En esta pagina te enseñaremos a crear un virus devo aclarar que esto lo ago para un fin educativo no para malas cosas no me ago responsable sin mas que decir comensamos.
Introducción
En este tutorial vamos a aprender a crear un virus troyano. Pero primero, como muchos se preguntaran, ¿qué es un virus troyano?
Un virus troyano es un virus con el que puedes manejar el ordenador de tu víctima (la persona a la que infectes) como si fuera el tuyo. Podrás bajarte archivos de su ordenador, subirle archivos, abrirlos tanto en tu ordenador como en el suyo, finalizarle procesos, etc. Todo lo que puedes hacer lo veremos más adelante.
Se pueden diferenciar dos tipos de troyanos, dependiendo de cómo se conecten a nuestro ordenador:
De conexión directa, con los que sacamos el ip de la víctima y a través de ésta nos conectamos a su ordenador. El problema es que los ips no suelen ser fijos, suelen cambiar cada vez que enciendes el ordenador, por lo que tenemos que sacar el ip cada vez que querramos conectarnos.
De conexión inversa, con los que no tenemos que sacar el ip a la víctima, ya que una vez que ejecuten el troyano se conectarán automáticamente cada vez que enciendan el ordenador.
Lógicamente los mejores son los de conexión inversa, y por lo tanto son los que os enseñaré a hacer.
En un troyano se pueden diferenciar dos partes: el servidor y el cliente.
El servidor es el virus en sí, el archivo que debe abrir la víctima en su ordenador para infectarse y que una vez infectada se conectará con el tuyo.
El cliente es el archivo que debes abrir en tu ordenador para controlar remotamente el de tu víctima.
Una vez dicho esto, vamos a proceder a crear nuestro troyano.
Una vez que infectes a alguien podrás controlar su ordenador gracias a que el virus (si es de conexión inversa) manda la información a tu ip, recibiéndola en tu ordenador. Pero aquí hay un problema, como hemos dicho antes las ips no suelen ser fijas, por lo que acabarías perdiendo la conexión con tu víctima. Logicamente la solución a este problema es crear una ip estática (que siempre sea la misma) y dirigirla a tu ordenador, y ésta es conocida como no-ip. Podrás ver como se crea una no-ip acontinuacion:
Cómo conseguir una no-ip
En esta sección vamos a aprender a crear una no-ip para que cuando nuestro troyano nos envíe la información del ordenador de su víctima la recibamos SIEMPRE en nuestro ordenador y sin problemas.
Alta en:www.no-ip.com
Lo primero que tenemos que hacer es crear un dominio no-ip que después dirigiremos a nuestro ordenador. Para ello abrimos la página oficial de no-ip. Una vez en ella nos vamos a la parte de arriba y pulsamos donde dice Create Account:
Entonces nos pedirá nuestros datos (poner una dirección e-mail válida y que sea vuestra), y que no se os olvide la contraseña que pongais, ya que luego la necesitaremos. Una vez puestos los datos pulsamos en "I accept. Create my account" y ya podremos cerrar la página.
Ahora nos vamos a la dirección de correo que pusimos, y veremos que nos ha llegado un mensaje de no-ip (si lo habeis hecho bien). Lo abrimos y pulsamos en el link que viene después de "To activate your account please click the following URL", y entonces ya tendremos activa nuestra cuenta en no-ip.
Una vez hecho esto vamos a crear nuestro dominio. Para ello abrimos la página de no-ip y ponemos nuestro e-mail y nuestra contraseña para identificarnos. Se nos abrirá nuestra página personal, y le damos en la parte de enmedio al botón "Add a Host" (Si habeis entrao ya en algún sitio el enlace a Add Host os aparecerá en el menú de la izquierda). Se nos mostrará un formulario como el de la imagen:
En hostname pondremos el nombre de nuestro dominio, que no puede existir todavía, por ejemplo "tuwebdeinformatica". Donde en la imagen pone no-ip.org tenemos que poner cualquiera que esté dentro de "no-ip free domains", por ejemplo ese, no-ip.org. De esta forma en este caso nuestro dominio sería "tuwebdeinformatica.no-ip.org". Este nombre es importante. Después nos aseguramos de que esté marcado "DNS Host (A)", y que la dirección de ip que aparezca sea la misma que la que aparece arriba donde pone "current ip" (está es la ip que tenemos en ese momento en nuestro ordenador). Luego ya no tocamos nada más y pulsamos en "create host".
