comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Hacer patch.exe indetectable

  • 21 Respuestas
  • 2990 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Noporfavor

  • *
  • Underc0der
  • Mensajes: 105
  • Actividad:
    0%
  • Reputación 0
  • Que el debil mate a todos, mis queridos angeles
    • Ver Perfil
« en: Octubre 04, 2016, 02:34:03 pm »
Hola,
En el NetBus 1.7 esta el patch.exe.
Aqui les dejo el analisis por los antivirus: You are not allowed to view links. Register or Login

Hay gente que lograron hacerlo indetectable por muchos antivirus. Pero como?
Camuflandolo con una imagen? Usando Crypters y Binders?

Como lo puedo hacer yo?

Gracias y saludos
« Última modificación: Octubre 04, 2016, 02:44:47 pm por Gabriela »

Desconectado Stiuvert

  • *
  • Moderator
  • *
  • Mensajes: 2667
  • Actividad:
    3.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #1 en: Octubre 04, 2016, 06:21:19 pm »
Buenas,

Camuflando el Server con una imagen o cambiando un icono no lograrás dejarlo FUD (indetectable), lo que tendrás que hacer es utilizar Crypters ya sean públicos o privados.

Si utilizas un Crypter público es posible que en unos días comience a ser detectado por lo que se recomienda aprender a moddear uno por ti mismo. En el Foro tienes mucha información al respecto.

Un saludo

Desconectado Noporfavor

  • *
  • Underc0der
  • Mensajes: 105
  • Actividad:
    0%
  • Reputación 0
  • Que el debil mate a todos, mis queridos angeles
    • Ver Perfil
« Respuesta #2 en: Octubre 05, 2016, 08:50:53 am »
Hola Stiuvert,

he probado Crypter FUD y solo lo detectan 15 antivirus el patch.exe. El problema es que al abrir el patch.exe encriptado me larga un error. El error es algo grande por eso si quieres puedes probarlo tu. Me acuerdo que el error decia en una parte: Se trato de cargar un dato con el formato incorrecto.

Gracias y saludos

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 875
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #3 en: Octubre 05, 2016, 09:51:55 am »
You are not allowed to view links. Register or Login
Hola Stiuvert,

he probado Crypter FUD y solo lo detectan 15 antivirus el patch.exe. El problema es que al abrir el patch.exe encriptado me larga un error. El error es algo grande por eso si quieres puedes probarlo tu. Me acuerdo que el error decia en una parte: Se trato de cargar un dato con el formato incorrecto.

Gracias y saludos

Si con ese crypter lo detectan 15 antivirus, entonces ya no es FUD, sería FUD en un pasado, pero ya no lo es, tendrás que seguir buscando un nuevo crypter. En cuanto al error, si pusieras el código de error que salía sería genial.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado Stiuvert

  • *
  • Moderator
  • *
  • Mensajes: 2667
  • Actividad:
    3.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #4 en: Octubre 05, 2016, 10:55:27 am »
El error puede ser debido al Crypter, si tu el patch.exe lo ejecutas y no te da errores (excepto que lo detecte tu AntiVirus) entonces es que al encriptarlo el Crypter rompe el ejecutable.

Saludos

Desconectado Noporfavor

  • *
  • Underc0der
  • Mensajes: 105
  • Actividad:
    0%
  • Reputación 0
  • Que el debil mate a todos, mis queridos angeles
    • Ver Perfil
« Respuesta #5 en: Octubre 05, 2016, 11:08:47 am »
Hola rollth, hola Stiuvert,

el error es: Excepcion no tratada. Se trato de cargar un dato con el formato incorrecto.
Y mas abajo dice informacion acerca del Jit-debugger.

Pero como dice Stiuvert, es posible que el Crypter rompa el ejecutable haciendolo inservible. Quiza un bug del Crypter.

Lo que encontre ahora es mas poderoso. Este se llama solamente Crypter. Lo probe y absolutamente ningun antivirus detecta al patch.exe. El problema es el siguiente: configuro el NetBus correctamente junto con el patch.exe encriptado pero al abrir el patch.exe encriptado ya no tengo acceso a la computadora victima.
Es mas: lo renombre con el nombre Antianti.exe y ni siquiera aparece en la lista de procesos.

Gracias y saludos
« Última modificación: Octubre 05, 2016, 11:34:26 am por Noporfavor »

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 875
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #6 en: Octubre 05, 2016, 11:42:21 am »
You are not allowed to view links. Register or Login
Hola rollth, hola Stiuvert,

el error es: Excepcion no tratada. Se trato de cargar un dato con el formato incorrecto.
Y mas abajo dice informacion acerca del Jit-debugger.

