Troyano Cobrax 1.0 [Actualizado 14/08/15]

xxneeco83xx · Julio 27, 2015, 10:31:02 PM

Hola ! aqui una nueva actualizacion del programa.
Como había comentado ya antes en el ultimo post estaba trabajando en lo que es el FileManager v2.
Y aproveche para armar otros proyectos de por medio y trabajar de a ratos en el troyano.
Aquí las updates del dia.

NOTA :
NO SUBIR A No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

ACTUALIZADO 14/08/2015 :

*FileManager Actualizado
+Se agrego menú contextual con las opciones disponibles
+Crear carpeta
+Borrar
+Descargar
+Actualizar
+Subir
**Ahora el FileManager incorporo los directorios fijos [Escritorio], [Archivos de Programa], [Temporales], etc.
*Se corrigió el botón Atrás.
*Se corrigió el error que hacia perder el directorio de los archivos luego de presionar Atrás.
*Al enviar archivos y descargar los mismos por medio de FileManager, la barra de progreso informara el estado de descarga/subida.

*Se corrigió un error en Windows x64. ahora es compatible.
*Se agrego un intervalo para el envió de datos extensos, así evitando la perdida de los mismos.
*Envió de teclas actualizado [Ahora permite el envió de teclas especiales de esta manera]
+ {ENTER}, {ESC}, {ALT}
+ Mensajes completos a ser enviados.

*Se agrego método de encryptacion propio, para las cadenas de texto y registros de lectura.
*Se corrigió el método de borrar archivos a la hora de eliminar carpetas

*En cliente se modifico el skin
*Se corrigieron algunos errores de programación

ACTUALIZADO 04/08/2015 :

*Se incorporo un nuevo comando (Revisar ventanas abiertas)
*Se agrego en el administrador de tareas remoto, la ruta del proceso activo (ejecutado)

ACTUALIZADO 03/08/2015:

*En cliente - se quito la transparencia de los formularios
*Se corrigió un error que hacia que el servidor crasheara repentinamente.
(ahora es estable en todos los sistemas)
*Se agrego auto-size (se ajusta a todas las resoluciones de pantalla) y los formularios
ahora son resizables, minimizables y maximizables.
*Se corrigió un error que no permitía ejecutar en Windows XP (Servidor)
*Se corrigió un error de ScreenShot perdía demasiadas imágenes (Cliente)
*Se corrigió un bug en el script batch que mantenía ejecutado el programa
(ahora no ejecuta tantas veces el proceso cmd.exe & conhost.exe)
si el script es cerrado, cerrara todo y se volverá a auto-ejecutar.
*En el keylogger offline, en algunos SO daba error al insertar el HOOK.
(Se corrigió, y ahora funciona correctamente, sin problemas)
*Servidor (Se quito código basura, y se reestructuraron algunas partes de código)
*Se cambio la imagen de splash de inicio & saber más!
*Se cambio la imagen de sonido de ambiente que suena cuando se presiona datos de autor. (Saber Más!)
*Se cambio el lugar donde se escribe el registro de inicio.
*Se acortaron algunos intervalos de espera para la reconexion.
*Testeado en Ordenadores con los siguientes antivirus instalados
(Windows XP - Avast 4. - ( Windows Seven Ultimate - Avast 5)
(Windows 8.1 - Bitdefender ) - ( Windows 10 - ESET 8 )
(Windows 8 - AVG )
Ningun antivirus detecto ninguna heuristica, ni nada sospechoso.
Peso del servidor con UPX - 55KB, peso del servidor sin UPX 172KB.

ACTUALIZADO 01/08/15:
*Se redujo el tamaño del stub ( server ) ( 50kbs aprox )
*Se quito el icono predeterminado
*Se mejoro el rendimiento y velocidad
*Se corrigió el problema de muchas ejecuciones del mismo servidor
*Se cambio el método de obtener las teclas presionadas, ahora se utiliza HOOKS en el teclado y ya no mas el API GetAsyncKeyState que consumía demaciados recursos
y hacia que fuera mucho mas sospechoso
*Se corrigió un error que hacia cerrar el servidor ni bien era ejecutado en algunos casos.
*Des-habilita el UAC sin notificación.
*En el cliente se cambio el Skin y la música de ambiente, en el botón Saber mas!
*Se comentaron mas lineas de código y algunas funciones fueron re-programadas.

