Todo Acerca de Troyanos

Partes de un troyano






Los troyanos est?n compuestos principalmente por dos programas: un cliente (es quien env?a las funciones que se
deben realizar en la computadora infectada) y un servidor (recibelas funciones del cliente y las realiza, estando situado en lacomputadora infectada). Tambi?n hay un archivo secundario llamadoLibrer?a (pero que no todos los
troyanos tienen de hecho los m?s peligrosos no lo tienen) que esnecesaria para el funcionamiento del troyano pero no se debe abrir,modificar ni eliminar para el optimo funcionamiento de este. Algunostroyanos tambi?n incluyen el llamado EditServer, que permite modificarel Servidor para que se adapte al ordenador de la v?ctima o seaprovisto de las funcionalidades y-o configuraciones que el crackerquiera. Sin embargo no todas las partes de un troyano antes mencionadasfinalmente se instalan en el ordenador de la v?ctima, siendo solo partedel ordenador solo servidor y cliente.
Tipo de Conexi?n en un troyano
Un troyano puede poseer una conexi?n directa, inversa o mixta sinembargo existen troyanos que trabajan fuera de l?nea y su informaci?n oreportes pueden ser enviados a un servidor complementario queadministra la informaci?n de todos los ordenadores infectados. Lostroyanos de conexi?n directa son aquellos que requieren que el clientese conecte al servidor; a diferencia de ?stos, los troyanos de conexi?ninversa son los que hacen que el servidor sea el que se conecte alcliente; las ventajas de ?ste son que traspasan la mayor?a de losfirewall y pueden ser usados en redes situadas detr?s de un router sinproblemas (debido a que en un router generalmente es necesarioconfigurar los virtualserver para poder redirigir correctamente lospaquetes e informaci?n al puerto indicado y al PC correspondiente, estees un problema com?n para un troyano ) . El motivo de por qu? ?steobtiene esas ventajas es que la mayor?a de los firewall no analizan lospaquetes que salen de la computadora infectada, pero que s? analizanlos que entran (por eso los troyanos de conexi?n directa no poseen talventaja); y se dice que traspasan redes porque no es necesario que seredirijan los puertos hacia una computadora que se encuentre en la red.
La conexi?n directa del troyano son realizadas por protocolo (tcp) y para ello el cliente siempre requerir? conocer la
direcci?n IP del servidor, lo cual es un problema en las en ordenadores con direcciones IP din?micas, por lo cual el
troyano deber? dar a conocer la IP del servidor, para ello el servidor notificara al cliente directa o indirectamente
vali?ndose de servicios secundarios.
La conexi?n inversa del troyano se realiza a trav?s del protocolo (upd) esta conexi?n tiene la particularidad, que una
vez la v?ctima se conecta a internet, el servidor troyano llama al cliente, si en ese instante el cliente del troyano se
encuentra activo y operando, autom?ticamente cliente y servidor estar?n conectados.
M?todos de Notificaci?n de IP
Para el caso de los troyanos que requieren de conexi?n directaestos se valdr?n de aplicaciones secundarias o subm?dulos u otrostroyanos para la notificaci?n de su direcci?n IP, para ello secomunicaran con un servidor destinado para ello vali?ndose deherramientas secundarias como:
Mensajer?a Instant?nea: El troyano se vale de clientes de mensajer?a instant?nea instalados tales como MSN, ICQ,
Yahoo MSN, etc. Y a Trav?s de estos Comunica la IP del ordenador infectado. (ej. troya.Optix)
IRC: En este m?todo muy particular el Troyano notifica la IP del ordenador infectado a una sala de Chat de un
servidor p?blico o privado previamente configurado y definido en el troyano. (ej. sub 7)
Smtp: Este m?todo muy sencillo consiste en una notificaci?n v?a correo electr?nico a trav?s de una comunicaci?n
directa con un servidor Smtp.
Informe Troyanos 4
Notificaciones Web: Consiste en enviar la direcci?n IP a una aplicaci?n web, se considera un m?todo muy exitoso.
Dyndns o ddns: Consiste en utilizar un servicio secundario denotificaci?n que se traduce en una IP convertida en un una direcci?n denombre asignada por un dns.
Un troyano es un problema multiplataforma, que tambi?n afecta muchas arquitecturas de sistemas diferentes. Se
han detectado troyanos en distintos sistemas operativos Windows, Linux, Mac OS X, etc. Y en arquitecturas tales
como equipos m?viles celulares, router, etc. Sin embargogeneralmente estos est?n programados en un lenguaje que no esmultiplataforma o este solo se vale de las vulnerabilidades de unsistema operativo en espec?fico. Se han
detectado troyanos multiplataforma que se valen de vulnerabilidades de maquinas virtuales como es el caso de java.