Pero como dice Stiuvert, es posible que el Crypter rompa el ejecutable haciendolo inservible. Quiza un bug del Crypter.

Lo que encontre ahora es mas poderoso. Este se llama solamente Crypter. Lo probe y absolutamente ningun antivirus detecta al patch.exe. El problema es el siguiente: configuro el NetBus correctamente junto con el patch.exe encriptado pero al abrir el patch.exe encriptado ya no tengo acceso a la computadora victima.
Es mas: lo renombre con el nombre Antianti.exe y ni siquiera aparece en la lista de procesos.

Gracias y saludos

Imagino que el malware funciona antes de encriptarlo, no?

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado Noporfavor

  • *
  • Underc0der
  • Mensajes: 105
  • Actividad:
    0%
  • Reputación 0
  • Que el debil mate a todos, mis queridos angeles
    • Ver Perfil
« Respuesta #7 en: Octubre 05, 2016, 11:45:42 am »
Hola rollth,
si. El malware funciona antes de encriptarlo. Ahora como puedo hacer para que tambien funcione despes de encriptarlo?

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 193
  • Actividad:
    1.67%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #8 en: Octubre 05, 2016, 01:21:56 pm »
Hola,
La primera regla cuando realizas modificación de malware es no usar VirusTotal, esto arruina todo el trabajo que estés realizando tratando de dejar indetectable tu malware.
Como te comentaron mas arriba, en el foro dispones de material necesario para poder modificar un malware y dejarlo completamente indetectable(bueno casi indetectable).

Aquí: You are not allowed to view links. Register or Login

Otra cosa,  NetBus es muy, muy, muy antiguo y si mal no recuerdo es de conexion directa, y el primer problema que tendrás es que, en la maquina que coloques el malware necesitara tener el puerto que especifiques este abierto para que te puedas conectar a esa maquina.

Lo mas recomendable es usar un Troyano de Conexion Inversa.
Afortunadamente el foro dispone de una colección amplia, donde puedes elegir:
You are not allowed to view links. Register or Login

Personalmente te recomendaría no usar troyanos rippeado o antiguos, ya que son fácilmente detectables en memoria(ya que los antivirus los conocen de pies a cabeza..xD).

Saludos.






Desconectado Noporfavor

  • *
  • Underc0der
  • Mensajes: 105
  • Actividad:
    0%
  • Reputación 0
  • Que el debil mate a todos, mis queridos angeles
    • Ver Perfil
« Respuesta #9 en: Octubre 05, 2016, 04:55:53 pm »
Hola fudmario,

Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente.  Y cuando lo probé no tuve que abrir los puertos.

Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.

Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?

Gracias y saludos

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 875
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #10 en: Octubre 05, 2016, 05:12:20 pm »
You are not allowed to view links. Register or Login
Hola fudmario,

Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente.  Y cuando lo probé no tuve que abrir los puertos.

Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.

Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?

Gracias y saludos

A ver, si hace falta abrir puertos, tanto en conexión directa como inversa, en conexión directa los puertos se abren en la otra máquina, en conexión inversa se abren en la tuya, no tuviste que abrir puertos porque harías las pruebas en local. En local no hace falta abrirlos.

Por otra parte después de pasarle el crypter al troyano este debería de funcionar igual, solo que indetectado, tu fallo puede ser problema del crypter.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 193
  • Actividad:
    1.67%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #11 en: Octubre 05, 2016, 05:55:23 pm »
 
You are not allowed to view links. Register or Login
Hola fudmario,

Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente.  Y cuando lo probé no tuve que abrir los puertos.

Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.

Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?

Gracias y saludos

Bueno no soy muy experto, pero te lo explicaré de forma que se pueda entender.
Todos los troyanos(tanto de conexion directa como de conexion inversa) estan formados por Un Cliente y un Servidor.
Si no tuviste que abrir los puertos al ejecutar seguramente lo probaste en loopback|localhost(prueba en dos maquinas distintas y que esten conectadas a internet y me cuentas..xD).

Para ambos tipos de conexiones(directa/inversa) es necesario abrir los puertos.
La diferencia es que:
En Conexion Inversa(***):
  • Solo debes abrir el puerto donde se Ejecuta el Servidor(Donde estan las funciones para controlar un equipo remoto, desde aqui puedes decir al Cliente que realice varias cosas,por ejemplo tu envias al Cliente una Accion(Recuperar Contraseñas guardas,...etc.)).
  • El cliente no necesita abrir los puertos y este lo colocas en la(s) maquina(s) que quieras controlar.



