Hola,
En el NetBus 1.7 esta el patch.exe.
Aqui les dejo el analisis por los antivirus: https://www.virustotal.com/es/file/83d996081f862a5c7f0aa78babf3542c48adb1a8d50ae6ee35a6474c9e25d2a1/analysis/
Hay gente que lograron hacerlo indetectable por muchos antivirus. Pero como?
Camuflandolo con una imagen? Usando Crypters y Binders?
Como lo puedo hacer yo?
Gracias y saludos
Buenas,
Camuflando el Server con una imagen o cambiando un icono no lograrás dejarlo FUD (indetectable), lo que tendrás que hacer es utilizar Crypters ya sean públicos o privados.
Si utilizas un Crypter público es posible que en unos días comience a ser detectado por lo que se recomienda aprender a moddear uno por ti mismo. En el Foro tienes mucha información al respecto.
Un saludo
Hola Stiuvert,
he probado Crypter FUD y solo lo detectan 15 antivirus el patch.exe. El problema es que al abrir el patch.exe encriptado me larga un error. El error es algo grande por eso si quieres puedes probarlo tu. Me acuerdo que el error decia en una parte: Se trato de cargar un dato con el formato incorrecto.
Gracias y saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hola Stiuvert,
he probado Crypter FUD y solo lo detectan 15 antivirus el patch.exe. El problema es que al abrir el patch.exe encriptado me larga un error. El error es algo grande por eso si quieres puedes probarlo tu. Me acuerdo que el error decia en una parte: Se trato de cargar un dato con el formato incorrecto.
Gracias y saludos
Si con ese crypter lo detectan 15 antivirus, entonces ya no es FUD, sería FUD en un pasado, pero ya no lo es, tendrás que seguir buscando un nuevo crypter. En cuanto al error, si pusieras el código de error que salía sería genial.
El error puede ser debido al Crypter, si tu el patch.exe lo ejecutas y no te da errores (excepto que lo detecte tu AntiVirus) entonces es que al encriptarlo el Crypter rompe el ejecutable.
Saludos
Hola rollth, hola Stiuvert,
el error es: Excepcion no tratada. Se trato de cargar un dato con el formato incorrecto.
Y mas abajo dice informacion acerca del Jit-debugger.
Pero como dice Stiuvert, es posible que el Crypter rompa el ejecutable haciendolo inservible. Quiza un bug del Crypter.
Lo que encontre ahora es mas poderoso. Este se llama solamente Crypter. Lo probe y absolutamente ningun antivirus detecta al patch.exe. El problema es el siguiente: configuro el NetBus correctamente junto con el patch.exe encriptado pero al abrir el patch.exe encriptado ya no tengo acceso a la computadora victima.
Es mas: lo renombre con el nombre Antianti.exe y ni siquiera aparece en la lista de procesos.
Gracias y saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hola rollth, hola Stiuvert,
el error es: Excepcion no tratada. Se trato de cargar un dato con el formato incorrecto.
Y mas abajo dice informacion acerca del Jit-debugger.
Pero como dice Stiuvert, es posible que el Crypter rompa el ejecutable haciendolo inservible. Quiza un bug del Crypter.
Lo que encontre ahora es mas poderoso. Este se llama solamente Crypter. Lo probe y absolutamente ningun antivirus detecta al patch.exe. El problema es el siguiente: configuro el NetBus correctamente junto con el patch.exe encriptado pero al abrir el patch.exe encriptado ya no tengo acceso a la computadora victima.
Es mas: lo renombre con el nombre Antianti.exe y ni siquiera aparece en la lista de procesos.
Gracias y saludos
Imagino que el malware funciona antes de encriptarlo, no?
Hola rollth,
si. El malware funciona antes de encriptarlo. Ahora como puedo hacer para que tambien funcione despes de encriptarlo?
Hola,
La primera regla cuando realizas modificación de malware es no usar VirusTotal, esto arruina todo el trabajo que estés realizando tratando de dejar indetectable tu malware.
Como te comentaron mas arriba, en el foro dispones de material necesario para poder modificar un malware y dejarlo completamente indetectable(bueno casi indetectable).
Aquí: Análisis y desarrollo de malwares (https://underc0de.org/foro/malware/)
Otra cosa, NetBus es muy, muy, muy antiguo y si mal no recuerdo es de conexion directa, y el primer problema que tendrás es que, en la maquina que coloques el malware necesitara tener el puerto que especifiques este abierto para que te puedas conectar a esa maquina.
Lo mas recomendable es usar un Troyano de Conexion Inversa.
