Muy buenas a todos

Después de pasarme horas programando, ya tengo finalizado lo que será un troyano en VBS. Lo tengo publicado en el foro amigo elhacker.net y algunos usuarios me están ayudando a testearlo, pero necesito más participación, por ese motivo voy a publicar aquí también el proyecto

Primero de todo quiero dar las gracias a Karcrack y WHK por ayudarme a resolver un problema que he tenido con la recepción de peticiones HTTP para éste troyano.

Bueno, ya he programado lo suficiente como para liberar la primera beta abierta sobre éste proyecto, tal y como prometí. El troyano ya está en marcha, el "core" está programado y ahora solo falta añadir más opciones, controlar los errores y terminar el diseño.

Explicación del proyecto

Me he basado 100% en la idea original de Houdini, que programó un excelente troyano de conexión inversa usando peticiones HTTP en VBS. Por el momento me estoy basando mucho en el código fuente del server en VBS, lo que ha salido de mis manitas es la programación del cliente en VB6.

Cactus Trojan VBS se trata de un troyano multi-conexión inversa escrito en VBS la parte del server y VB6 la parte del cliente. Será OpenSource tanto la parte del cliente como la del servidor, se permitirá programar plugins para extender las funcionalidades del troyano. A parte, el server VBS se podrá cifrar con Cactus VBS Crypter para hacerlo FUD.



Características de Cactus Trojan VBS:

+ Bypass firewall
+ Server VBS 8Kb
+ Fácil de encriptar
+ Control del servidor (Restart, Stop, Uninstall)
+ File Manager (algunas funciones no están terminadas)
+ Process Viewer
+ Services Viewer (algunas funciones no están implementadas)
+ Fun Manager (falta terminar el diseño y añadir más funciones)
+ Spy Tools (falta implementar completamente)
+ Remote Shell
+ Password Stealer (falta implementar completamente)

Tengo documentadas las funciones que me gustaría incluir a la versión final del troyano, cosas como: Desktop Spy, Webcam Spy, Spread del troyano por P2P, Facebook/Twitter, infección de ficheros ZIP, Spread USB, ... y un laaaaargo etc de cosas que tengo en la cabeza. Cualquier aportación o sugerencia será bienvenida y su nick quedará inmortalizado en la sección de "Acerca de..."

Aquí os dejo el link de descarga, el proyecto está en BETA, su única finalidad es testear que todas las opciones programadas están funcionando correctamente en cualquier equipo. Lo podéis testear en vuestros PC's o máquinas virtuales. No lo utilicéis para infectar a víctimas reales, el proyecto está sin terminar y no funcionan todas las opciones. Me gustaría tener un feedback del troyano, saber si funciona todo, si hay errores, etc...

DESCARGA: [Enlace externo eliminado para invitados]



Listado de cosas a testear

Comprobar la multi-conexión infectando 2 o más equipos
File manager - Verificar que detecta todas las unidades del remoto
File manager - Verificar que se puede explorar los ficheros, incluso carpetas grandes
File manager - Verificar que se puede "subir" de carpeta sin errores
File manager - Verificar si funciona Execute File, Delete File/folder, CreateFolder
Process View - Verificar si funciona bien
Process View - Verificar si se puede "matar" procesos remotos
System Services - Verificar si funciona bien
Fun Manager - Probar el Speaker, abrir web's y abrir el CD
Remote Shell - Verificar si se ejecutan los comandos remotos
Comprobar las opciones de Restart, Stop y Remove
Comprobar que el cliente VBS funciona correctame, recopilació de datos correcta, autoinicio, ... etc

Cosas que no funcionan

File Manager: No puedes descargar, cargar ficheros, o renombrar
System Services: No puedes detener o iniciar servicios
Fun Manager: Falta mejorar el diseño y añadir opciones a esa sección
Spy Tools: Falta implementar, no hay nada
Remote Shell: No se puede leer el comando si hay un :: delante (es un fallo que solucionaré en breve)

No os preocupéis por las cosas que no funcionan, simplemente no las he programado todavía. La parte complicada ya está terminada, ahora solo falta dedicar horas para añadir opciones y solucionar los bugs que me podáis reportar. Cuando tenga los primeros feedbacks empezaré a desarrollar la siguiente versión.

Saludos y gracias a todos por participar!!

PD: Insisto que, como todas mis aportaciones, publicaré el SourceCode completo del proyecto para el disfrute de todos. No cabe decir que el binario está limpio, pero si desconfiáis usad máquinas virtuales.

Saludos :)

Ola Bro , te dejo los reportes que he mirado de momento ....