ACTUALIZADO 29/07/15:
*Se corrigió el PASS del RAR para que puedan descomprimirlo
*Se corrigió bug en el FileManager, a la hora de descargar un archivo desde el remoto este daba un nombre indebido.
*Se corrigió un bug's en la captura de pantalla cuando este cliente recibía demasiadas, ahora corre sin problemas.
*Se añadió un modulo que hace que si el servidor se cierra, o lo cierran, desconecta y demás, este sera de nuevo ejecutado.
*Se simplificaron varias lineas de código.

ACTUALIZADO 28/07/15:
*Se corrigió el error de auto-inicio (este no iniciaba correctamente)
*Se agrego función de subir archivos a rutas determinadas en el FileManager
*Se modificaron varios formularios, y se mejoro la accesibilidad para el usuario.
*Se corrigieron mensajes mal impresos.

Algunas funciones :

*Keylogger offline & Online
*Monitoreo de la victima, WebCam & Escritorio remoto.
*FileManager (Manejo de archivos remotos)
*Envio de archivos, y recibir archivos remotos.
*Downloader
*Spread USB|P2P
*Payloads (Diversion del usuario con la victima)
*Escuchar microfono remoto
*Envio de mensajes
*Manejo de servicios
*Desactivar Firewall
*Conexiones multiples
*Soporta UPX compresion.
*Es bastante estable
*Consta con muchas opciones mas.

En que sistema funciona ?
Multi SO - XP/Vista/Seven/8/10

Analize el servidor en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. aqui los resultados.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Scanner   Engine Ver   Sig Ver   Sig Date   Scan result   Time

ahnlab   9.9.9   9.9.9   2013-05-28   Found nothing
antivir   1.9.2.0   1.9.159.0   7.11.250.172   Found nothing
antiy   AVL SDK 3.0   2014112615531100   2014-11-26   Found nothing
arcavir   1.0   2011   2014-05-30   Found nothing
asquared   9.0.0.4157   9.0.0.4157   2014-07-30   Found nothing
avast   150727-1   4.7.4   2015-07-27   Found nothing
avg   2109/8526   10.0.1405   2015-01-30   Found nothing
baidu   2.0.1.0   4.1.3.52192   2.0.1.0   Trojan.Backdoor.Heur.gen
baidusd   1.0   1.0   2014-04-02   Found nothing
bitdefender   7.58879   7.90123   2015-01-16   Found nothing
clamav   20725   0.97.5   2015-07-26   PUA.Win32.Packer.UpxProtector
comodo   15023   5.1   2014-11-24   Found nothing
ctch   4.6.5   5.3.14   2013-12-01   Found nothing
drweb   5.0.2.3300   5.0.1.1   2015-07-21   Found nothing
fortinet   26.983   5.1.158   2015-07-27   Found nothing
fprot   4.6.2.117   6.5.1.5418   2015-07-27   W32/Felix:VC_program!Eldorado
fsecure   2014-04-02-01   9.13   2014-04-02   Found nothing
gdata   24.3819   24.3819   2014-08-29   Found nothing
hauri   2.73   2.73   2014-06-13   Found nothing
ikarus   1.06.01   V1.32.31.0   2015-07-27   Found nothing
jiangmin   16.0.100   1.0.0.0   2014-07-28   Found nothing
kaspersky   5.5.33   5.5.33   2014-04-01   Found nothing
kingsoft   2.1   2.1   2013-09-22   Found nothing
mcafee   7638   5400.1158   2014-11-30   Found nothing
nod32   1777   3.0.21   2015-06-12   Found nothing
panda   9.05.01   9.05.01   2014-06-15   Found nothing
pcc   11.816.07   9.500-1005   2015-07-27   Found nothing
qh360   1.0.1   1.0.1   1.0.1   Found nothing
qqphone   1.0.0.0   1.0.0.0   2015-07-28   Found nothing
quickheal   14.00   14.00   2014-06-14   Found nothing
rising   25.17.00.04   25.17.00.04   2014-06-02   Found nothing
sophos   5.08   3.55.0   2014-12-01   Found nothing
sunbelt   3.9.2589.2   3.9.2589.2   2014-06-13   Found nothing
symantec   20150721.001   1.3.0.24   2015-07-21   Found nothing
tachyon   9.9.9   9.9.9   2013-12-27   Found nothing   3
thehacker   6.8.0.5   6.8.0.5   2014-06-12   Posible_Worm32
tws   17.47.17308   1.0.2.2108   2014-06-16   Found nothing
vba   3.12.26.4   3.12.26.4   2015-07-27   Found nothing
virusbuster   15.0.985.0   5.5.2.13   2014-12-05   Found nothing

El servidor esta programado en C++, y el cliente en Visual Basic 6.0
Al que le interese el código, simplemente que me mande un MP.

