Bytes Anti Malware.

haaa ya se por que se te cuelga!!
entra a modo normal y cuando se cuelgue haz esto:
CTRL + ALT + SUPR
en el administrador de tareas, ve a procesos y busca el explorer.exe y terminas el proceso
Luego dentro del administrador de tarea ve a ARCHIVO > Nueva tarea
y escribes: explorer.exe
y ahi volvera a arrancar

 Gracias nuevamente ANTRAX, pero no me aparece el administrador de tares cuando presiono CTRL + ALT + SUPR (se queda colgada la PC).
Lamentablemente creo que voy a tener que formatear. Ya le pase antivirus, antispyware, y borre manualmente algunos archivos que podian llegar a ser y sigue sin funcionar. De echo ahora ni siquiera aparecen los iconos cuando inicio el S.O. de forma normal.
Saludos! y gracias de todas maneras.
PD: Voy a formatear dentro de un rato, si a alguien se le ocurre algo que avise y tal vez aún no formatee la PC y me salvo de hacerlo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gracias nuevamente ANTRAX, pero no me aparece el administrador de tares cuando presiono CTRL + ALT + SUPR (se queda colgada la PC).
Lamentablemente creo que voy a tener que formatear. Ya le pase antivirus, antispyware, y borre manualmente algunos archivos que podian llegar a ser y sigue sin funcionar. De echo ahora ni siquiera aparecen los iconos cuando inicio el S.O. de forma normal.
Saludos! y gracias de todas maneras.
PD: Voy a formatear dentro de un rato, si a alguien se le ocurre algo que avise y tal vez aún no formatee la PC y me salvo de hacerlo.

Pasale un cd de recuperacion de windows. Eso te lo va a solucionar. Y le pasaste el malware bytes anti malware? No te digo un anti-spyware, te digo ESE en especial. Ponele un key, actualizalo y hacele el analisis completo. Despues pasale el CCleaner para arreglar los problemas del registro y si no funciona nada de eso pasale un CD de windows para repararlo (no se te borran los archivos ni nada).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gracias nuevamente ANTRAX, pero no me aparece el administrador de tares cuando presiono CTRL + ALT + SUPR (se queda colgada la PC).
Lamentablemente creo que voy a tener que formatear. Ya le pase antivirus, antispyware, y borre manualmente algunos archivos que podian llegar a ser y sigue sin funcionar. De echo ahora ni siquiera aparecen los iconos cuando inicio el S.O. de forma normal.
Saludos! y gracias de todas maneras.
PD: Voy a formatear dentro de un rato, si a alguien se le ocurre algo que avise y tal vez aún no formatee la PC y me salvo de hacerlo.

Qué window tienes?

  Abnormality:
Le pase el malwarebytes y luego el ccleaner. Pero la versión de prueba, ahora estoy bajando una versión full. Luego pruebo con un cd de recuperación.
Fakapiuter:
Windows XP, SP 3, 32 bits.
Saludos y gracias nuevamemete por la paciencia.

Mira ahora no ando en mi Lap si decides formatear ni modo :( jejeje seria bueno que le pases con un analizador al arranque, como el Avast o Dr Web creo que es ese que te analiza igual...  y en otra es mejor que te crees una VIRTUAL y testees..

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  Abnormality:
Le pase el malwarebytes y luego el ccleaner. Pero la versión de prueba, ahora estoy bajando una versión full. Luego pruebo con un cd de recuperación.
Fakapiuter:
Windows XP, SP 3, 32 bits.
Saludos y gracias nuevamemete por la paciencia.

Haz lo que dice Abnormality.Si no funca el antimalwares,aplica cd de recuperación fin del rollo..
Avisa en todo caso como va el asunto.