Mantener el dominio dirigido a nuestro ordenador
Ahora que ya tenemos creado nuestro dominio tenemos que asegurarnos de que siempre vaya a nuestro ordenador. Para ello no bajamos el www.no-ip.com/downloads.php y lo instalamos. Una vez instalado lo abrimos y nos aparecerá esta ventanita:
Ponemos nuestro e-mail y la contraseña y se nos abrirá el programa.
En la pantalla de en medio aparecerá nuestro dominio, en nuestro caso tuwebdeinformatica.no-ip.org
Este programa lo abriremos siempre antes de utilizar el cliente de nuestro virus, para asegurarnos de que la información vaya a nuestro ordenador, y una cosa más, tenemos que marcar el dominio como en la imagen para que se dirija solo.
2. Crear el troyano con bifrost
Hay muchos virus troyanos de conexión inversa, entre los que los mas famosos son el bifrost y el poison, pero hay muchos más como el pro rat, el slh4, el coolvides, etc.
Aquí vais a aprender a crear el bifrost por ser el más famoso, para ello ir al manual bifrost.
Manual bifrost
Lo primero es bajarse el bifrost 1.2.1 . Importante: aunque el antivirus te lo detecte como virus no quiere decir que perjudique a tu ordenador, ya que que lo detecte es normal al ser el cliente del troyano, vamos, que puedes estar seguro que no te va a infectar tu ordenador. Por esto debes desactivar el antivirus para bajarte y para usar el bifrost, porque sino no te deja.
Configurar el bifrost
Una vez bajado y con el antivirus desactivado lo abrimos, y nos aparecerá una ventana como ésta:
Para configurarlo hacemos click en settings, y nos aparecerá la siguiente ventana:
En "ports" debes poner los puertos que vayas a usar para tu virus. Tienes para poner tres puertos, si sólo qieres poner uno o dos deja los demás con un cero. Yo te aconsejo que uses el 80, 81 o 8080, porque los otros puede que estén cerrados. En password debes poner una contraseña cualquiera (no hace falta que te la sepas porque siempre la puedes ver aquí). En "name of extension" deja addon.dat.
De la tres casillas te aconsejo que las pongas como están en la imagen. La primera es para que te avisen como en el mesenger cuando alguna víctima se conecte, la segunda para que te pida la contraseña cuando alguien se conecte (por eso no la marcamos), y la tercera hace que te descargues la información del ordenador de la víctima más rápido. En "Method to determine flag" eliges cómo quieres que determine el país de la víctima: la primera utiliza el idioma del pc, y la segunda el del teclado. Hecho esto dale a ok.
Ahora pasaremos a construir el server (el servidor del virus), para ello pulsa en build y nos aparecerá la siguiente ventana:
En "Dynamic DNS/IP" escribe tu dominio en no-ip, en nuestro caso tuwebdeinformatica.no-ip.org, y le das a add. Si te aparece otra ip puedes borrarla porque no nos valdrá. En "password" pon la contraseña que pusiste en settings. Luego le das a "Installation" y te aparecerá la siguiente ventana:
En "filename when installed" pon el nombre que tendrá tu troyano una vez esté dentro del ordenador de tu víctima, pon uno que no llame la atención, que pase desapercibido, como system o config. En "Directory to install to" pon como se llamará la carpeta en la que se guardará el virus, y elige entre dentro de archivos de programas (Program files directory), en la carpeta system32 (system directory), o en la carpeta windows (windows directory).
