Guida sempllice per rendere un troyan U.D.

[Trickmaster]

Ehi kerberos sono sulla buona strada per trovare il crypter ma non garantisco nulla...ho anche provato (cn il server di pison ivy però) una scansione su Vtotal ebbene da solo il server bypassa symantec, McAfee e molti altri...il risultato sebbene scarso (tipo 21) è un buon inizio, sto parlando della versiona privata 2.14...
Cmq secondo non è del tutto da buttare AR crypter...potrebbe tornare utile

 

[kerberos5]

Ehi kerberos sono sulla buona strada per trovare il crypter ma non garantisco nulla...ho anche provato (cn il server di pison ivy però) una scansione su Vtotal ebbene da solo il server bypassa symantec, McAfee e molti altri...il risultato sebbene scarso (tipo 21) è un buon inizio, sto parlando della versiona privata 2.14...
Cmq secondo non è del tutto da buttare AR crypter...potrebbe tornare utile

no prova painRAT cambia tutto il server di pain è enorme 172kb contro i 16 di poison e 39 di bifrost ecco perchè non riesce a cifrare gli stub dei crypter + noti so fatti per server piccoli sono riuscito a renderlo FUD con binder seri ma come lo vai ad eseguire te lo scompatta in memoria e viene pizzicato dalla proattiva...

p.s. cmq agg a msn e passimi il tuo crypter ha stub separato?? o strapolabile ci si può lavorare..... lol dobbiamo prima provare se funziona se lo cifra e poi lavorare lo stub........looooooooool

 

[Whivel]

la tecnica funziona sugli antivirus che controllano solo le firme digitale dei virus.... questo perchè il programma viene crittato e/o compresso, quindi completamente diverso (alcuni antivirus unpackano automaticamente alcuni packer come avast con upx e fsg)....

per quanto riguarda gli antivirus che hanno altre tecniche, come la tecnica euristica, quelle controllano sequenze di codice macchina.... è molto più difficile superarla, rende inutile l'uso di packer/protector che decomprimono il vecchio programma in memoria.
poi alcuni antivirus, usano un controllo in runtime... questo però per i trojan non serve, ma bloccarele connessioni è un compito per i firewall..

poi alcuni antivirus, come avast sono talmente paranoici, che ogni cosa in dubbio te li da come virus....

 

[kerberos5]

la tecnica funziona sugli antivirus che controllano solo le firme digitale dei virus.... questo perchè il programma viene crittato e/o compresso, quindi completamente diverso (alcuni antivirus unpackano automaticamente alcuni packer come avast con upx e fsg)....

per quanto riguarda gli antivirus che hanno altre tecniche, come la tecnica euristica, quelle controllano sequenze di codice macchina.... è molto più difficile superarla, rende inutile l'uso di packer/protector che decomprimono il vecchio programma in memoria.
poi alcuni antivirus, usano un controllo in runtime... questo però per i trojan non serve, ma bloccarele connessioni è un compito per i firewall..

poi alcuni antivirus, come avast sono talmente paranoici, che ogni cosa in dubbio te li da come virus....

si condivido ma ti assicuro che antivirus come avast avg ecc si bypassano con tranquillità mod le firme di un byte l'ho reso io UD (che sono un nabbo dell'HEX .....leggi sopra) quelli + ostici sono i multisignature come Antivir che sparpaglia le firme a josa o bitdefender che a 4 motori di scansione ecc...
cmq il problema che il pain l'hanno fatto troppo grosso con pioson ad esempio si arriva facilemente al 98% di FUD parlo con scansione da VT su 36 AV

 

[Whivel]

provate themida.... l'unica cosa però è che se usate tutte le protezioni cresce un botto l'eseguibile

 

[kerberos5]

mmmmmm
nn ci avevo pensato!!! + che altro è incasinata per settarla l'avevo provata per turkojan ma con scarsi risultati ma una prova si potrebbe fare....;-)

p.s. già ad esempio con questo UPX semplice ma funzionale pain arriva a 16/36 bypassando un po di AV tra cui avast kasper macfee....ecc....

la sintassi da promtp è cF\f.exe -f -o nomefileout.exe server.exe

provatelo è carino!!!