Lo Anterior es un Estracto de un Documento PDF que yo redacte,ahi se contiene toda la informacion teorica Minima para adentrarce almundo de los troyanos(Que es un troyano, como funciona, como notificaip, como se oculta, como se distribuye, etc, etc...



Adjunto Documento:

http://www.mediafire.com/?qatdyyyomwyhttp://www.mediafire.com/?qatdyyyomwy

Bueno como supongo que se leyeron el documento completo ahoraestaran en condiciones de ver lo que sigue y saver de que estoyhablando.


Camuflar Troyano en txt:

Url Autor Muy bueno Probado.

Ocultas con Iexpres:

http://foro.elhacker.net/seguridad/ocultar_troyanos_100_indetectable-t236978.0.html

//manual Iexpress


Bien, la verdad es que este proceso no tiene mucho que explicar, yaque normalmente siempre es el mismo, pero para los que no sepan usar eliexpress aqui les queda:

Luego de tener nuestro server con todo lo que le vayamos a hacer esque viene el proceso de pasarlo por el iexpress, normalmente paracomprimirlo, pero tambien sirve para blindearlo.

Esta vez voy a explicar como comprimirlo, por unos simples y rapidos pasos:

1. Inicio >>> Ejecutar >>> iexpress
2. Create new self extraction Directive file >>> Siguiente>
3. Extract files and run an installation command >>> Siguiente>
4. Ahora les sale un cuadro de texto, ahi pongan lo que quieran,algo como su nick, no se, lo que quieran xD, luego das a Siguiente>
5. No prompt >>> Siguiente>
6. Do not display a license >>> Siguiente
7. Bueno mucho ojo a esta parte, clickeamos "Add", buscamos nuestroserver y undimos abrir, ojo con equivocarse que aqui es donde se decideque paquete es el que se va a crear, cuidado con abrir otra cosa ??, esel server pasado por themida y por todo eso el que deben abrir, no elsimple que no han pasado por nada bueno?
8. Esta parte tambien es importante, una vez cumplido el paso 7,unden en las flechitas. y en cada una eligen el server que abrieron,ojo, en ambas, les tiene que quedar algo asi:



Luego pulsan Siguiente>

9. Hidden >>> Siguiente
10. No message >>> Siguiente
11. Lo primero es undir en "Browse" y eligen el destino delpaquete, o sea, el lugar donde se va a guardar, le ponen el nombre quequieran, al fin y al cabo va a ser el server comprimido xD. Una vezelegido el nombre.exe y la ubicacion dan clic a "Guardar". Luego en lamisma ventana selecionan "Hide File Extracting Progress Animation fromUser", y dan a Siguiente>
12. No restart >>> Siguiente>
13. Don't save >>> Siguiente>
14. Siguiente> y esperan mientras se crea el paquete.




Simple Camuflaje desde Sistema Video Tutorial:

http://www.youtube.com/watch?v=Ka6zC-bNKLk&feature=player_embedded




En el Informe o practico manual pdf se habla un poco acerca de loscamufladores o ocultadores de troyanos ahora les recomedare algunocultadores que funcionan a la fecha testiados por mi Domingo 18octubre 2009 en Nod32 y karpesky Actualizados:

Criptadores Ofuscadores y Similares:

ShadeHacK Crypter




Caracteristicas
-3 algoritmos de encriptacion
-Soporta EOF data
-Cambiar icono
-Mensaje falso
-Desactivacion de windows
-Mover PE entrypoint
-Realinear PE header
-Exe pump
-Cambiar llave de encriptacion