Afortunadamente el foro dispone de una colección amplia, donde puedes elegir:
MALWARE DATE BASE (https://malwares.underc0de.org/index.php)
Personalmente te recomendaría no usar troyanos rippeado o antiguos, ya que son fácilmente detectables en memoria(ya que los antivirus los conocen de pies a cabeza..xD).
Saludos.
Hola fudmario,
Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente. Y cuando lo probé no tuve que abrir los puertos.
Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.
Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?
Gracias y saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hola fudmario,
Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente. Y cuando lo probé no tuve que abrir los puertos.
Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.
Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?
Gracias y saludos
A ver, si hace falta abrir puertos, tanto en conexión directa como inversa, en conexión directa los puertos se abren en la otra máquina, en conexión inversa se abren en la tuya, no tuviste que abrir puertos porque harías las pruebas en local. En local no hace falta abrirlos.
Por otra parte después de pasarle el crypter al troyano este debería de funcionar igual, solo que indetectado, tu fallo puede ser problema del crypter.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hola fudmario,
Si bien NetBus es muy antiguo a mi me sirvió. Pero creo que no es de conexión directa ya que tiene un servidor y un cliente. Y cuando lo probé no tuve que abrir los puertos.
Con respecto a los troyanos de conexión inversa...
Hay que abrir puertos? De ser así no me sirviria porque tengo ipv6. Y si bien también se puedo abrir puertos en ipv6 no creo que el troyano lo soporte. Yo navego con ipv6 e ipv6 pero mi servicio de Internet solo admite abrir puertos en ipv6 aparte de no tener NAT.
Finalmente tendría una última duda: si yo en encripto un troyano... de que me sirve si la víctima no lo puede abrir por estar encriptado? O hay una cosa que no entendí?
Gracias y saludos
Bueno no soy muy experto, pero te lo explicaré de forma que se pueda entender.
Todos los troyanos(tanto de conexion directa como de conexion inversa) estan formados por Un Cliente y un Servidor.
Si no tuviste que abrir los puertos al ejecutar seguramente lo probaste en loopback|localhost(prueba en dos maquinas distintas y que esten conectadas a internet y me cuentas..xD).
Para ambos tipos de conexiones(directa/inversa) es necesario abrir los puertos.
La diferencia es que:
En Conexion Inversa(***):
- Solo debes abrir el puerto donde se Ejecuta el Servidor(Donde estan las funciones para controlar un equipo remoto, desde aqui puedes decir al Cliente que realice varias cosas,por ejemplo tu envias al Cliente una Accion(Recuperar Contraseñas guardas,...etc.)).
- El cliente no necesita abrir los puertos y este lo colocas en la(s) maquina(s) que quieras controlar.
En Conexion Directa:
- El servidor lo colocas en la(s) maquina(s) que quieras controlar y tambien necesitas abrir los puertos en la(s) maquina(s) que vas a controlar.
- El Cliente(Es donde estan las funciones para controlar el equipo remoto, desde aqui puedes indicarle al servidor que realice diferentes acciones por ejemplo tu envias al Servidor una Accion(Abrir el Lector de Discos,...etc.)) y el cliente no necesitas abrir los puerto.
(***) En los Troyanos de Conexion Inversa, al Cliente le suelen denominar Servidor(o Server), aqui talves haya alguna confusion.
Y Finalmente Respecto a cuando encriptas el archivo o Cifras el Archivo, el Crypter se encarga de cifrar el malware y posteriormente se encarga de decifrarlo en memoria y depende del tipo de Crypter lo ejecuta en memoria o lo dropea en disco y lo ejecuta.
Bueno y si tienes miedo a lio de abrir puertos, siempre existen diferentes opciones, la mas sencilla usar alguna bot,... el H-Bot de Houdini es bastante sencilla y no tiene muchas funciones, pero se puede hacer varias cosas y ademas es facilmente modificable....xD
Saludos
Hola rollth, hola fudmario,
bien. Gracias por la explcacion. Y por hacerme ver que la prueba que yo hice solo funcionaba porque lo estaba haciendo en el local. No sabia eso.
Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: http://www.hackplayers.com/2014/02/h-worm-de-houdini-un-rat-con-un-server-en-vbs.html
Gracias y saludos
Hola,
Ese Bot y muchos otros los encontrarás en la base de datos de Malware de underc0de.
https://malwares.underc0de.org/?dir=Botnets%2F
Saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Hola rollth, hola fudmario,
bien. Gracias por la explcacion. Y por hacerme ver que la prueba que yo hice solo funcionaba porque lo estaba haciendo en el local. No sabia eso.
Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: http://www.hackplayers.com/2014/02/h-worm-de-houdini-un-rat-con-un-server-en-vbs.html
Gracias y saludos
Con un troyano de conexión inversa lo harías desde tu router, si escribes ipconfig/all podrás ver la puerta de enlace predeterminada, y la contraseña, si no la has cambiado será admin admin. Abres un puerto y lo dirrecionas a tu PC, puedes ver tu ip privada con ipconfig/all
Una vez que tienes el puerto abierto, si el un pc pide conexión a tu ip pública (cualesmiip.com) por ese puerto que pusiste, el router lo conectará con tu PC. Aún así hay un problema, si configuras tu troyano y pones tu IP, en un tiempo perderás al infectado ¿Por qué? Porque la ip pública cambia con el tiempo, para esto puedes utilizar un No-IP.
Te aconsejo leerte el malware magazine de underc0de (https://underc0de.org/talleres/Malware_Magazine_1.pdf) que viene todo mucho mejor explicado de como te lo he explicado yo.
Hola stiuvert,
si yo uso una BotNet no tengo que abrir puertos?
Hola rollth,
Gracias por el link. Pero si yo realmente llegara a abrir un puerto... me lo aceptaria el troyano en ipv6?
Gracias y saludos
PD.: Ahhh y hablando de puertos y conecciones tengo una duda.
Hay un servidor Sb0t que tiene los puertos abiertos. Ese servidor es de mexico. Pero el dueno usa VPN. La VPN larga una ip de Estados Unidos. Cuando me conecto a la sala de chat con Bot client ares Source ejemplo tengo que escribir la ip que larga la VPN y el puerto 5000(el puerto que normalmente usa Sb0t).
Si alguien intentara hackear la computadora en donde esta ese Sb0t con Metasploit en Kali Linux utilizando la ip que larga la VPN... tendria exito?
Gracias y saludos
Hola,
Si utilizas botnet web no es necesario abrir un puerto TCP, Pero sigue estas interesado en configurar y usar RATs te podemos ayudar.
En primer jugar lo que comenta rolo lo tienes que tener en cuenta, así que entra en noip.com y registra una cuenta y crea un hostname, después en la configuración de tu Server debes agregar tu hostname y puerto TCP que debes abrir en tu router.
Para poder abrir un puerto en router debes poner la dirección IP del router (o máscara de subred) en tu navegador web, por ejemplo 192.168.1.1), una vez puedas acceder busca NAT o alguna opción parecida donde puedas abrir un puerto TCP, puedes abrir por ejemplo 4662, y debes asignar la dirección IP con la que te conectas que para eso lo encontrarás también en IPconfig (por ejemplo 192.168.1.160).
Y ya lo tendrías todo, recuerda que en tu Server debes agregar el hostname de noip.com y el puerto TCP en router.
Lee papers sobre malwares porque está todo bien explicado y detallado.
Saludos
Hola Stiuvert,
Como tengo ipv6 no tengo NAT. NAT solo existe en ipv4.
Mira bien en tu panel de administración:
(http://www.mundoprogramacion.com/sistema/VPN/server_13_Puertos_NAT_router.png)
Y sino postea capturas de tu panel de administración...
Saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
..........Como no puedo abrir puertos, fudmario me aconsejo usar un bot. Pero de donde puedo descargar el H-Bot de Houdini? Y que es lo que hace?
Lo unico que encontre en internet fue esto: http://www.hackplayers.com/2014/02/h-worm-de-houdini-un-rat-con-un-server-en-vbs.html
Gracias y saludos
En realidad ese es el H-Worm, H-Bot o HoudiniBOT es un simple bot que te permite enviar comandos vbs. Desarrollado para los que sufren abrir puerto,...xD
Consta de un panel web desarrollado en el framework CodeIgniter, que se encarga de solo procesar los comandos y enviarlos a las diferentes bots, no dispone de ninguna interfaz grafica, a diferencia de otras botnets. Solo dispone de un builder(loader) o como quieras llamarlo en donde te permite generar el bot, ver los bot conectados y enviar los comandos, esta escrito en vbscript(si es detectado agarras un bloc de notas y lo modificas un poco y queda facilmente indetectable).
(http://i.imgur.com/gj5KMRG.png)
Ya que no lo vi en la base de datos del foro, si quieres descargarlo aqui te lo dejo : HoudiniBOT.rar (https://www.sendspace.com/file/bq4c8o)
Hola Stiuvert,
en serio. Mi servicio de internet me ofrece ipv6. Por lo tanto no tengo NAT
(http://i.imgur.com/odX6oWh.png)
Hola fudmario,
al tratar de abrir el H-Bot me dice que la version del dato no es mas compatible con la version de windows que tengo.
Gracias y saludos
Si no estoy equivocado en la pestaña "Port trigger" podrás abrir los puertos.
Saludos