 

[Trickmaster]

Lascia perdere...il crypter che ho preso era robaccia...ora ne sto cercando un altro...
Carino l'upx spero che dopo l'exe sia crittabile (nel caso di pain) a volte mi capita di avere un exe corrotto proprio perchè prima di crittarlo l'avevo upxato (mi succedeva con P.ivy e quando ero molto più n00b di adesso con prorat (k skifo LOL).
C'è un altro upx in veste grafica piuttosto buono magari più digeribile per i meno esperti.
Puoi anche usare upx esterni come quello di kerberos via grafica.
DOWNLOAD DIRETTO:http://www.paehl.de/upxg.zip

 

[kerberos5]

con l'upx che ho postato il server di pain funziona!!! però siamo a 16/36 bassino
ecco il report:

File caz.exe ricevuto il 2008.08.26 19:58:52 (CET)
Antivirus	Versione	Ultimo aggiornamento	Risultato
AhnLab-V3	2008.8.21.0	2008.08.26	Win32/NSAnti.suspicious
AntiVir	7.8.1.23	2008.08.26	BDS/Hupigon.Gen
Authentium	5.1.0.4	2008.08.26	-
Avast	4.8.1195.0	2008.08.26	-
AVG	8.0.0.161	2008.08.26	-
BitDefender	7.2	2008.08.26	GenPack:Trojan.Delf.Inject.AR
CAT-QuickHeal	9.50	2008.08.26	-
ClamAV	0.93.1	2008.08.26	-
DrWeb	4.44.0.09170	2008.08.26	Trojan.Packed.418
eSafe	7.0.17.0	2008.08.26	Suspicious File
eTrust-Vet	31.6.6049	2008.08.26	Win32/Vxidl!generic
Ewido	4.0	2008.08.26	Trojan.Regrun.pc
F-Prot	4.4.4.56	2008.08.26	-
F-Secure	7.60.13501.0	2008.08.26	Suspicious:W32/Malware!Gemini
Fortinet	3.14.0.0	2008.08.26	-
GData	19	2008.08.26	-
Ikarus	T3.1.1.34.0	2008.08.26	-
K7AntiVirus	7.10.428	2008.08.25	-
Kaspersky	7.0.0.125	2008.08.26	Heur.Trojan.Generic
McAfee	5370	2008.08.26	-
Microsoft	1.3807	2008.08.25	VirTool:Win32/DelfInject.gen!L
NOD32v2	3389	2008.08.26	Win32/Naprat.A
Norman	5.80.02	2008.08.26	-
Panda	9.0.0.4	2008.08.26	Suspicious file
PCTools	4.4.2.0	2008.08.26	-
Prevx1	V2	2008.08.26	-
Rising	20.59.11.00	2008.08.26	-
Sophos	4.32.0	2008.08.26	Mal/HckPk-A
Sunbelt	3.1.1582.1	2008.08.26	-
Symantec	10	2008.08.26	SecurityRisk.Downldr
TheHacker	6.3.0.6.060	2008.08.23	-
TrendMicro	8.700.0.1004	2008.08.26	-
VBA32	3.12.8.4	2008.08.26	Trojan.Win32.Regrun.pc
ViRobot	2008.8.26.1350	2008.08.26	-
VirusBuster	4.5.11.0	2008.08.26	-
Webwasher-Gateway	6.6.2	2008.08.26

sto provando ora themidia come mi è stato suggerito anche se per settarlo ad hoc tocca fare un po di prove

 

[tyldan]

se cuntinui a scannare con virus total... ti dura meno di una settimana -.-

seconda cosa... come dice Whivel la scansione euristica li becca.. anche se in molti e' disabilitata per default.

 

[kerberos5]

1- si se non spunti l'opzione di propagazione file su VT

2- sull'euristica non sono d'accordo prendiamo un troyan a cso e anche datato bifrost (2003) l'unico che individua il PID è kasper dopo 5 min ma se setti Bifro in aggressive mode una volta cioccato chiude la connessione e si ristarta con un PID diverso e hai 5 min di tempo per entrare nel regedit della vittima segare le chiavi del kasper in HKLM\software\...... se parliamo poi del poison non viene proprio rilevato dall'euristica..... pain non so dirti anche se è fatto meglio in alcuni aspetti ma ad esempio il server è troppo grande è difficile da comprimere ad esempio.....

 

[Trickmaster]

Il server di P.Ivy priv8 su www.troyanosyvirus.com.ar nn è rilevato da un po' di av di default...
Provo a upx arlo con l'upx di kerberos...
X Kerberos: Fino a poco fa riuscivo a creare il server di painrat adesso mi dice che fa un errore (makin error writing server file o qlcs del genere)...