File manager - Solo me detecto a C ( tengo D i otros )
File manager - Verificar que se puede explorar los ficheros, incluso carpetas grandes ( tarda mucho , pero abre sin problemas )
File manager - Verificar que se puede "subir" de carpeta sin errores ( Me tira error para subir de carpetas )
File manager - Verificar si funciona Execute File, Delete File/folder, CreateFolder ( No he probado )
Process View - Verificar si funciona bien ( Perfecto )
Process View - Verificar si se puede "matar" procesos remotos ( Perfecto )
System Services - Verificar si funciona bien ( Perfecto )
Fun Manager - Probar el Speaker, abrir web's y abrir el CD ( Perfecto )
Remote Shell - Verificar si se ejecutan los comandos remotos ( no me anda )
Comprobar las opciones de Restart, Stop y Remove ( No me andam ninguna )
Comprobar que el cliente VBS funciona correctame, recopilació de datos correcta, autoinicio, ... etc ( No me ando el reinicio )


Esto testeado bajo Win7 32 Ultimate

Tu proyecto esta genial compadre , me gusta la interface e funciones , aun que yo sepa que te vas a mejorar mucho esto

De antemano , muy buen trabajo , esperando por la actualizacion



Saludos

Hola MadAntrax.
Ojala puedar terminar este troyano pronto.
Lo voy a probar.
Gracias por compartir che.

Creo que se vería bien con un fondo diferente en el banner para que resaltara más el nombre xD si gustas puedo ayudar en eso. aunque me agrada el estilo sobrio, me remonta a aquellos años mosos de mi juventud hace 12 años :P

Tested de "rápidito"

File manager - Verificar que detecta todas las unidades del remoto - Si
File manager - Verificar que se puede explorar los ficheros, incluso carpetas grandes - Si
File manager - Verificar que se puede "subir" de carpeta sin errores - Error
File manager - Verificar si funciona Execute File, Delete File/folder, CreateFolder - Si
Process View - Verificar si funciona bien - Si
Process View - Verificar si se puede "matar" procesos remotos - Si
System Services - Verificar si funciona bien - Listar, Si
Fun Manager - Probar el Speaker, abrir web's y abrir el CD - Si
Remote Shell - Verificar si se ejecutan los comandos remotos - Si, seria bueno agregarle vbHide
Comprobar las opciones de Restart, Stop y Remove - Restart Error, no se copia en %TEMP%, Stop Si, Remove/Uninstall Error
Comprobar que el cliente VBS funciona correctame, recopilació de datos correcta, autoinicio, ... etc Datos/Autoinicio Si

El proyecto se ve interesante, espero que compartas el código fuente por estos lares también
Salud!

se ve mui bueno , god job

Gracias por compartir





Sakudos...

gracias por compartirlo.

la conexion inversa es con http o https? :)

shinichi_kudo escribió:gracias por compartirlo.

la conexion inversa es con http o https? :)

La conexión es con peticiones GET/POST HTTP

Gracias por el primer feedback, es curioso que algunos os funcione una opción y a otros no les funcione. Tocará depurar... Intentaré programar un pequeño debugger para que me digáis exactamente en que línea os salta el error, a ver si lo puedo solucionar.

Gracias por vuestro tiempo!

bueno, te recomendaria que puedas hacerlo minimo con https o un protocolo encriptado para no tener algunos problemas con los IPS

tenes otro link alternativo, porque mediafire esta en mantenimiento!

saludos!

shinichi_kudo escribió:bueno, te recomendaria que puedas hacerlo minimo con https o un protocolo encriptado para no tener algunos problemas con los IPS

tenes otro link alternativo, porque mediafire esta en mantenimiento!

saludos!

No te entiendo, que tipo de problemas puede haber "con los IPS" si no utilizo https? (lo pregunto desde el desconocimiento)
Link alternativo, ahora mismo no dispongo de ninguno. No estoy en casa para volverlo a resubir :(

Espero que el mantenimiento termine pronto :P

buen trabajo MadAntrax.

madantrax

los IPS leen patrones en firmas como los AV.
entonces si en la red ven trafico sin cifrar pueden ver los comandos internos del protocolo enn este caso los del troyano y puede hacerse detectable de ese modo.
yo puedo filtrar en mi red cualquier trafico que responda como tu troyano al igual que un spy net.
vos podes infectar a una persona, pero si en la red detecta el troyano no vas a tener mas acceso.
por eso es la pregunta.
tambien me gustaria saber si usan banner como spy net entre otros. porque eso tambien es aprovechado para bloquear troyanos.
y algo que me pregunte en muchos troyans... si es que tiene banner. estaria buen oque sea customizable entre cliente/servidor.

saludos!

shinichi_kudo escribió:madantrax

los IPS leen patrones en firmas como los AV.
entonces si en la red ven trafico sin cifrar pueden ver los comandos internos del protocolo enn este caso los del troyano y puede hacerse detectable de ese modo.
yo puedo filtrar en mi red cualquier trafico que responda como tu troyano al igual que un spy net.
vos podes infectar a una persona, pero si en la red detecta el troyano no vas a tener mas acceso.
por eso es la pregunta.
tambien me gustaria saber si usan banner como spy net entre otros. porque eso tambien es aprovechado para bloquear troyanos.
y algo que me pregunte en muchos troyans... si es que tiene banner. estaria buen oque sea customizable entre cliente/servidor.

saludos!

¿IPS o ISP?

Y por cierto, ¿a qué te refieres con 'banners'?

@MadAntrax
Muy buen trabajo, es el primero RAT vbs que veo

IPS = intruder prevention system. es una de las funciones del IDS = intruder detection system.

lo de los banners me refiero a lo siguiente.

Trying 1.3.3.12...
Connected to 1.3.3.12.
Escape character is '^]'.

tentarnovamente|

ese banner sale en spy net y puedo bloquear las conexiones de ese troyano por eso