 Bien, ahí le estoy pasando el malwarebits actualizado y full y luego le voy a pasar el Ccleaner nuevamente.
Si no llega a servir, quisiera saber a que te refieres con el cd de recuperación, ahora que lo pienso no se que es. No es la consola de recuperación, no?. Si es, que comandos ejecuto?
Saludos!.
PD: No me deja hacer un analisis durante el arranque con el Avast. Pongo esa opción y no lo hace, será por que la pongo en modo a prueba de fallos?.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  Abnormality:
Le pase el malwarebytes y luego el ccleaner. Pero la versión de prueba, ahora estoy bajando una versión full. Luego pruebo con un cd de recuperación.
Fakapiuter:
Windows XP, SP 3, 32 bits.
Saludos y gracias nuevamemete por la paciencia.

Bajate primero el System Mechanic Repair antes de probar con el CD de raparacion de Windows. Si eso no te funciona dale con el CD de Windows. Eso te lo va a arreglar. Igual es muy raro lo que te paso. Hiciste algo luego de infectarte o cambiaste la configuración del troyano? Ya que muchos lo han probado en el foro (yo mismo me he infectado) y nunca me ha pasado algo por el estilo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bajate primero el System Mechanic Repair antes de probar con el CD de raparacion de Windows. Si eso no te funciona dale con el CD de Windows. Eso te lo va a arreglar. Igual es muy raro lo que te paso. Hiciste algo luego de infectarte o cambiaste la configuración del troyano? Ya que muchos lo han probado en el foro (yo mismo me he infectado) y nunca me ha pasado algo por el estilo.

Ok, lo haré. No, hice nada raro (al menos que recuerde), simplemente intente borrar el servidor y empece a tener problemas. Del ejemplo sólo cambie el nombre y la carpeta de instalación del troyano.
Pregunto nuevamente, a que se refieren con el cd de recuperación?.
Saludos!.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hey Xz1t3 tonces porque tu no haces un paper en vez de estar criticando como lo haces, enseña a realizar  una E-Zine o mejor a redactar y brindanos tus conocimientos que por lo visto sabes mucho, enseñas muy bien con tus terminos eres un guru de la informatica xD mas bien me dio ganas de llorar al ver tu respuesta  :'(

No soy un guru de la informatica :P, pero lo que se hacer lo he hecho bien ^^.

Ezines para que, para cultivar a una bola de pendejos que se creen que saben hacer las cosas.

No gracias, mejor veo y critico, si hacen ezines es porque "tienen talento", vamos a ver su gran
talento

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bajate primero el System Mechanic Repair antes de probar con el CD de raparacion de Windows. Si eso no te funciona dale con el CD de Windows. Eso te lo va a arreglar. Igual es muy raro lo que te paso. Hiciste algo luego de infectarte o cambiaste la configuración del troyano? Ya que muchos lo han probado en el foro (yo mismo me he infectado) y nunca me ha pasado algo por el estilo.

Ok, lo haré. No, hice nada raro (al menos que recuerde), simplemente intente borrar el servidor y empece a tener problemas. Del ejemplo sólo cambie el nombre y la carpeta de instalación del troyano.
Pregunto nuevamente, a que se refieren con el cd de recuperación?.
Saludos!.

El CD de recuperacion es refiere al CD comun de instalacion de windows que tiene el formato .iso Lo grabas en un CD y lo booteas al CD. Le das a Enter como para instalar windows, te buscara las versiones anteriores que tengas y ahi te dara la opcion abajo de arreglar, apreta R y comenzara la reparacion. Luego te pedira un Serial que si lo necesitas enviame un MP y te lo doy. Si no sabes de donde descargarlo al .iso tambien mandame un MP y te lo digo. Cualquier cosa segui preguntame.

EDIT: No lei lo que habias escrito de la consola de recuperacion. No eso no es. O sea te va a dar la opcion de ir a la consola de recuperacion pero no pongas eso. Pone para instalar windows.