 

[kerberos5]

Il server di P.Ivy priv8 su www.troyanosyvirus.com.ar nn è rilevato da un po' di av di default...
Provo a upx arlo con l'upx di kerberos...
X Kerberos: Fino a poco fa riuscivo a creare il server di painrat adesso mi dice che fa un errore (makin error writing server file o qlcs del genere)...

con l'upx che ti ho postato il poison arriverà a un buon livello di UD.... con pain sono arrivato a 16/36 se ti add a msn ti passo in privato lo stub originale di pain
tra i file trovi una cartella stub dentro c'è injector.pain sto provando ad hex direttamente questo sono arrivato a 16/36 non c'è bisogno di nessun crypter lo genera UD direttamente
loooooooooooool

 

[Trickmaster]

Con il server di P.ivy upxato son arrivato anchio a 16...Un ottimo inizio non credi?

AhnLab-V3	2008.8.27.1	2008.08.27	Win-Trojan/Poison.7680.D
AntiVir	7.8.1.23	2008.08.27	HEUR/Crypted
Authentium	5.1.0.4	2008.08.27	-
Avast	4.8.1195.0	2008.08.26	Win32:Poison-BW
AVG	8.0.0.161	2008.08.27	-
BitDefender	7.2	2008.08.27	Backdoor.Poison.AQ
CAT-QuickHeal	9.50	2008.08.26	-
ClamAV	0.93.1	2008.08.27	-
DrWeb	4.44.0.09170	2008.08.27	BackDoor.Poison.38
eSafe	7.0.17.0	2008.08.26	Suspicious File
eTrust-Vet	31.6.6050	2008.08.26	-
Ewido	4.0	2008.08.26	Backdoor.Hupigon.zjo
F-Prot	4.4.4.56	2008.08.26	-
F-Secure	7.60.13501.0	2008.08.27	Backdoor.Win32.Poison.bg
Fortinet	3.14.0.0	2008.08.26	-
GData	19	2008.08.27	Backdoor.Win32.Poison.bg
Ikarus	T3.1.1.34.0	2008.08.27	Backdoor.Win32.Poison.a
K7AntiVirus	7.10.428	2008.08.25	-
Kaspersky	7.0.0.125	2008.08.27	Backdoor.Win32.Poison.bg
McAfee	5370	2008.08.26	-
Microsoft	1.3807	2008.08.25	-
NOD32v2	3391	2008.08.27	-
Norman	5.80.02	2008.08.26	-
Panda	9.0.0.4	2008.08.26	-
PCTools	4.4.2.0	2008.08.26	Trojan.Popuper
Prevx1	V2	2008.08.27	Suspicious
Rising	20.59.21.00	2008.08.27	Trojan.Win32.Undef.hsr
Sophos	4.32.0	2008.08.27	-
Sunbelt	3.1.1582.1	2008.08.26	-
Symantec	10	2008.08.27	-
TheHacker	6.3.0.6.060	2008.08.23	-
TrendMicro	8.700.0.1004	2008.08.27	PAK_Generic.001
VBA32	3.12.8.4	2008.08.26	-
ViRobot	2008.8.27.1352	2008.08.27	-
VirusBuster	4.5.11.0	2008.08.26	-
Webwasher-Gateway	6.6.2	2008.08.27	Heuristic.Crypted

P.S Kerberos hai un PM
Lol

 

[tyldan]

1- si se non spunti l'opzione di propagazione file su VT

2- sull'euristica non sono d'accordo prendiamo un troyan a cso e anche datato bifrost (2003) l'unico che individua il PID è kasper dopo 5 min ma se setti Bifro in aggressive mode una volta cioccato chiude la connessione e si ristarta con un PID diverso e hai 5 min di tempo per entrare nel regedit della vittima segare le chiavi del kasper in HKLM\software\...... se parliamo poi del poison non viene proprio rilevato dall'euristica..... pain non so dirti anche se è fatto meglio in alcuni aspetti ma ad esempio il server è troppo grande è difficile da comprimere ad esempio.....

1- ma non avevano tolto l'opzione della propagazione? (infatti non ce)

2- strano a me kasper rilevava anche poison con la proattiva abilitata

 

[kerberos5]

1- si se non spunti l'opzione di propagazione file su VT

2- sull'euristica non sono d'accordo prendiamo un troyan a cso e anche datato bifrost (2003) l'unico che individua il PID è kasper dopo 5 min ma se setti Bifro in aggressive mode una volta cioccato chiude la connessione e si ristarta con un PID diverso e hai 5 min di tempo per entrare nel regedit della vittima segare le chiavi del kasper in HKLM\software\...... se parliamo poi del poison non viene proprio rilevato dall'euristica..... pain non so dirti anche se è fatto meglio in alcuni aspetti ma ad esempio il server è troppo grande è difficile da comprimere ad esempio.....

