Video: Dejando indetectable el poison ivy al nod32 con signaturezero

Introduccion:
En este video se ve como dejo un server puro del troyano poison ivy 2.3.2 indetectable al antivirus nod32 actualizado al dia.
El metodo que uso es uno de los mas faciles y rapidos, lo que realizo es buscar y encontrar la firma detectada por el antivirus con el signaturezero, reemplazando con ceros por partes el codigo hasta ayarla, una vez ayada la firma detectada exactamente, simplemente la reemplazo con ceros y el server queda indetectable al antivirus y totalmente funcional. Este metodo no requiere de edicion hexadecimal, cambios de flujo ni nada de eso, simplemente lo que se hace es borrar la firma, por lo tanto no funcionara con todos los troyanos ni con la mayoria de los encriptadores, porque romperian el archivo, si lo quieren terminar con cualquier encriptador o troyano pueden continuar leyendo el manual de Octalh (desde pag9).
Yo lo demostre con el poison ivy porque el tamaño de su server es muy pequeño y es rapido para encontrar las firmas, y utilize el nod32 porque es el antivirus que utilizo, pero un amigo lo probo con el KAV y funciona perfectamente (tienen que desactivar la inyeccion en la creacion del server para que no lo detecte la defensa proactiva de mierda)


Video:

Pasos que realize:
-Primero y principal exclui del nod32 la carpeta con la que voy a trabajar por el simple hecho de evitar que salte el cartelito diciendo que se encontro un virus cada vez que ejecuto el signaturezero, el poison ivy, los server, y demas.
-Descargue el poison ivy 2.3.2 y el signaturezero y los puse en la carpeta donde trabajare, anteriormente excluida con el nod32.
-Lo siguiente que realize fue crear el server del poison ivy 2.3.2 y lo coloque en la misma carpeta con el nombre SERVER.exe.
-Lo escanie con el nod32 y obiamente lo detectaba como troyano.
-Ejecute el siganturezero y abri el server que cree con el poison ivy (SERVER.exe)
-Rellene con ceros la parte de la derecha del server y guarde el archivo resultante con nombre "1" sin extencion.
-Abri el notepad para anotar los datos, en este caso anote 3498 que es hasta donde rellenare de ceros (no es nesesario, pero sirve para agilizar)
-Escanie el archivo "1" que guarde, con el nod32 y me aparecia que el archivo estaba infectado, lo que quiere decir que la firma que buscamos se encuentra del lado izquierdo, ya que no se relleno de ceros ese lado.
-Abri de vuelta el signaturezero, abri el server y rellene de ceros la parte izquierda del server desde 512 hasta 3498 y guarde el archivo como "2"
-Escanie el archivo "2" con el nod y me decia que el archivo estaba desinfectado, quiere decir que la firma se encuentra entre 512 y 3498.
-Despues avanze un poco hacia la izquierda, pase de 3498 a 2505, lleno de ceros guarde como "3" y analise el server: limpio, por lo tanto la firma se encuentra entre 512 y 2505.
-Seguidamente avanze hacia la derecha de 512 a 1287 lleno de ceros, guardo, analizo: server limpio, la firma se encuentra entre 1287 y 2505
-Avanzo hacia izquierda de 2505 a 2029, lleno, guardo, analizo, server limpio, la firma se encuentra entre 1287 y 2029
-Y haci sigo hasta que llego a llenar de ceros entre 1679 y 1777, guardo, analizo y me da que esta infectado, por lo tanto la firma no esta entre 1679 y 1777, por logica tiene que estar entre 1777 y 2029 y sigo el procedimiento.
-De esta manera sigo avanzando de izquierda a derecha e inversamente hasta llegar ayar la firma.
-Una vez allada la firma exacta (en mi caso esta entre 1971 y 1973), la relleno de ceros y guardo el archivo resultante con extencion .exe.

-Eso es todo ya tengo mi server del poison ivy indetectable al nod32 y pueden ver que funciona perfectamente.

