• Desarrollo CoolvibesRAT

  • Subforo donde se hara paso a paso un troyano en delphi.
Subforo donde se hara paso a paso un troyano en delphi.
 #23267  por Unknown
 31 Ago 2008, 01:45
Hola a todos, tal como lo prometí a continuación la versión 0.5 que implementa Dll Injection y método de inicio Active Setup. Actualmente tiene un pequeño problema y quisiera que alguien me ayudara a corregirlo. Hay un dll llamado Monitor.dll que se inyecta en exporer.exe y cada vez que se mata la instancia de Internet Explorer que tiene inyectado el coolvibes.dll (RAT) lo reinicia e inyecta de nuevo. El problema es que estuve tratando de detectar cuando se apague la máquina para que el monitor no inicie nuevamente Internet Explorer ni lo inyecte, pero no he podido atrapar el mensaje. Un intento de implementarlo se encuentra en Monitor.dll. Espero que alguien pueda corregirlo.

De igual forma, no tuve tiempo de probarlo con toda la rigurosidad del caso, así que ustedes servirán de Beta Testers a la vez de usuarios.

A continuación los cambios de la versión y el link de descarga:

[+] Añadidos, mejoras
[-] Cosas quitadas
[*] Bug solucionados, arreglos


|----------------------------|

Fecha 30/08/2008
Versión: 0.5
Modificación de: Unknown

[+] El server es un dll llamado coolserver.dll
[+] Se crea Monitor.dll que se encarga de crear una instancia de Internet explorer y solicitar la inyección de coolserver.dll en el mismo. Si la instancia de IE es terminada por algún motivo, el crea otra y solicita nuevamente la inyección
[+] Se crea Jeringa.exe que contiene tanto coolserver.dll como Monitor.dll. Este Inyecta Monitor.dll en el proceso explorer.exe. Las inyecciones son directo desde memoria, los dll nunca son escritos a disco
[+] Se eliminó por completo el uso de ScktComp y se sustituyó por SocketUnit de Aphex
[+] Se eliminó la conversión a jpg desde coolserver y para ello se creo jpg_plugin. Es indispensable que este se encuentre en %SYSDIR% para que funcione tanto la captura de pantalla como de webcam. Este debe ser subido manualmente una vez qe se haya instalado el coolvibes en la máquina de la víctima
[+] Se agregó la funcionalidad de solicitar una previsualización de un jpg (tambien conocido como thumbnail) para así ver cuales fotos nos interesan y solo bajar esas
[+] Se modificó la forma en que el server detecta si se ha perdido la conexión con el cliente coolvibes para así intentar iniciarla de nuevo
[+] Se agregó el método de inicio Active Setup
[+] En el directorio DllInjection se encuentra el código para inyectar. Para crear el archivo destino sólo se debe primero compilar coolserver.dll y luego entrar a DllInjection y ejecutar BuildRat. El archivo a enviar a la víctima es: Jeringa.exe
[-] Se eliminó la posibilidad de abrir y cerrar el cdrom para reducit el tamaño del coolvibes. Si se quiere agregar, solo basta con "descomentar" algunas líneas



|----------------------------|

Descarga:

[ Debe registrarse para ver este enlace ]


Saludos,
Unknown.
 #23270  por HypNosS
 31 Ago 2008, 01:54
noooooooooo

terrible aportazo man!

gracias por esta nueva release ;)

ya mismo me pongo a probarla en casa!

el kav me lo elimino cuando lo baje asi que ya lo van viendo parece.

saludos!
 #23277  por sospechoso
 31 Ago 2008, 02:17
uhhhhhhhhhhhhh!!! buenisimo

muchas gracias Unknown...ya lo estoy bajando pa mirar el source XD
 #23279  por status.0
 31 Ago 2008, 02:58
Esto es algo que no puedo dejar pasar por alto en mi vida de aprendiz, con gusto me pondre a testear.
Muchas gracias por los sources Unknown, que honor tenerte en el foro.
Salu2
 #23281  por DSR!
 31 Ago 2008, 03:15
mis felicitaciones Unknown, ya lo subiste en OS?
 #23286  por b#
 31 Ago 2008, 03:42
Muchas gracias por el release Unknown.
 #23297  por DSR!
 31 Ago 2008, 05:56
al ser persistente no se puede desinstalar
 #23299  por jackarls
 31 Ago 2008, 06:45
la espera es dulce! ...por el momento no la pruebo ya que toy en el trabajo , a esperar a llegar a casa ...Gracias!
 #23303  por Unknown
 31 Ago 2008, 11:04
shimpei escribió:al ser persistente no se puede desinstalar
Claro que se puede, simplemente borra Jeringa.exe de c:\windows y reinicia.


Saludos,
Unknown.
 #23305  por dpkg
 31 Ago 2008, 12:44
Muchas gracias para este release unknown, voy a estudiarlo con mucha atención.

Es bien ver los proyectos opensource nunca caer en el olvido. ;)
Última edición por dpkg el 31 Ago 2008, 15:08, editado 1 vez en total.
 #23315  por Thor
 31 Ago 2008, 14:02
excelente trabajo Unknown. Habra que aprender de ese codigo
 #23317  por polifemo
 31 Ago 2008, 14:35
Muchisimas gracias Unknown.... Imagen


Testeando... Imagen



Saludos bro. Imagen
 #23344  por status.0
 31 Ago 2008, 19:10
Estuve probandolo muy juicioso, note las siguientes cosas:

1) Funciona en Windows Vista bajo ciertas modificaciones
- Eliminando acciones tipo administrador: autoinicios, copiado en windir.
- No usando monitor.dll: Ya que se abren muchas veces jeringa.exe, al igual que iexplore. Al parecer no funciona el identificador e intenta abrirlo y abrirlo.
Imagen
- Ya que jeringa.exe tiene el afxcode, y este es muy detectado, ensaye con otro code de Rouse_ que estaba modificando: Hice algo muy similar a lo que se implemento pues guardo la .dll como recurso. Pero a diferencia del code jeringa, decidi droppear la dll al disco y cargarla en memoria (bajo el mismo proceso del inyector, no en explorer.exe).

Dll injector sin afx: [ Debe registrarse para ver este enlace ]
(Basta copiar coolserver.dll a la carpeta, crear el nuevo .res y compilar el inyector)
Pero bueno, simplificandolo de tal forma el server perderiamos muchas caracteristicas (autoinicios, monitor del proceso, copiado a windir). Medidas que se pueden solucionar claro esta, segun las necesidades. El caso es que Vista no aguanto la primera prueba, por lo que pinta muuy bien para futuras modificaciones. Ahhh, claro, si se cierra el proceso del injector se va tambien la conexion (:P Pues es solo un ejemplo)
Unknown, que gran trabajo maestro
 #23366  por DSR!
 31 Ago 2008, 21:25
me referia con la opcion de desinstalar
 #23370  por Unknown
 31 Ago 2008, 21:34
shimpei escribió:me referia con la opcion de desinstalar
Ah, entendi mal. No, esa opción no está funcionando...

Saludos,
Unknown.