Aqui sin mas les dejo el programa, cualquier duda, reporte de bug, comentario u opinión son bien recibidos, mientras mas grande sea el apoyo, mas incita a continuar el programa, muchas gracias!!

TROYANO JUNTO CON SU CODIGO + Plus - Una vacuna en caso de infección y su codigo.

Nuevo Link 14/08/2015

Link de la carpeta del proyecto

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Link directo del rar con codigo y binarios
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

PASS : xxneeco83xx

*TRABAJANDO ACTUALMENTE EN : Nuevas funciones

Yavi · Julio 28, 2015, 01:03:31 AM

Muy interesante, lastima que no manejo el C++

Vaya, soy el primer comentario. Bueno, por ahora me mantengo en otros lenguajes,

rochesto · Julio 28, 2015, 07:40:17 AM

Estoy aprendiendo c++, lo utilizare para aprender un poco, y ver como funcionan de paso los troyanos a nivel interno. Gracias por el aporte

Enviado desde mi Note 3 mediante Tapatalk

xxneeco83xx · Julio 28, 2015, 01:32:10 PM

En un rato, subire un link nuevo, con un bug corregido, de autoarranque. (este no funcionaba como debia ser), y adjuntare el codigo source, para que puedan analizarlo y estudiarlo.

RisingMage · Julio 28, 2015, 02:59:32 PM

Muy buen trabajo, un saludo.

xxneeco83xx · Julio 28, 2015, 03:55:17 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy buen trabajo, un saludo.

Muchas gracias !

, estaré actualizándolo.

blackdrake · Julio 29, 2015, 09:34:10 AM

Que gran aporte la verdad, es una lástima que no maneje demasiado C++, pero si necesitas algún día alguien que testee cuenta conmigo

Saludos.

rand0m · Julio 29, 2015, 10:46:26 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
PASS : xxneeco83xx

¿Seguro? Quería echarle un vistazo al código fuente pero tengo problemas para descomprimirlo con xxneeco83xx, XXNEECO83XX, xxNEECO83xx, XXneeco83XX, a pedírselo por favor, a escupir a la pantalla... Y nada, sigo sin acertar.
¿Le habrás puesto tu "contraseña habitual" inconscientemente al volver a comprimirlo? A menudo yo meto la pata y cifro con una contraseña distinta a la que quería poner, por eso de tener tantas contraseñas en la cabeza.
¿O es que algo no va bien en mi equipo?

Si alguien pudiera confirmarme que se descomprime correctamente lo agradecería mucho. Igual que el código fuente, que es digno de agradecer.

blackdrake · Julio 29, 2015, 11:52:56 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
PASS : xxneeco83xx
¿Seguro? Quería echarle un vistazo al código fuente pero tengo problemas para descomprimirlo con xxneeco83xx, XXNEECO83XX, xxNEECO83xx, XXneeco83XX, a pedírselo por favor, a escupir a la pantalla... Y nada, sigo sin acertar.
¿Le habrás puesto tu "contraseña habitual" inconscientemente al volver a comprimirlo? A menudo yo meto la pata y cifro con una contraseña distinta a la que quería poner, por eso de tener tantas contraseñas en la cabeza.
¿O es que algo no va bien en mi equipo?
Si alguien pudiera confirmarme que se descomprime correctamente lo agradecería mucho. Igual que el código fuente, que es digno de agradecer.

En efecto, contraseña incorrecta.

Un saludo.

xxneeco83xx · Julio 29, 2015, 01:21:14 PM

uuff ! si disculpen. inconcientemente le habre puesto otra contraseña, pero bueno, Ya resubi una nueva version que saque ayer por la noche, jaja con otras corregidas.
y la pass si va a ser correcta.

rand0m · Julio 29, 2015, 05:58:45 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
uuff ! si disculpen. inconcientemente le habre puesto otra contraseña, pero bueno, Ya resubi una nueva version que saque ayer por la noche, jaja con otras corregidas.
y la pass si va a ser correcta.

Gracias, bro. Echándole un vistazo por encima ya vi que lo tienes muy bien ordenado y comentado. Eso se agradece muchísimo.
En cuanto tenga un ratito me paro con calma con él.

xxneeco83xx · Julio 29, 2015, 08:07:40 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
uuff ! si disculpen. inconcientemente le habre puesto otra contraseña, pero bueno, Ya resubi una nueva version que saque ayer por la noche, jaja con otras corregidas.
y la pass si va a ser correcta.
Gracias, bro. Echándole un vistazo por encima ya vi que lo tienes muy bien ordenado y comentado. Eso se agradece muchísimo.
En cuanto tenga un ratito me paro con calma con él.