Video:
Dejando indetectable el poison ivy al nod32 con signaturezero (online en flash)
Dejando indetectable el poison ivy al nod32 con signaturezero (descarga en wmv)

Descargas:
SignatureZero
Poison Ivy 2.3.2

Generador de worm en batch personalCAKE

PersonalCAKE es una version mejorada por Blu3 l0llip0p del famoso Generador de Worms 3sk0r8ut0 de hendrix.
Es ideal para infectar pcs masivamente, es totalmente indetectable y durara mucho tiempo sin que lo detecten ya que esta hecho en batch, a continuacion le detallo sus caracteristicas:

1. Propagacion por P2P
2. Mensage al iniciarse
3. Agregarse al Registro
4. Infectar archivos .rar
5. Borrar archivos
6. Manipular red LAN
7. Añadir Usuario y Pass
8. Copiarse y Ocultarse
9. Descargar archivo en la victima
10. Crear muchas carpetas en el HD de la victima
11. Apagar el PC de la victima en x segundos
12. Reiniciar el PC de la victima en x segundos
13. Incluir codigo de virus
14. Bloquear Crtl+Alt+Sup
15. Borrar AV
16. Informacion adicional
17. Salir

Usenlo con cuidado y bajo su propia responsabilidad, tengan en cuenta que se propaga muy rapidamente y por lo tanto se puede tornar incontrolable.

Descarga:
personalCAKE (rapidshare)
personalCAKE (megaupload)

Manual:
Manual del generador de Worms de Hendrix

Codigo fuente:
Source personalCAKE (desde el blog)
Source personalCAKE (descarga .txt)

SFX Compiler 2.03

El SFX compiler es el programa que uso yo para juntar varios archivos, como por ejemplo el server del bifrost con una foto, lo bueno que tiene es que es totalmente indetectable a diferencia de los binders o joiners que hay en el blog.

Descripcion

SFX Compiler es una más que válida alternativa para aquellos que busquen un programa sencillo y eficaz para realizar compilaciones de archivos autoextraíbles.

El programa permite al usuario agregar tantos ficheros como necesite en un sólo archivo ejecutable, pudiendo configurar distintas opciones referentes a éste que le dotarán tanto de funcionalidad en su tarea como de cierto nivel de personalización.

Como decíamos al principio, el manejo de SFX Compiler es en extremo sencillo: una interfaz dividida en una doble ventana nos permite agregar fácilmente archivos al ejecutable y ajustar los parámetros necesarios.

Entre estos parámetros existe la posibilidad de ejecutar un archivo concreto justo al finalizar la extracción de ficheros, mantener la estructura de carpetas original o personalizar botones y texto en los cuadros de diálogo.

Descarga:
SFX Compiler 2.03 (uptdown)

Videotutorial:
Juntar un troyano con una imagen y cambiarle el icono

Escaner de puertos by arhack V1.0

Arhack creo un escaner de puertos muy bueno para los usuarios de troyanosyvirus, permite escanear los puertos de la pc local o de alguna pc remota cualquiera, simplemente colocando su ip o su direccion web. Una de las principales ventajas que tiene es que permite elegir el rango de escaneo, y asi escanear todos los puertos, a diferencia de los escaneos online que solo escanean los puertos mas conocidos. Esto les puede servir a nuestros usuarios para comprobar que tienen bien abiertos los puertos para el uso de sus troyanos o herramientas.

Imagenes:

Recomiendo que escaneen los puertos de a series de 2000, por ejemplo de 0 a 2000, despues de 2000 a 4000 y asi, es mas seguro.

Por ejemplo Para comprobar que tienen abierto el puerto 2001 del bifrost, ejecutamos el bifrost y lo ponemos a la escucha a ese mismo puerto, seguidamente abrimos el escaner y ponemos escanear a la ip 127.0.0.1 los puertos (obiamente seleccionamos un rango entre 2001, por ejemplo de 0 a 3000), si sale el puerto 2001 quiere decir que esta abierto y el bifrost deberia funcionar correctamente en nuestro pc.