1- ma non avevano tolto l'opzione della propagazione? (infatti non ce)

2- strano a me kasper rilevava anche poison con la proattiva abilitata

si su VT ho notato che hanno tolto l'ozione infami

per la proattiva leggi qui http://www.hackhound.org/forum/index.php?topic=1272.0

 

[tyldan]

Quote from: euforia on August 04, 2008, 11:59:35 AM
Would it have been detected if you made the Remote Administration Tool with a startup method (so that you don't need the batch trick)?
Have you tried with a stratup method activated?

Anyway nice stuff.

Cheers

Yes, it would be detected with the startup method of the Remote Administration Tool....

e poi anche con lo start up attivo lo rilevano.... questo non lo sapevo

Poi devo dire che sono un po' nubbetti... per fare l'auto start fanno vedere un file batcth -.-

senza neanche joinnarlo dentro all'eseguibile

 

[kerberos5]

ma nabetti......
un paio di quelli tra cui kill3r7 e carb0n sono gli autori di painRAT....

cmq ne ho trovato un altro http://virscan.org/ qui puoi uppare il file zippato con password te lo scansiona ma nn è distribuito e si può disporre di 36 AV

 

[Trickmaster]

Per tyldan: Forse hai il rat di p.Ivy public edition, su troyanoyvirus c'è quello priv8, forse di un edizione un po' vecchiotta ma fa ancora il suo gioco...
Creato l'ho upxato a dovere...
Certo però che kaspersky e bitdefender sono tosti da buttar giù...nod32 invece stranamente l'ho fregato...

 

[tyldan]

mica uso rat famosi -.-

http://www.virustotal.com/it/analisis/e62be9e162623215debe93f714e9965f

senza cryptare neanche un bit del mio trojan, se lo cripto....

 

[kerberos5]

mica uso rat famosi -.-

http://www.virustotal.com/it/analisis/e62be9e162623215debe93f714e9965f

senza cryptare neanche un bit del mio trojan, se lo cripto....

ma LoL 3/36 ottimo!!!
vabbe codice nuovo fresco logico..... nn usare VT come giustamente mi hai suggerito se no lo rendi cioccabile.... al max usa http://virscan.org/ lo comprimi con pws che dicono loro è un po più protetto da diffusione

che caratteristiche ha il tuo troyan???

 

[Trickmaster]

Ottimo risultato...che trojan usi?

 

[tyldan]

Quello e' uno scan di una settimana fa.... ancora non mi avevi detto dell'altro.

Il codice fa schifo... ma veramente schifo, penso solo ad aggiungere funzioni pper il momento.

Quando sara' il momento gli do una ripulita.

allora ha:

Remoteshell ( 2 modalita')
Download upload e esecuzione di file
Keylogger in Tempo reale.
Funzione Browser (apre Con il Browser predefinito un link che gli passi)
Funzione Udp Flood. (da sistemare)
Funzioni di Fun (Bloccare mouse, Messaggi di errore personalizzabili)

(Aveva  anche Apri e Chiudi lettore CD ma l'ho dovuto segare che salivano a 6 AV solo con quello -.-)

Peso: 47 kb
Packato: 16 kb

Da implementare sarebbe (Lista dei processi in corso e Dump delle Password).

Se attivo il Keylogger in tempo reale solo Kaspersky lo becca con l'euristica, altrimenti tutti gli altri vanno a meraviglia.
Ma cmq avendo la shell sotto mano.... sego kaspersky con 2 secondi.

Cmq gia' solo con la remote shell gli posso uplodare un WinVNC e fare una reverse connection.

Calcolate stavo all'aeroporto con il portatile... aspettando il volo per atlanta... allora masterizzo un CD autorunnante con il mio trojan e ho cominciato a chiedere alla gente che aveva il portatile acceso:
"Oh scusa senti siccome ho i biglietti sopra il cd e il mio portatile non lo vuole aprire mi faresti il piacere di vedermi se te lo apre? altrimenti sono fritto"
"oh si certo"
solo quel giorno ho fatto 12 vittime xD

 

[kerberos5]

ottimo!!! bravo cmq non è semplice implementare un RAT da solo se vedi quelli noti sotto about hanno parteciapato in 50 persone ti do alcune dritte che possono tornarti utili http://rapidshare.com/files/77932199/ExtractBifrost.rar.html
qui ti scarichi i sorgenti di bifrost in c varie versioni sono ovviamente delle porzioni magari possono esserti di aiuto per il tuo....
tienimi aggiornato
:devil:

 

[Trickmaster]

Però che cattivo...lol

 

[tyldan]

Grazie per il codice... peccato sia quasi inutile.

Dove lo hai preso?
Avere il codice di Bifrost sarebbe veramente interessante