FAQ TROYANO AUTOEJECUTABLE Y AUTOINSTALABLE CON EL RADMIN Y EL SETUP GENERATOR PRO.

Hola: Cuando sali el tema de hacer este post, pens que no seria muy complicado, y no lo es, pero varia considerablemente con respecto al anterior faq, donde usbamos el serv-u. Porque?, La razn es que los datos que necesitamos pasar al programa, como puerto, esconder el icono, pass, hay que meterlos en cdigo Hexadecimal, y encima la pass, va encriptada!!!!.La cosa se complica para un post "chuleta", aunque volviendo a leer la revista, "entiendo"que en su momento nos explicaran cdigo binario, hexadecimal, Bcd etc., as que tenia que buscar algo ms fcil de desarrollar, de la encriptacin de la pass, ni hablamos, al principio pens que era cdigo Base64 o tal vez Wartar, creo que es una modificacin del mismo mas compleja. Tambin esta el tema del archivo regedit, todo un reto, pero aqu si que la revista parece que en su momento hablara largo y tendido. Por todo lo expuesto anteriormente este faq, se queda algo "cojo" de explicacin, pero al menos espero que nos sirva para probar el funcionamiento y "picar" la curiosidad de la mayora. Bueno, y ahora si, empecemos, la idea es meter en un archivo instalable el programa radmin, de forma que la victima lo instale en su ordenador y este permanezca oculto y listo para poder dar servicio como troyano. Parto de los supuestos de que tenemos un solo ordenador, y que el troyano lo vamos a hacer pasar por un parche de Java para IE6 (bueno, aadirle un disfraz y por ejemplo el programa de enviar ip, es releer el post de la faq anterior) Paso 1.-) Instalamos como nos enseo la revista el programa radmin en nuestro ordenador. Paso 2.-)Creamos una carpeta en C con el nombre por ejemplo TroRad, dentro de esta carpeta, creamos una con el nombre Troyano y otra con el nombre Salida. Paso 3.-)Si realizamos la instalacin tal y como la revista nos enseo, tendremos en la ruta C:\Archivos de programa\radmin, los archivos del programa, copiaremos el archivo r_server.exe y el AdmDll.dll, a la carpeta que creamos anteriormente c:\TroRad\Troyano. Paso 4.-)Utilizando por ejemplo un programa tipo ResHack, editaremos el exe, cambiaremos todos los iconos de la aplicacin. Despus le cambiamos el nombre, por ejemplo javaie.exe, el dll, dejarlo como esta. Paso 5.-)Abrimos el Setup Generator Pro(hay otros empaquetadores, seguramente mejores que este, pero ya que empezamos con el ...., aunque bsicamente son todos parecidos).Creamos un nuevo proyecto, por ejemplo Rad, y empecemos, en el apartado salida, Directorio de salida, ponemos o buscamos C:\TroRad\Salida; Nombre del fichero ejecutable, javaie.exe.El resto como esta. Paso 6.- En el apartado General, Nombre de la aplicacin, pondremos, ya que hemos dicho que esto era un parche, "Actualizacin Java para Internet Explore 6,lo mismo en Titulo o nombre de la ventana, el resto como esta. Paso 7.-)En el apartado al comienzo, desmarcamos predeterminado, en camino personalizado ponemos C:\WINDOWS\SYSTEM y marcamos forzar el camino predeterminado. El resto como esta. Paso 8.-) En el apartado Ficheros, pulsamos el smbolo "+", nos aparece una pantalla: En fichero fuente ponemos o buscamos: C:\TroRad\Troyano\javaie.exe Camino predeterminado: WINSYS PATH Si el fichero existe en el destino: Sobrescribir marcamos la casilla No desinstalar. El resto como esta Paso9.-)Repetimos lo mismo con el archivo AdmDll.dll, la nica diferencia con el anterior es En fichero fuente ponemos o buscamos:C:\TroRad\Troyano\AdmDll.dll