Descarga:
Escaner de puertos by arhack V1.0 (miarroba)
Escaner de puertos by arhack V1.0 (rapidshare)

Aclaro que el archivo lo analize exaustivamente con todo, porque vi que pesaba muy poco, pero les aseguro que no tiene ninguna sorpresa, por las dudas desconfien les dejo el analisis de anubis: analisis de anubis

Si quieren el codigo fuente lo pueden pedir dejando su mail en un comentario, yo me encargo de que se lo envie

Bifrost 1.2.1 en Español

Para los que no saben ingles o no les gustan tener su bifrost en ingles, b# lo tradujo a español casi completamente, esta muy bueno el trabajo, muy completo, lo realizo con un poco de ayuda de polifemo y de los colaboradores de indetectables.net
El cliente sigue estando desempaquetado por lo que pueden seguir modificandolo si quieren.

Imagenes:

Descarga:
Bifrost 1.2.1 en Español (rapidshare)
Bifrost 1.2.1 en Español (megaupload)

Tutorial Turkojan 4.0 + Metodo Indetectable

Hola! soy cr4sill y vengo a presentaros un nuevo tutorial reciente del troyano
Turkojan 4.0 + Metodo de volverlo indetectable con Themida.
El tutorial lo podeís ver en troyanosyvirus.com.ar aqui:
Tutorial Turkojan 4.0 + Metodo indetectable.

Saludos Cr4sill

Encriptadores 2008

Les dejo algunos encriptadores de prinsipios del 2008 para que dejen indetectables sus aplicaciones, hagan pruebas, los modifiquen o lo que quieran, son bastantes indetectables por ser nuevos y privados, pero no duraran mucho porque ya son publicos...

Acid burns Crypter - Private build

Un encriptador muy pequeño pero poderoso, facil de modificarlo, hace un mes era %100 indetectable, ahora lo detecta avg y otros desconocidos.

Descarga: Acid burns Crypter - Private build
Analisis en anubis


Scan Time Cryptor 0.5 private

El scan time cryptor encripta unicamente durante el escaneo, es ideal para encriptar av killers o para mandar por mail, es muy indetectable.

Descarga: Scan Time Cryptor 0.5 private
Analisis en anubis


Cryptic 2.3 mod de Polifemo

Esta es la version modificada del cryptic 2.3 publico de tughack, me deja mi botnet indetectable a todos los avs conocidos, con poison ivy, bifrost y otros conocidos no sirve, detectan la convinacion.

Descarga: Cryptic 2.3 mod de Polifemo

Gracias activespy e indetectables

ProHide Remote Keylogger + Downloader INDETECTABLE

Prohide keylogger es un nuevo keylogger indetectable con caracteristicas unicas:

+Logs de capturas totalmente innovadores:
 -Los logs se leen en html simple, son mucho mas faciles de leer que los de otros keyloggers conocidos, aqui un ejemplo.
 -Capturan todas las teclas (espacio, shift, ctrl, backspace, etc)
 -Captura los procesos donde se realizan las pusaciones (por ejemplo en el MSN ventana: MAURO conversacion)
 -Captura tiempo de inicio y fin

+Ocultacion avanzada:
 -Indetectable a todos los antivirus durante escaneo y ejecucion.
 -Posee nuevos metodos para saltearse la heruistica de los antivirus mas conocidos.
 -Se ejecuta en modo a prueba de fallos y demas

Por ahora hay dos versiones, una version demo local y otra version full privada con downloader.

ProHide Remote Keylogger demo version

Esta version del prohide keylogger es local, o sea que solo se puede usar en una computadora donde se pueda tener acceso fisico, pero se puede ocultar para evitar sospechas.
Los logs se guardan en la misma pc y permite empezar o cancelar las pulsaciones con un solo click.

Descarga:
ProHide Remote Keylogger demo version (rapidshare)
ProHide Remote Keylogger demo version (mirror miarroba)


ProHide Remote Keylogger full privado.

Esta version es remota, puede ser instalada en cualquier pc sin que sea detectado, esta a la venta por ser una version privada.