En Conexion Directa:
  • El servidor lo colocas en la(s) maquina(s) que quieras controlar y tambien necesitas abrir los puertos en la(s) maquina(s) que vas a controlar.
  • El Cliente(Es donde estan las funciones para controlar el equipo remoto, desde aqui puedes indicarle al servidor que realice diferentes acciones por ejemplo tu envias al Servidor una Accion(Abrir el Lector de Discos,...etc.)) y el cliente no necesitas abrir los puerto.
      
(***) En los Troyanos de Conexion Inversa, al Cliente le suelen denominar Servidor(o Server), aqui talves haya alguna confusion.
            
Y Finalmente Respecto a cuando encriptas el archivo o Cifras el Archivo, el Crypter se encarga de cifrar el malware y posteriormente se encarga de decifrarlo en memoria y depende del tipo de Crypter lo ejecuta en memoria o lo dropea en disco y lo ejecuta.

Bueno y si tienes miedo a lio de abrir puertos, siempre existen diferentes opciones, la mas sencilla usar alguna bot,... el H-Bot de Houdini es bastante sencilla y no tiene muchas funciones, pero se puede hacer varias cosas y ademas es facilmente modificable....xD


Saludos



« Última modificación: Octubre 05, 2016, 05:58:32 pm por fudmario »


Desconectado Noporfavor

  • *
  • Underc0der
  • Mensajes: 105
  • Actividad:
    0%
  • Reputación 0
  • Que el debil mate a todos, mis queridos angeles
    • Ver Perfil
« Respuesta #12 en: Octubre 06, 2016, 08:01:41 am »
Hola rollth, hola fudmario,

bien. Gracias por la explcacion. Y por hacerme ver que la prueba que yo hice solo funcionaba porque lo estaba haciendo en el local. No sabia eso.

Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: You are not allowed to view links. Register or Login

Gracias y saludos

Desconectado Stiuvert

  • *
  • Moderator
  • *
  • Mensajes: 2667
  • Actividad:
    3.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #13 en: Octubre 06, 2016, 09:51:43 am »
Hola,

Ese Bot y muchos otros los encontrarás en la base de datos de Malware de underc0de.

You are not allowed to view links. Register or Login

Saludos

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 875
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #14 en: Octubre 06, 2016, 09:58:36 am »
You are not allowed to view links. Register or Login
Hola rollth, hola fudmario,

bien. Gracias por la explcacion. Y por hacerme ver que la prueba que yo hice solo funcionaba porque lo estaba haciendo en el local. No sabia eso.

Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: You are not allowed to view links. Register or Login

Gracias y saludos

Con un troyano de conexión inversa lo harías desde tu router, si escribes ipconfig/all podrás ver la puerta de enlace predeterminada, y la contraseña, si no la has cambiado será admin admin. Abres un puerto y lo dirrecionas a tu PC, puedes ver tu ip privada con ipconfig/all

Una vez que tienes el puerto abierto, si el un pc pide conexión a tu ip pública (cualesmiip.com) por ese puerto que pusiste, el router lo conectará con tu PC. Aún así hay un problema, si configuras tu troyano y pones tu IP, en un tiempo perderás al infectado ¿Por qué? Porque la ip pública cambia con el tiempo, para esto puedes utilizar un No-IP.

Te aconsejo leerte el You are not allowed to view links. Register or Login que viene todo mucho mejor explicado de como te lo he explicado yo.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado Noporfavor

  • *
  • Underc0der
  • Mensajes: 105
  • Actividad:
    0%
  • Reputación 0
  • Que el debil mate a todos, mis queridos angeles
    • Ver Perfil
« Respuesta #15 en: Octubre 06, 2016, 01:01:30 pm »
Hola stiuvert,

si yo uso una BotNet no tengo que abrir puertos?

Hola rollth,

Gracias por el link. Pero si yo realmente llegara a abrir un puerto... me lo aceptaria el troyano en ipv6?

Gracias y saludos

PD.: Ahhh y hablando de puertos y conecciones tengo una duda.
Hay un servidor Sb0t que tiene los puertos abiertos. Ese servidor es de mexico. Pero el dueno usa VPN. La VPN larga una ip de Estados Unidos. Cuando me conecto a la sala de chat con Bot client ares Source ejemplo tengo que escribir la ip que larga la VPN y el puerto 5000(el puerto que normalmente usa Sb0t).