Buenisimo, me comentas a ver que tal, y quienes los hayan probado, se agradece sus opiniones y reportes.

nkmil · Julio 30, 2015, 12:33:44 AM

Hola! soy nuevo en el foro, conocí este foro por medio de la aplicación talkpak.. me encanta todo lo que tiene que ver con troyanos, malware los ejecuto en un ambiente controlado.. al ejecutar el troyano me sale el siguiente error...

Component 'LabelDegradado.ocx' or one pf its dependencies not correctly registered: a file is missing or invalid

Stiuvert · Julio 30, 2015, 05:14:11 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola! soy nuevo en el foro, conocí este foro por medio de la aplicación talkpak.. me encanta todo lo que tiene que ver con troyanos, malware los ejecuto en un ambiente controlado.. al ejecutar el troyano me sale el siguiente error...

Component 'LabelDegradado.ocx' or one pf its dependencies not correctly registered: a file is missing or invalid

Instala ronda OCX

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos

rand0m · Julio 30, 2015, 05:37:01 AM

Por lo que estuve viendo, ¿no debería saltar el UAC de Windows al ejecutarlo?

Stiuvert · Julio 30, 2015, 08:02:41 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Por lo que estuve viendo, ¿no debería saltar el UAC de Windows al ejecutarlo?

Eso es normal ya que esta pidiendo permisos de administrador, y casi cualquier software para Windows pide permisos.

Saludos

rand0m · Julio 30, 2015, 09:14:58 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Por lo que estuve viendo, ¿no debería saltar el UAC de Windows al ejecutarlo?

Eso es normal ya que esta pidiendo permisos de administrador, y casi cualquier software para Windows pide permisos.

Ya, eso es indiscutible. Pero si hablamos de un troyano estaría bien intentar evadir el UAC en la medida de lo posible, ¿no?

Stiuvert · Julio 30, 2015, 10:05:02 AM

Eso es cierto, además de que es muy sospechoso. Yo cuando te respondí no pensaba que fuese el Server.

Un saludo

rand0m · Julio 30, 2015, 10:38:38 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Eso es cierto, además de que es muy sospechoso. Yo cuando te respondí no pensaba que fuese el Server.

No hagas mucho caso de la captura, la puse para ilustrar el UAC. En realidad no lo compilé, pero estuve viendo el código fuente y no vi ningún intento de escalar privilegios o evadir la seguridad de Windows, por lo que supuse que activaría la alerta en algún momento.
Si el sistema no está parcheado contra No tienes permitido ver los links. Registrarse o Entrar a mi cuenta podría intentar usarse No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para conseguir privilegios de SYSTEM, con lo que lo demás está rodado.

xxneeco83xx · Julio 30, 2015, 01:16:57 PM

Si eso lo tenia en cuenta, pero aun no me he puesto a trabajar en ello, vere que metodo consigo agregarle. así evadirlo.

Troyano Cobrax 1.0 [Actualizado 14/08/15]

Julio 27, 2015, 10:31:02 PM Ultima modificación: Agosto 14, 2015, 05:31:14 PM por xxneeco83xx

Julio 28, 2015, 01:03:31 AM #1

Julio 28, 2015, 07:40:17 AM #2

Julio 28, 2015, 01:32:10 PM #3

Julio 28, 2015, 02:59:32 PM #4

Julio 28, 2015, 03:55:17 PM #5

Julio 29, 2015, 09:34:10 AM #6

Julio 29, 2015, 10:46:26 AM #7

Julio 29, 2015, 11:52:56 AM #8

Julio 29, 2015, 01:21:14 PM #9

Julio 29, 2015, 05:58:45 PM #10 Ultima modificación: Julio 29, 2015, 06:01:51 PM por rand0m

Julio 29, 2015, 08:07:40 PM #11

Julio 30, 2015, 12:33:44 AM #12

Julio 30, 2015, 05:14:11 AM #13

Julio 30, 2015, 05:37:01 AM #14

Julio 30, 2015, 08:02:41 AM #15

Julio 30, 2015, 09:14:58 AM #16

Julio 30, 2015, 10:05:02 AM #17

Julio 30, 2015, 10:38:38 AM #18

Julio 30, 2015, 01:16:57 PM #19