Marca la casilla "autostart at rebut" para que el virus se conecte solo cuando la víctima encienda el ordenador. "Mutex name" déjalo como está y en "registry key" pon el nombre que tendra dentro del registro. Marca la casilla "Include extension pack" y "offline keylogger" (esta última es para que guarde las teclas que pulsa la víctima y así tu las puedas ver). Puedes marcar "exclude shift and control" para que no guarde esas teclas, y lo mismo con "exclude backspace" (barra espaciadora).
Marca la casilla "Try to inject to a..." y deja el recuadro "Process name" en blanco. En "assigned name" pones el nombre que tendrá la víctima cuando se conecte a tí, y marca la casilla persistant server si quieres que cuando la víctima borre el virus éste se cree solo de nuevo, pero cuidado si lo marcas no te vayas a autoinfectar. Una vez hecho esto nos vamos a stealth.
Para no hacer el manual muy pesado con tantas explicaciones te digo que si marcas las casillas como en la imagen te irá bien. Una vez hecho esto le das a build y te pedirá que selecciones el archivo server.exe que te viene junto al bifrost, y acto seguido le das abrir. Aunque en el botón ponga abrir no lo ejecuta, sino que lo que hace es meter tu virus en ese archivo, y el virus que hubiera antes lo borra, ese archivo es como la base para crear el virus. Por eso ten cuidado de no abrir ese archivo antes de meter tu virus dentro, porque puede que tenga el virus de otro. Hecho esto ya tendremos nuestro virus en el archivo server.exe, pero cuidado que lo detectan todos los antivirus, ya aprenderemos a hacer que esto no pase.
Nos vemos en la segunda parte del manual bifrost.
Manual bifrost (segunda parte)
En esta segunda parte vamos a aprender la distintas cosas que podemos hacer a la víctima una vez la hayamos infectado (Nota: si quieres puedes leerte el manual para hacer tu virus indetectable y para camuflarlo en un archivo antes que éste). Primero abrimos el bifrost y nos aparecerán las distintas víctimas infectadas, como en la imagen:
Primero vamos a explicar la pantalla pricipal. "Assigned name" es el nombre que pusimos al crear el virus en el lugar llamado también "assigned name". Ip es la direccion ip de la víctima. "Computer/User name" es el nombre de la pc y el de usuario de la víctima. "Version" muestra la version del server que hay en el ordenador de la víctima, que coincidirá con el del bifrost con el que hayas creado el virus. "C" dice si tiene webcam, si es una x quiere decir que no se sabe, y si es una X quiere decir que tiene. "E" muestra si la víctima tiene instalada la extensión, que cuando creamos el virus os dije que la pusierais, porque nos permite hacer más cosas. Idle es uno de los procesos de la CPU, muestra el estado total y suele aparecer cuando el equipo no tiene muchos procesos ejecutándose o está en descanso. Ping es un nº que aumenta cuanto más cosas estemos haciéndole a la vez, por lo que es conveniente que sea lo más bajo posible porque si no podemos peder la conexión. El botón update (abajo) nos permite actualizarle el virus, para ello nos pedirá indicar donde está el nuevo. Upload extension nos sirve para subirle la extensión si no lo hemos hecho.
Una vez sabido esto vamos a ver lo que podemos hacerle a la víctima, para lo que damos botón derecho sobre ella, apareciendo las siguientes posibilidades:
File Manager: nos permite ver los archivos que tiene la víctima en su ordenador. Dando click derecho en un archivo podemos subirle archivos (upload), bajar ese archivo (download), abrir en tu ordenador (run), abrir en el ordenador de la víctima (open remotely), borrarlo (delete), cambiarle el nombre (rename), crear una nueva carpeta (create directory) y establecer como fondo de pantalla (set desktop wallpaper). Además si le damos a "file search" podemos buscar archivos.