 Bueno, muchas gracias a todos por sus consejos.
Les comento, paso algo bastante extraño. Le volví a pasar el malwarebytes y no encontro nada, luego baje el system mechanic professional y me pedía que desinstale el Avast. Lo hice, instale el mechanic, reinicie y arranco lo más bien la PC. Estoy más desorientado que antes, pero ahora al menos anda. La reinicie 2 veces y arranco perfectamente. Por ahora la voy a usar así (mientras ande), si molesta en estos días la formateo y listo, de todas maneras hace bastante que no lo hago, así que mal no le va a venir.
Saludos y gracias nuevamente.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Bueno, muchas gracias a todos por sus consejos.
Les comento, paso algo bastante extraño. Le volví a pasar el malwarebytes y no encontro nada, luego baje el system mechanic professional y me pedía que desinstale el Avast. Lo hice, instale el mechanic, reinicie y arranco lo más bien la PC. Estoy más desorientado que antes, pero ahora al menos anda. La reinicie 2 veces y arranco perfectamente. Por ahora la voy a usar así (mientras ande), si molesta en estos días la formateo y listo, de todas maneras hace bastante que no lo hago, así que mal no le va a venir.
Saludos y gracias nuevamente.

Bueno me alegra poderte haber ayudado. Yo por las dudas le haria un scan de nuevo con el Malware Bytes y el Spybot search and destroy para eliminar todo rastro del troyano. Cualquier otra cosa preguntame asi te ayudo ;)

Cuando algo sale mal, lo mejor es empezarlo otra vez desde cero!
Bajate otra vez el troyano, configuralo desde cero, cambiandole los valores de las configuraciones para que sea diferente al anterior y testea otra vez!

 Abnormality:
Si, lo voy a hacer, pero mañana, basta de renegar con eso por hoy.
ANTRAX:
No me convendría testearlo en una VM, por las dudas digo...?. Si puedo hacerlo nuevamente, quisiera saber (si no es mucha molestia) que me digas como desinstalarlo desde el troyano, como me sugeriste en un mensaje anterior, por que tal vez lo hice mal.
Yo antes elimine el fichero creado en el directorio creado y seguía andando mal, luego elimine desde el troyano el usuario creado y seguía andando mal. Creo que no comprendí a que te referías con desinstalarlo desde el troyano.
Saludos!.
PD: Si alguien lee mis mensajes no se asuste de seguir el taller, es evidente que el error fue mio. A nadie más se le infecto la PC y no pudo eliminar el troyano, sólo a mí.

Si instala una virtual o sino el deepfreeze para hacer pruebas!

O bien a todo esto puedes hacer uso, de un SandBox. y evitas freez tu maquina. o hacer uso de una virtual depende de ti pero seria mejor la VM

 Bueno, lo voy a hacer en una VM. La PC quedo andando bien, le pase varios antivirus, etc y no detectan nada. Gracias por sus consejos. Esta noche me voy a poner a practicar con el ejemplo del tutorial de ANTRAX y luego con la práctica, pero todo en una VM.
Saludos!.

 Buenas, perdón por ser tan molesto, pero quisiera no infectarme nuevamente, así que pregunto.
Lo voy a probar en una VM finalmente, tengo instalado VirtualBox así que lo haré ahí. Pero tengo algunas preguntas:
Puedo tener servidor y cliente en la VM, o el cliente debe estar en mi pc (anfitrión) y de ahi infectar la VM (huésped)?. Si es así, que dirección IP pongo para infectar, hago ipconfig en la VM y pongo esa?.
Perdón por tantas preguntas pero prefiero preguntar a volver a infectarme.
Saludos!.
PD: Probé poniendo servidor y cliente en la VM,  poniendo la dirección IP que me daba ipconfig en la VM y poniendo 127.0.0.1 y no anda.

Puedes hacerlo dando a tu VM 192.168.5.3 y tu anfitrion 192.168.5.7 ejemplo configurando como red interna en la configuracion del VB.  Y ppoens la ip infectada..  192.168.5.3  en la configuracion

Yo te recomiendo que tanto el cliente como el servidor lo tengas en la virtual, y te infectes como hiciste anteriormente