Descargar

//Ojo si No te funka en XP es porque necesitas las libreris VB y OCX


El Jodedor 5x1 posee las siguientes herramientas:
Crypter: Encripta archivos para protegerlo y dejarlos indetectables.
Joiner: Junta 2 o mas archivos en un unico archivo.
Downloader: Descarga uno o mas archivos y posteriormente los ejecuta.
EOF writter: Agrega EOF al archivo.
Packer: Comprime el archivo.

http://www.mediafire.com/?z2znzm1oqzz

Masa Crypter

-Soporta EOF, tambien lo detecta
-Realinear el PE
-Cambiear OEP

http://www.mediafire.com/?zyfzmunmzqt


Por Nombrar otros buenos:

TYV Crypter 1.0
Cactus Metamorph 0.3
Billar Crypter c2.0
Eye Crypter little edittion
FUDSOnly Online Crypter V1
Elite Protector 2.0 PRIVADO
Billar Crypter v1
Small Crypter by E0N
AR crypt private
Elite Protector - Public and Private Version
K! Cryptor mod de Topcat

Son buenos pero siempre traten de encontrar criptadores privados son mas indetectables %mejor..

Se basan en el cambo de time stamp, realiniados de cabeceras,modificacioon de eof etc. Todo ellos producen un cambio deidentificacion de un fichero pero no un cambie en el funcionamiento sondistintas tecnicas de ofuscacion, tambien existen tecnicas de insercionjoin(Unir) etc. Todas apuntas a ocultar un archivo ya sea de maneraindependiente o dentro de otro!!!.
Ojo un troyano puede ser muy antiguo pero puedes lograr ocultarlo.


Ya Ahora les Recomendare Algunos Troyanos Actuales pero no lesSubire los link porqe despues me diran me lo detecto el antivirus ylalalalal y ademas infrigire las politicas de taringa..

Estos virus probablemente sean detectables peroooooooo!!!! Ustedesdeben dejarlos indetectables !deben modificarlos con el antivirusdesactivado!!!!

?que ocurre si se les activa el troyano? Nada pos, nada nada nada.Si leyeron el manual que hice y subi habran leido que no ocurreabsolutamente nada si un troyano no es manejado.




Algunos Troyanos Recomendados:

(De keylogers)

Octopus keylogger
4n0-KeyFTP v1.4
ProHide Remote Keylogger
Ardamax Keylogger 2.8
iStealer 1.3 Privado(es Bueno intenten encontrarlo)


Claves Msn:

Arhack MSN Password stealer
Royal stealer 2.0
Odesa MSN password Stealer 3



Claves de los navegadores:

PasswordFox, IE PassView y ChromePass


Administrador Remoto:

Cerberus RAT 1.03.4 Beta (tambien captura la webcam pillines!!!)
Troyano Lost door v 4.0 Pro (Abrir webcam, fantasmear Asustar XD)
Spy-Net RAT 1.0 (funciona en vista)


Jumper trojan 3.7
Biodox v1.0 (OpenSource Edition) Para programadores Busquen el codigo de fuente y adapten! hecho en vb6
Poison Ivy


Bueno tambien les recomiendo las herramientas Killer
he usado :

AV-Firewall killer : Desactiva firewall, antivirus etc.
(Ya saven porque no los he subido)




Buenos Saludos.
Todo Acerca de Troyanos
10 Puntos Score: 10/10
Visitas: 1692 Favoritos: 3
Ver los usuarios que votaron...
2 Comentarios Todo Acerca de Troyanos
Cita fluvion: Mostrar
Te lo voy a explicar facil XD!, un troyano lo que hace es conectarse a tu PC, es decir, tu envias el troyano con tu IP, y lo que hace l troyano es conectarse a esa IP (tu maquina) asi ya la puedes controlar y demas, saludos espero haberte ayudado!  
Cita arthusu: Mostrar
Si, me ayudo a entender su funcionamiento. Gracias jefe.   A pesar de no ser due?
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!