Caracteristicas:

+Indetectable
 -Por ser de venta limitada se puede asegurar indetectabilidad total de por vida para los antivirus mas conocidos

+Remoto

+Subida de los logs mediante FTP
 -Posibilidad de testearlo

+Downloader incluido
 -Permite seleccionar el tiempo de espera
 -Permite testearlo

+Posibilidad de Cambiar el icono

+Muy configurable
 -Eleccion del intervalo de cada log
 -Posibilidad de matar el keylogger
 -Matar proceso al ejecutar
 -Posibilidad de guardar la configuracion
 -Es muy facil de configurar

+Contraseña de seguridad para el usuario

Esta version esta a la venta y se vendera una cantidad limitada para evitar que sea detectado por los antivirus.

El prohide remote keylogger full privado tiene un precio de 50 USD (dolares estadounedenses). Tambien se realizan versiones de acuerdo a sus necesidades, en este caso el precio se arregla con el programador. Para compras o consultas me agregan a mi msn gbl-hack @ hotmail.com, me envian un mensaje o me contactan con el formulario de la pagina de contacto.

VENTAS CANCELADAS

RCBF V1.3.3 2008

Hace unos dias salio la version 1.3.3 de un troyano llamado RCBF, es muy parecido al bifrost en su aspecto y en caracteristicas, pero este es indetectable por ahora y tiene nuevos metodos de salteo de firewall y ocultacion.
La creacion del server se realiza fuera del cliente con un builder que viene incluido en la descarga, al parecer no funciona en pcs remotas que ya tengan un server del bifrost instalado, a menos que se le de la opcion "update" desde el bifrost si ya se tiene como victima.
Al crear el server este ya viene incluido con el keylogger y el pack de extencion, a diferencia de el bifrost que da la opcion de elejirlo o no.

Imagenes:

Cuando analize el builder y el cliente me di cuenta que escanea unas ips (60.216.0.0/16 y 199.176.0.0/16) en el puerto 445, no se para que realiza eso, les aviso antes para que no digan que posteo cosas con "regalitos" eso viene de parte del autor y no se para que servira.
Les dejo los analisis de anubis

Analisis del Cliente
Analisis del Builder

Descarga:
RCBF v1.3.3 Evaluation Edition Released (pagina oficial)
RCBF v1.3.3 Evaluation Edition Released (rapidshare subido por mi)

Pagina oficial: http://hi.baidu.com/redchilde

Lanzador fotolog.com y metroflog.com

25/8/08
LAMENTABLEMENTE NO PODRE HACER FUNCIONAR LOS LANZADORES PORQUE ME BANEAN DE TODOS LOS SERVIDORES DONDE ALOJO LOS LANZADORES, TAMBIEN PROBE CON HOSTINGS PAGO Y NO ME DEJAN, SON MILES DE EMAILS QUE SE ENVIAN POR DIA Y ME BORRAN LA CUENTA, Y LOS QUE ME FUNCIONABAN LLEGAN A LA CASILLA DE SPAM..... ASI QUE HASTA NUEVO AVISO NO HABRA LANZADORES
----------------------

A pedido del publico ya estan disponibles los lanzadores de fotolog.com y metroflog.com!!!

LANZADOR FOTOLOG.COM (reparando)...
LANZADOR METROFLOG.COM (reparando)...

Su uso es extremadamente simple, solo deben poner la direccion del flog y el correo de la victima y luego poner enviar.
Una vez que ponen enviar se le envia un mail entre los 5 y 10 minutos a la victima diciendole que debe confirmar su cuenta porque alguien a intentado entrar...

Entonces la victima hara click en el enlace que da y lo lleva a una pagina donde debe ingresar su id y password.

Al ingresar sus datos se loguea automaticamente en la pagina oficial para evitar sospechas indeseadas.

Para ver la contraseña de tus victima simplemente te vas a la direccion del lanzador fotolog o metroflog y en buscar victimas pones su flog y te saldra la contraseña.

Les dejo de vuelta los lanzadores:
LANZADOR FOTOLOG.COM (reparando)...
LANZADOR METROFLOG.COM (reparando)...

Gracias a HEBER de lagoenelcielo.com.ar por el codigo fuente.