System Manager: En "system info" podemos ver la información del ordenador de la víctima y del server instalado. En "process list" podemos ver los procesos de la víctima e incluso cerrarlos, el que está en rojo es nuestro virus. En "windows list", si le damos a refresh, podemos ver las ventanas abiertas por la víctima, y cerrarla (kill window), maximizarla (show window) y minimizarla (hide window). En "password list" podemos ver las contraseñas guardadas en el ordenador de la víctima, si le damos a refresh.
Key logger: si le damos a retrieve keys podemos ver las teclas que pulsó la víctima.
Screen capture: cuando le demos a start empezará a hacer fotos a la pantalla de la víctima.
Cam capture: si tiene webcam podemos ver a través de ella.
Remote shell: se nos abre una ventana para hacer cosas en el ordenador de la víctima escribiendo cono en ms-dos.
Registry editor: nos permite modificar el registro de la víctima, pero cuidado con lo que haces que esto es muy delicado.
Con esto ya puedes manejar el bifrost bien (sólo te faltaría saber manejar ms-dos, jeje), y si tienes algún problema o alguna duda dímelo en mi pagina.
3. Hacer el virus indetectable
Está claro que el virus así no se lo vamos a colar a nadie, porque lo detectan todos los antivirus, por lo que vamos a hacerlo indetectable. Podeis ver como hacerlo indetectable en: Hacer tu server indetectable
Cómo hacer un virus indetectable
Introducción
De la forma que vas a aprender a ocultar el virus lo detectan antivirus poco usados a día de hoy (26-06-2008). El virus con este tutorial sólo será detectado por los siguiente antivirus, que la mayoría son muy poco conocidos:
AntiVir
Authentium
AVG
Bitdefender
CAT_Quickheal
eSafe
F-Prot
Panda
Prevx1
Sophos
Sunbelt
Trendmicro
VBA32
Avast
De esta forma los antivirus más usados tales como NOD32, Kapersky o McAfee no lo detectarán, lo que es toda una ventaja. Si tu víctima tiene alguno de los que lo detectan puedes ver el tutorial antiguo para hacerlo indetectable aquí.
Encriptar con cigi cigi
Vamos a empezar encriptando con cigi cigi, un programa que la verdad es
que no se en que idioma está, pero nos vale.
rapidshare.com/#!download|299|141099645|cigi_cigi.rar
|1085|RapidPro expired.. Una vez bajado lo abrimos y nos aparecerá la siguiente ventana:
Primero le damos un clic al botón marcado en la imagen con un 1 y abrimos nuestro virus, llamado "server.exe". Después marcamos la casilla marcada en la imagen con un 2, y por último pulsamos sobre "Taninmaz Yap" y lo guardamos como "server2.exe".
Encriptar con obsidium
Primero le damos un clic al botón marcado en la imagen con un 1 y abrimos nuestro virus, llamado "server.exe". Después marcamos la casilla marcada en la imagen con un 2, y por último pulsamos sobre "Taninmaz Yap" y lo guardamos como "server2.exe".
Encriptar con obsidium
Pues el programa más novedoso para encriptar lo virus a día de hoy es el obsidium. Este programa lo podeis bajar de la página oficial, pero si no es la versión completa no os funcionará después el virus, por lo que podeis comprar el programa o bajaros el rapidshare.com/#!download|31p8|128359644|
Obsidium.rar|627|0|0(la web no se responsabiliza del uso del mismo, ya que fue colgado por una persona externa a la misma)
Pues bien, una vez instalado el programa lo abrimos, y nos aparecerá esta ventana (si no te aparece así y sale algo raro sigue con los pasos de todas formas, cuando lo pongamos en español se verá bien):
Pues primero que todo damos clic en el botón que tengo marcado en la imagen anterior y lo ponemos en español. Acto seguido le damos a "Nuevo proyecto" y lo guardais donde querais. Entonces le damos al cuarto botón del menú de la izquierda, al del candado (protejer la aplicación). Entonces nos aparecerá para elegir una carpeta, que será donde se guardará nuestro virus indetectable:
Ahora le damos a la otra pestañita, en la que pone "Ejecutables", y le damos a "Añadir" y añadimos el server2.exe que encriptamos con cigi cigit. Luego lo seleccionamos y le damos a "Protejer", con lo que nos creará el virus indetectable en la carpeta que habíamos elegido.