 No logro hacerlo andar en la máquina virtual. Creo el server y me sale el cartel de servidor creado correctamente (o algo así) y cuando corro el server en el cliente no me sale que se conecta el server. Dejo todo tal cual lo había echo la vez anterior (cuando infecte mi PC y no lograba borrar el troyano). Cuando lo hice en la PC (sin la máquina virtual) andaba bien. Ahora hago lo mismo y no anda. Probe con la dirección IP que me da al hacer ipconfig desde la consola y con la del localhost (127.0.0.1)... En fin, si alguien me podría orientar lo agradecería.
Saludos!.
PD:
Snifer a que te refieres con esto:
"Puedes hacerlo dando a tu VM 192.168.5.3 y tu anfitrion 192.168.5.7 ejemplo configurando como red interna en la configuracion del VB.."
Como configuro como red interna el Virtual Box?. Lo hice desde la interface de VB pero luego no tenía conección a internet desde el windows instalado ahí. Ahora la tengo configurada como conectado a NAT.

Hey alguien podria ayudarme con este pequeño error, intente instalar la VirtualBox1.5.4
en mi pc pero me sale el siguiente error:

"Fallo al crear el objeto COM de VirtualBox" "Calle RC: REGDB_E_CLASSNOTREG (0x80040154)"

??? no se que sea pienso que aun no he registrado correctamente el programa o me hacen falta algunas librerias espero su pronta respuesta de antemano muchas gracias..

P.D. que maquina virtual me recomiendan, para poder hacer mis pruebas al 100%

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hey alguien podria ayudarme con este pequeño error, intente instalar la VirtualBox1.5.4
en mi pc pero me sale el siguiente error:

"Fallo al crear el objeto COM de VirtualBox" "Calle RC: REGDB_E_CLASSNOTREG (0x80040154)"

Tienes una versión muy antigua de VirtualBox, descarga la última de la página oficial:

http://www.virtualbox.org/wiki/Downloads

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No logro hacerlo andar en la máquina virtual. Creo el server y me sale el cartel de servidor creado correctamente (o algo así) y cuando corro el server en el cliente no me sale que se conecta el server. Dejo todo tal cual lo había echo la vez anterior (cuando infecte mi PC y no lograba borrar el troyano). Cuando lo hice en la PC (sin la máquina virtual) andaba bien. Ahora hago lo mismo y no anda. Probe con la dirección IP que me da al hacer ipconfig desde la consola y con la del localhost (127.0.0.1)... En fin, si alguien me podría orientar lo agradecería.
Saludos!.
PD:
Snifer a que te refieres con esto:
"Puedes hacerlo dando a tu VM 192.168.5.3 y tu anfitrion 192.168.5.7 ejemplo configurando como red interna en la configuracion del VB.."
Como configuro como red interna el Virtual Box?. Lo hice desde la interface de VB pero luego no tenía conección a internet desde el windows instalado ahí. Ahora la tengo configurada como conectado a NAT.

Tenes el cliente y el server en la virtual? o el cliente en la pc y el server en la virtual?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Tenes el cliente y el server en la virtual? o el cliente en la pc y el server en la virtual?

Cliente y servidor en la virtual.
Si dejo el cliente en la pc y el servidor en la virtual y le pongo la dirección que me da el comando ipconfig de la virtual, como DNS en la pestaña conexión...?. Lo que quería era evitar tener cualquier archivo en la PC, pero si no hay otra forma lo hago...
Saludos!.

Pone todo en la virtual, y autoinfectate con 127.0.0.1

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pone todo en la virtual, y autoinfectate con 127.0.0.1

Es lo que hago y teniendo abierto el cliente, cuando abro el servidor nunca me aparece el cartel de online en el cliente. Ni sale el cartelito abajo a la izquierda con la risa que salia cuando la "victima" se conecta, o sea en este caso cada vez que abría el cliente ya que el server al estar en mi máquina obviamente estaba online cada vez que abría el cliente.
Cuando creo el server me dice servidor creado correctamente, no creo que sea un error de configuración del troyano.
Saludos!.

Crea otro server modificando TODA la configuracion. Incluyendo MUTEX, Directorio, fichero, etc...