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

Paso 10.-)En la pestaa Ventana de progreso, desmarcamos, Mostrar ventana de progreso. Paso 11.-) Bueno, hasta aqu, fcil, como el anterior FAQ(el del serv-u), ahora nos toca algo mas lioso, intentar no complicarlo mucho, y eso s, os pido "un acto de fe", en algunos apartados. Antes de empezar, el que tenga que ir al bao que aproveche ahora,.......ya?....., Venga, empecemos. Introduccin: En este apartado, INI/Registro, introduciremos claves y datos en el archivo regedit, y eso que es?, bueno, explicndolo de alguna manera simple, es un archivo que contiene los datos y valores, de funcionamiento y comportamiento del software que tenemos cargado, incluidos el de sistemas, aplicaciones y programacin. Es un archivo importantsimo, recomiendo, antes de nada, hacernos la correspondiente copia de seguridad, una mala accin sobre este archivo, y a formatear de nuevo, as que precaucin compaeros. Supongo que la revista en su momento incluir un articulo sobre este archivo, as que para nosotros de momento vale, aunque no estara de mas una gira por google. Bien , con lpiz y papel(bueno el Notepad tambin sirve), empezamos la siguiente configuracin, abrimos la ventana del dos, vamos al directorio C:\TroRad\Troyano y escribimos javaie /setup nos aparece una ventana "Options for remote Administrator Server 2.1"(pagina 29 HcK n.4), en ella veris varios botones, buscamos el que pone "Set password", nos aparece una ventana donde pondremos la pass que queramos(mas de ocho letras), por ejemplo "yyoquese",por supuesto la apuntamos, vale cerramos y le damos al botn Options..(misma pagina de HcK), nos abre una pantalla y marcamos "Hide tray icon"(no es que haga falta, pero para explicar mejor), despus cambiamos el port, por ejemplo el 6538, antes desmarcamos "use default port", y tambin lo apuntamos. Listo, le damos a OK y luego a exit. Hasta aqu, bien, ahora vamos a inicio/ejecutar y escribimos regedit, se nos abrir una especie de explorador de Windows un tanto raro, en el, veris a la izquierda, una especie de carpetas, nos fijaremos en una que pone HKEY_LOCAL_MACHINE, le damos al mas, despus a System-RAdmin-v2.0-server-parameters. una vez aqu estaremos en la "ruta" HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters a la derecha veremos una serie de datos (leer de nuevo la paginas 38 y 39 de la revista), y hay tenemos nuestra solucin para que el troyano se ejecute oculto. Tenemos que fijarnos concretamente en tres entradas, Port, Parameter y DisableTrayIcon. en Port pondr(si pusiste antes 6538) 8a 19 00 00, te lo creas o no, es lo mismo pero en hexadecimal. Apuntemos lo que nos da, recuerda que si pusiste otro puerto, este valor en hexadecimal variara. En DisableTrayIcon pondr 01 00 00 00, esto oculta el icono del programa, si no lo hubiramos marcado pondra 00 00 00 00. En Parameter pondr 16 pares de letras y nmeros, por ejemplo 2e 89 5f., eso aunque no te lo creas, es el password que pusiste(recuerda "acto de fe"), vale, cpialo con cuidado de no equivocarte, sern nmeros del 0 al 9 mas letras a,b,c,d,e,f, o sea cdigo hexadecimal, pero encima esta encriptado. El resto, aunque tiene muchos cosas interesantes, de momento no nos interesa, cerramos el regedit. UUfff!!!!, este paso hay que volver a leerlo con cuidado. Paso 12.-)Vamos a lo fcil, apartado INI/Registro, le damos al mas, y nos abre la ventana para poner datos: Clave de registro: HKEY_LOCAL_MACHINE Subclave:System\RAdmin\v2.0\Server\Parameters Nombre del valor: Parameter Tipo de valor: Binario

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

Valor: aqu hay que meter la retahla(16 pares-32 letras y nmeros) que copiamos anteriormente, por ejemplo 2e895fb9fb899898de5fd35b60d0fda9 , ATENCION, NO METER ESPACIOS, TODO SEGUIDO. Esto era el password, ahora vamos a por el Port. Clave de registro: HKEY_LOCAL_MACHINE Subclave:System\RAdmin\v2.0\Server\Parameters Nombre del valor: Port Tipo de valor: Binario valor: 8a190000, ATENCION, NO METER ESPACIOS, TODO SEGUIDO, este seria si pusiste 6538 Bueno, nos queda ocultar el icono Clave de registro: HKEY_LOCAL_MACHINE Subclave:System\RAdmin\v2.0\Server\Parameters Nombre del valor: DisableTrayIcon Tipo de valor: Binario valor: 01000000, ATENCION, NO METER ESPACIOS, TODO SEGUIDO. Ahora hagamos que se arranque siempre que iniciemos el ordenador Clave de registro: HKEY_LOCAL_MACHINE Subclave:SOFTWARE\Microsoft\Windows\CurrentVersion\Run Nombre del valor: Machine Java ("puede ser el que querais, pero que cuele") Tipo de valor: Alfanumerico Valor: javaie.exe("o el nombre que tu pusiste". Casi hemos terminado. Paso 13. -) En la pestaa Accesos directos, desmarcamos Predeterminado y en opciones desmarcamos tambin Abrir grupo de programa. Paso 14.-)Al Finalizar, en la pestaa desinstalar, desmarcamos incluir desinstalador, y en la pestaa ejecutar: Ejecutar tipo: Aplicacin Camino predeterminado: WINSYS PATH nombre del fichero: javaie.exe parmetros de la lnea de comando: /pass:yyoquese /port:6538 ("lo que tu pusieras") Directorio de trabajo: WINSYS PATH Cuando ejecutar: Al final Esto lo que hace es arrancar el troyano sin necesidad de reiniciar. En la pestaa Dilogos, podemos poner en texto al finalizar, algo as como "Terminada actualizacin de Java para Internet Explorer 6". (recordar que estamos hablando de un parche) Paso 15.-) pulsar el icono de Crear, y tendremos en la carpeta c:\TroRad\Salida nuestro troyano listo para enviar. A esto se le puede aadir cualquier programa, por ejemplo el de "enviar la ip", en el mismo empaquetado, mirar los post: http://www.hackxcrack.com/phpBB2/viewtopic.php?t=1323&highlight= http://www.hackxcrack.com/phpBB2/viewtopic.php?t=1181 Hay otras maneras y muchas mas opciones, tanto del programa como de la forma de empaquetarlo, esta bien para empezar a practicar, y que cada uno aplique las modificaciones que ms le convengan en cada momento. Esto esta probado en win98/me, acceder al registro en sistemas operativos "de verdad"(lase NT/2000/xp), es ms complejo, la revista ya comento que pondra un articulo. Lo mejor seria probar nuestros inventos con algn amigo o compaero de aventuras, o

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

mejor aun, hacernos con algn ordenador de segunda mano, no sale tan caro, por algo menos de 80 euros, tenis en Internet Pentium 133 completos con monitor, tarjeta de red, etc., le cargis win98 y a probar, yo lo tengo as, una red con varios ordenadores de segunda mano. Pues nada, que lo "Disfruten" con salud. Un saludo

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"