Con esto puedes estar seguro que no lo detectan los antivirus, y si no has la prueba y pásale el antivirus a ese archivo en concreto. Si algún día lo detectara algún antivirus dímelo en el foro y actualizaré el manual.
Ya sólo nos queda meterle el virus a quien nos caiga mal, pero el virus no se lo podemos mandar tal cual porque se dará cuenta aunque el antivirus no lo detecte. Lo que vamos a hacer es incluirlo en un archivo de forma que cuando lo ejecute se abran los dos, el archivo y el virus. El problema es que el archivo resultante será .exe, aunque al abrirlo sea una imagen o un video, por lo que será mejor pensar bien cómo pasarle el virus a nuestra víctima. Para ver como camuflar el virus ve a camuflar el server.
Cómo camuflar el virus en un archivo
Ahora vamos a esconder nuestro virus indetectable en un archivo, para que nuestra víctima no sospeche cuando abra el archivo. Esto lo vamos a hacer en dos pasos, primero lo metemos en un archivo, y luego le cambiamos el icono.
Y hasta aquí llega el tutorial de troyanos, espero que te haya servido, si tienes alguna duda o quieres opinar sobre el manual puedes ponerlo en la sección hacking del foro.
Meter el virus en un archivo
Para ello nos bajamos el sfx
rapidshare.com/#!download|176p5|67170813|sfx_compiler.exe
|3275|0|0. Con este programa podremos meter el virus en archivo, pero este archivo será .exe a la fuerza, y no me pregunteis como meterlo en otro tipo de archivo porque no se puede, sólo puedes hacerlo pasar por otro cambiándole el icono. Una vez bajado el programa, lo instalamos y lo abrimos y nos aparecerá la siguiente ventana:
Le damos a add y añadimos el archivo en el que queramos meter el virus, y después le damos otra vez y añadimos el virus (queda claro que el indetectable que obtuvimos del iexpress). Una vez hecho esto le damos a la ventana de options y veremos lo siguiente:
En la "File to run after extraction" ponemos el archivo en el que metemos el virus (en mi caso el msn-polygamy), y en "File to run before running main file" ponemos nuestro virus (que en mi caso se llama juego.exe). Es conveniente que cuando le pusiste el nombre al crear el virus con el iexpress fuera un nombre que no llame la atención, como ya te dije. Con este programa, cuando abran el archivo infectado se guardarán los dos archivos en una carpeta antes de abrirse, esta carpeta la eliges en "Default Folder". Yo te aconsejo que pongas C:Windows, porque en esa carpeta hay tantos archivos que nadie se va a dar cuenta. Para que esto funcione marca la casilla "Do not prompt user for folder selection". Una vez hecho esto le damos a create y elegimos el lugar y el nombre con el que guardar nuestro archivo .exe, y ya tenemos listo nuestro archivo infectado.
Cambiar el icono a nuestro archivo
Si no nos gusta el icono de nuestro archivo exe se lo podemos cambiar con el ResHacker. Te lo puedes bajar de aquírapidshare.com/#!download|279p12|81925707|
ResHack_twdi.zip|554|0|0. Una vez bajado lo abrimos y nos aparecerá la siguiente ventana:
Primero le damos a File/Open y abrimos el archivo al que le vamos a cambiar el icono. Luego le damos a Action/Replace Icon y le damos a "Open File with new icon". Entonces abrimos un archivo con el icono que queremos (por ejemplo el verdadero, el que no está infectado), seleccionamos el icono si hay mas de uno, le damos a replace y por último le damos a File/Save. Una vez hecho esto ya puedes cerrar el programa. Ahora ya tienes tu archivo con el icono cambiado y listo para ser usado.
En el caso de que no sepas donde están algunos iconos de windows no dudes en preguntarmelo.
|