Bueno sigue sin funcionarme el Virtualbox descargue la version 4 y me sale el siguiente error

Fallo al crear el objeto COM
Código Resultado:
E_FAIL (0x80004005)
Componente:
VirtualBox
Interfaz:
IVirtualBox {d2de270c-1d4b-4c9e-843f-bbb9b47269ff}

:-[

Proba con otra maquina virtual, como la Virtual PC o la VMWare

Ok Antrax gracias por tus prontas respuestas! probare con otras

Ya hice la pregunta pero no en el sitio adecuado, viendo ahora a cipos con problemas, me veo algo reflejado.

¿No se puede intentar "infectar" a la máquina virtual, desde tu propio pc? Yo lo he intentado, siguiendo algunos consejos para configurar el server, como quitar la pestaña del menu anti-debugger la del anti virtual box, configurándolo según el manual de antrax, y poniendo la ip que me sale al poner ipconfig en la máquina virtual, que es la que pone dirección IPv4 10.0........

Espero comentarios, y sino tengo dos opciones, o lo hago todo desde mi pc, que sí me ha funcionado, o lo hago todo desde la máquina virtual, que todavía no lo he probado.

Saludos

Esque estas confundiendo algo...
La virtual es una PC y tu PC es otra PC. Son dos diferentes.
Por lo tanto si estas infectando en local, jamas te conectara ya que para ello, tanto el server como el cliente deben estar en la misma PC.

Pone el cliente y el server en la virtual,  autoinfectate y conectara.

Creo que eso sí lo he entendido, de hecho acabo de probar a hacerlos con la máquina virtualbox, y he conseguido infectarme.

Lo que no se es cómo infectar desde una de ellas (por ejemplo mi PC) a la otra (por ejemplo la virtual). Por lo que me pones, puede ser que sea por lo de que me estoy infectando en local, aunque he intentado mirar la ip de la virtual.

Bueno, estas cosas me imagino que las explicarás en siguientes lecciones o prácticas.

Voy a seguir con las prácticas, que me queda intentarlo con otros troyanos.

Gracias

Infectar una máquina virtual desde otra virtual no funcionará porque tendrias que abrir puertos con la dirección IP usada en la VM.

Tal vez podría crear conflictos, sería cuextión de probarlo. Realmente te recomiendo usarlo en tu PC cuando vayas a infectar remotamente.



Saludos

Stiuvert efectivmente se puede hacer la infeccion entre virtuales yo testee con el Virtual Box haciendo la configuracion respectiva..  solo que quisiera saber con que troyano hacen el curso asi les echo una mano.. con la configuracion de las virtuales.. si desean


Saludos :P

En mi caso me refiero no a dos virtuales, sino desde mi pc a una virtual. Eso si, la virtual, la tengo también en mi pc, no se si eso crearía conflictos.

He creado la virtual para precisamente poder experimentar.

Saludos

Hola

Sigo con problemas, esta vez empezaré con el poison ivi.

Quizás el problema pueda ser que uso el windows vista, no se. Me creo un nuevo cliente, poniendo el puerto 81 y una contraseña. Después creo un nuevo server, poniendo la IP local que es 127.0.0.1,  más el mismo puerto, el 81.
En Install, iniciar con sistema, le pongo a lo de HKLM/Run nombre por ejemplo windl32, active X... aleatorio, copiar a ctfmon.exe y Dir system32.
En advanced, el mutek lo dejo así )!VoqA.I4, lo pongo persistente y que inyecte en el proceso msnmsgr.exe. Lo demás lo dejo igual.
En crear le pongo un icono, por ejemplo el de paint, y le digo de generar server.
Lo guardo como serverpoison.exe, lo ejecuto y no pasa nada, no lo detecta.

¿Qué estoy haciendo mal? ¿Es por el sistema operativo?

Espero comentarios.

Gracias

Usa el SpyNet. Segui los pasos del tutorial.
La infeccion en local es lo mas facil. Si no puedes con esto, es dificil que luego puedas infectar a alguien...

Intenta también inyectarlo en un proceso por default (si es que tiene la opción el trojan) sino en el proceso "iexplore.exe" y hazlo en tu PC.