Si alguien intentara hackear la computadora en donde esta ese Sb0t con Metasploit en Kali Linux utilizando la ip que larga la VPN... tendria exito?

Gracias y saludos

Desconectado Stiuvert

  • *
  • Moderator
  • *
  • Mensajes: 2667
  • Actividad:
    3.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #16 en: Octubre 06, 2016, 02:47:39 pm »
Hola,

Si utilizas botnet web no es necesario abrir un puerto TCP, Pero sigue estas interesado en configurar y usar RATs te podemos ayudar.

En primer jugar lo que comenta rolo lo tienes que tener en cuenta, así que entra en noip.com y registra una cuenta y crea un hostname, después en la configuración de tu Server debes agregar tu hostname y puerto TCP que debes abrir en tu router.

Para poder abrir un puerto en router debes poner la dirección IP del router (o máscara de subred) en tu navegador web, por ejemplo 192.168.1.1), una vez puedas acceder busca NAT o alguna opción parecida donde puedas abrir un puerto TCP, puedes abrir por ejemplo 4662, y debes asignar la dirección IP con la que te conectas que para eso lo encontrarás también en IPconfig (por ejemplo 192.168.1.160).

Y ya lo tendrías todo, recuerda que en tu Server debes agregar el hostname de noip.com y el puerto TCP en router.

Lee papers sobre malwares porque está todo bien explicado y detallado.

Saludos

Desconectado Noporfavor

  • *
  • Underc0der
  • Mensajes: 105
  • Actividad:
    0%
  • Reputación 0
  • Que el debil mate a todos, mis queridos angeles
    • Ver Perfil
« Respuesta #17 en: Octubre 06, 2016, 04:41:29 pm »
Hola Stiuvert,
Como tengo ipv6 no tengo NAT. NAT solo existe en ipv4.

Desconectado Stiuvert

  • *
  • Moderator
  • *
  • Mensajes: 2667
  • Actividad:
    3.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #18 en: Octubre 06, 2016, 06:21:31 pm »
Mira bien en tu panel de administración:



Y sino postea capturas de tu panel de administración...

Saludos

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 193
  • Actividad:
    1.67%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #19 en: Octubre 07, 2016, 02:35:08 pm »
You are not allowed to view links. Register or Login
..........Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: You are not allowed to view links. Register or Login

Gracias y saludos


En realidad ese es el H-Worm, H-Bot o HoudiniBOT es un simple bot que te permite enviar comandos vbs. Desarrollado para los que sufren abrir puerto,...xD
Consta de un panel web desarrollado en el framework CodeIgniter, que se encarga de solo procesar los comandos y enviarlos a las diferentes bots, no dispone de ninguna interfaz grafica, a diferencia de otras botnets. Solo dispone de un builder(loader) o como quieras llamarlo en donde te permite generar el bot, ver los bot conectados y enviar los comandos, esta escrito en vbscript(si es detectado agarras un bloc de notas y lo modificas un poco y queda facilmente indetectable).



Ya que no lo vi en la base de datos del foro, si quieres descargarlo aqui te lo dejo : You are not allowed to view links. Register or Login


 

¿Te gustó el post? COMPARTILO!



[SOLUCIONADO] Qué se puede y no se puede hacer

Iniciado por phineas13

Respuestas: 14
Vistas: 3594
Último mensaje Diciembre 11, 2013, 10:46:33 am
por CrazyKade
[SOLUCIONADO] Como hacer un aplicacion como la de phpmyadmin en php

Iniciado por jasbsam

Respuestas: 9
Vistas: 3063
Último mensaje Noviembre 30, 2011, 03:18:40 pm
por jasbsam
Cómo uso la "/" para hacer un select en una tabla

Iniciado por tetano32

Respuestas: 3
Vistas: 792
Último mensaje Diciembre 20, 2017, 04:41:12 pm
por tetano32
Puedo hacer que mi servidor virtual le comparta Internet a otra maquina virtual?

Iniciado por amaury06

Respuestas: 2
Vistas: 1033
Último mensaje Abril 03, 2017, 01:27:48 pm
por 0d1050
[DUDA] - ¿Cómo puedo sacar el valor de una base de datos para hacer operaciones?

Iniciado por Zwikep

Respuestas: 0
Vistas: 230
Último mensaje Marzo 18, 2018, 07:52:48 am
por Zwikep