Bueno, entonces usare el spy net, que ese no  me dio ningun problema.

Por cierto, ¿para cuando una seguna entrega o leccion?

Saludos

Los 15 de cada mes.
Por mientras practica esto, que si no lo dominas a la perfeccion la segunda entrega te costara muchisimo mas.
Es mas compleja, y con eso daremos comienzo a la infeccion remota

hola q tal estoy con el poison ivy y tengo una preguntas;
¿que hace la opcion de persistance?
¿el hklm/run name es el nombre del proceso verdad? entonces si yo lo que quiero es inyectarlo en otro proceso no me deberia ser necesario poner esto no?
¿porque si pongo cualquier otro nombre aparte de windll32 me pide extension y si pongo ese no; es un archivo ya existente en el sistema?
"El troyano deberá instalarse en la carpeta system con el
nombre de directorio "Winrun"" esto significa que lo tengo que instalar en una carpeta dentro de la del sistema con el nombre de Winrun, no?, donde configuro esto?

grax y perdonad por mi estupidez =)

Persistence: hay que activarlo para que el Servidor no se conecte al reiniciar o al cerrar el proceso.

Respecto a tu segunda pregunta, es la entrada que se agregara al registro de Windows con el cual se tendrá que iniciar con el "Inicio" de Windows al arrancar el Sistema operativo.

Tu última duda me cuesta un poco de entender, tu cuando configuras el trojan escoges la carpeta y el  nombre del archivo infectado, por ejemplo "Win32" y "Win32.exe" pues creará una carpeta llamada "Win32" con el archivo "Win32.exe" en la carpeta que tu hayas escogido (System, Temp, C:\ etc).


Saludos

vale todo entendido gracias por la respuesta :)

Bueno, aqui te voy a poner algunas dudas tontas pero como esta este post para eso pues aprovecho y seguro que a mas de uno tambien le resuelven estas dudas.
1º Creando el servidor con el spynet, en la pestaña de configuracion ,en la parte de arranque, si yo pongo una entrada de clave ya existente en el regedit, ¿la pisotea o da error?
2º Policies/explorer/run ¿que es? yo siempre lo he dejado activo.
3º Active setup ¿que es?
4º Ramdom ¿que es?
5º Mutex ¿que es?
6º ¿Que pasa si no lo dejamos persistente? ¿que si termina el proceso donde esta inyectado deja de funcionar el servidor?
7º Si lo inyecto con el navegador ¿hasta que no inicie el navegador no funciona el server?

Uff muchas preguntas pero creo que no esta bien explicado en el paper y surgiran a los demas si no se responde bien a fondo.
Gracias, continuar asi de bien

1. No, no sustituye solo que tendrás dos entradas con nombres iguales pero de diferentes aplicaciones.
2. Es una entrada en el registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run).
3. Microsoft utiliza esta clave para configurar los componentes instalados de Windows.
4. "Al azar" tiene que ver con en punto 3 es para generar una clave aleatoria mente.
5. Mutex es un objeto de programa que permite que partes de este usen el mismo recurso, como el acceso a un archivo, pero no simultaneamente. Cuando un programa se inicia, un mutex es creado con un nombre unico.Despues de esta etapa, cualquier parte del programa que necesite un recurso debe cerrar el mutex que usen otras partes mientras siga usando el recurso.
6. Es importante activar esa opción para que si se cierra el Server pueda volver a conectarse.
8. Lo puedes inyectar dónde quieras, no quiere decir que si lo inicias en una aplicación hasta que no se inicie dicha aplicación tampoco lo haría el Server así que por eso no te preocupes.

Gracias, rapidisimo en contestar y muy bien hecho

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
1. No, no sustituye solo que tendrás dos entradas con nombres iguales pero de diferentes aplicaciones.
2. Es una entrada en el registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run).
3. Microsoft utiliza esta clave para configurar los componentes instalados de Windows.
4. "Al azar" tiene que ver con en punto 3 es para generar una clave aleatoria mente.
5. Mutex es un objeto de programa que permite que partes de este usen el mismo recurso, como el acceso a un archivo, pero no simultaneamente. Cuando un programa se inicia, un mutex es creado con un nombre unico.Despues de esta etapa, cualquier parte del programa que necesite un recurso debe cerrar el mutex que usen otras partes mientras siga usando el recurso.
6. Es importante activar esa opción para que si se cierra el Server pueda volver a conectarse.
8. Lo puedes inyectar dónde quieras, no quiere decir que si lo inicias en una aplicación hasta que no se inicie dicha aplicación tampoco lo haría el Server así que por eso no te preocupes.

una cosa, si lo inyectas, por ejemplo en internet explorer, el proceso toma el nombre del programa en el que se ha inyectado no? (en este caso IEXPLORER.exe)

y luego, no se puede hacer que se conecte el server de una maquina virtual al cliente en el mismo ordenador pero fuera de la maquina virtual??

grax

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
una cosa, si lo inyectas, por ejemplo en internet explorer, el proceso toma el nombre del programa en el que se ha inyectado no? (en este caso IEXPLORER.exe)

y luego, no se puede hacer que se conecte el server de una maquina virtual al cliente en el mismo ordenador pero fuera de la maquina virtual??

El proceso no lo verás en el "Administrador de tareas" ya que se oculta, y puedes tener aplicaciones con el mismo nombre por lo tanto pueden a ver diferentes "iexplore.exe" ejecutados a la vez.

Sobre tu segunda duda, a veces se complica. Por intentarlo no pierdes nada pero lo mejor es usar tu PC real para infectar otras máquinas conectadas a la misma red. Si infectas tu misma red si funciona bien, lo digo porque crea conflictos entre puertos ya que la red no es la misma en tu máquina virtual que en tu red local.



Saludos

buf pues en la maquina virtual me aparece el proceso iexplorer sin tener abierto el internet explorer y cuando lo elimino me reaparece 0.0"

Eso es por el "Persistence" que tiene el trojan, así que no podrás desinfectarte de ese modo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Eso es por el "Persistence" que tiene el trojan, así que no podrás desinfectarte de ese modo.

Eso quise explicarles a todos que si se van a auto-infectar le sacan el process injection,persistance,etc... porque asi va a ser mas complicado desinfectarse.

Se tendría que sacar también una revista sobre Seguridad y como poder desinfectarse de un troyano.

Si me animo tal vez haga alguna revista o tutorial.



Saludos

saludos a la comunidad bueno he aqui mi tarea de troyanos un poco tarde jejeje pero la hice  ;D
(http://imagengratis.org/images/bifrostnl6tn.jpg)
(http://imagengratis.org/images/darkcometsh2vs.jpg)
me infecte dos veces  :-\
(http://imagengratis.org/images/indsocket.jpg)
vuelve y juega me infecte dos veces  :-\ pero bueno lo que paso fue que hice dos severs porque no conectaba y el problema estaba en que las contraseñas no coincidian por eso no conectaba....
(http://imagengratis.org/images/spy.jpg)
PD:me quedo grande el poison no logre que se conectara pero bueno...ahi esta
profe ANTRAX cuanto saque  :)

muy interesante el tutorial, y francamente aprendi mucho sobre los troyanos en su forma persistente, para desinfectarme lo hacia sin necesidad AV, ni de tools como el malwarebytes. Por que antes solo eliminaba el proceso con taskkill y ubicaba al .exe oculto y lo iliminaba con del y terminaba la historia de la la infeccion. Ahora con esto acabo de probarlo luego de infectarme mato y elimino el file pero luego de unos segundos nuevamente se conectaba al cliente :O

Bien ahora tamos con otros metodos de desinfeccion manual, haber si funcionan :)

En fin salud0s por el taller, espero que podamos llegar hasta programar uno de estos malwares :)

segui todos los pasos en crear el server y al ejecutarlo no me aparece nada :-\
ya lo intente con bitfrost, cibergate y el spy net y en ninguno

Desinstala el Antivirus