Mostrar mensajes previos
Ordenar por
por gryphus_d Sin sí­ntomas
Troyano Gh0st rat
Ante todo, este troyano tan completo no lo he programado yo. Se trata del famoso troyano Gh0st rat; el mismo que hasta hace pocos meses utilizaba el gobierno chino, para espiar al Dalai lama y a una lista de embajadas enemigas. Esta es la versión 3.6 beta y esta programado en C++.
Entre las características que icluye:
  • Sin límite de conexiones(el troyano gestiona y balancea la red automáticamente)
  • Conexión inversa
  • Tamaño del servidor: 109 Kb
  • Capturador de Pantalla con velocidad propia de un cliente VNC; capacidad de ajustar el algoritmo de compresión y profundidad de color. Control total de teclado y mouse remoto, con desplazamiento y doble click incluidos.
  • Captura de web cam con posibilidad de compresión y grabado en vídeo de la imágen capturada
  • Captura de micrófono (con envío y recepción de audio)
  • Shell remota
  • Keylogger (offline y online)
  • Visualizador de procesos remotos, de contraseñas y de ventanas
  • Explorador de archivos remoto
  • Utilidad para reiniciar, cerrar la sesión y apagar el PC infectado
  • Capacidad de abrir URLs remotas y de actualización del servidor
Unas pequeñas imágenes de muestra:

Ventana principal

Imagen


Creación del server

Imagen


File manager

Imagen


Visualizador de procesos

Imagen


Captura de pantalla

Imagen


Para compilar el código fuente se necesita tener instalado el Microsoft SDK 2003 que se descarga de aquí: [Enlace externo eliminado para invitados], el visual C++ 6.0 y opcionalmente, (si se quiere modificar un driver interno que incluye el servidor) el Windows DDK 3790.1830. Con estas herramientas compila sin fallo alguno.

El servidor no usa inyección en memoria, si no que se registra como servicio de Windows con privilegios de sistema.
Adjunto dos versiones diferentes del virus: El código fuente con los diálogos traducidos desde el chino al español, y el código fuente original (en chino).
También subo dos binarios diferentes, uno en inglés y otro traducido al español.

Advertencia
El código fuente original (la versión en chino) incluye la llamada a una función -killMBR()- que borra el MBR si alguien se atreve a modificar el Copyright del programa cliente. He desactivado esta llamada en la versión en español y tras una revisión superflua, el código fuente no parece incluir mas "trampas" de este tipo, así que absteneros de toquetear el código en la versión China sin antes haber borrado ese código.
Por otro lado, la versión en español que adjunto es una traducción poco rigurosa, pero es mas que suficiente para orientarse mínimamente con el código.

El proyecto esta muy avanzado y es completamente funcional, aún así espero que la gente se anime a toquetearlo y postee las mejoras en el código que le haga.
Se que esta afirmación es arriesgada, pero sin lugar a dudas este troyano es el mas avanzado que existe en la actualidad, muy por encima del Bifrost y Poison Ivy.
Hacer indetectable el server resulta trivial si se sabe modificar el código, con lo que aquí nos ahorramos modificar firmas o encriptadores.

Código fuente del programa:
Versión original

Código: Seleccionar todo

http://depositfiles.com/files/v5aazl2sh
Traducción al español

Código: Seleccionar todo

http://depositfiles.com/files/uqmntw625
Binarios del programa:
Versión en inglés:

Código: Seleccionar todo

http://depositfiles.com/files/r95bc33be
Versión en Español:

Código: Seleccionar todo

http://depositfiles.com/files/qqqqo24b6
Última edición por gryphus_d el 02 Oct 2009, 00:26, editado 2 veces en total.
por NARCIS Baneado ;(
Bien man gracias x tu post se ve bueno el rat joder pero no me arriesgo a descargarlo acabo de formatiar ojala no venga con regalito kien se le mide? xD "no te ganes una "


Imagen
por gryphus_d Sin sí­ntomas
jaol, es totalmente confiable, pero si no te fías compílalo tu mismo, o bien ejecuta el binario en un entorno controlado. El código fuente incluye una Dll y un driver compilados, así que es posible que el antivirus te advierta al descargar este.
por polifemo Usa camisa de fuerza
Interesante gryphus_d.... Muy interesante....

Lo había visto hace como 2 meses por la Web... y no me detuve a probarlo... Parece un lindo troyano.... Pero también me parece muy aventurado afirmar que es el mejor troyano de la actualidad....

Lo estoy probando y funciona bien... lo sigo testeando y sigo comentando....

Ah!, por cierto... parece limpio... no veo conexiones saliendo (por ahora)...

Muchas gracias por compartir amigo...

Los AV ya se hicieron un "picnic" con el server...

Report generated: 2.10.2009 at 1.47.30 (GMT 1)
Filename: server.exe
File size: 109 KB
MD5 Hash: bbf4273ef19f6d1003d7a8e1901308dd
SHA1 Hash: 3167E52FAE5D3CF4100FC369EA30373BB466F6AB
Self-Extract Archive: Nothing found
Binder Detector: File is possible binded with malware
Detection rate: 21 on 23

Detections

a-squared - Trojan-GameThief.Win32.Magania!IK
Avira AntiVir - TR/Rootkit.Gen
Avast - Win32:Dialer-1314 [Trj]
AVG - Dialer.SNQ
BitDefender - Trojan.Agent.AISD
ClamAV - Dialer-3718
Comodo - TrojWare.Win32.Trojan.Dialer.~AL
Dr.Web - BackDoor.Pigeon.12989
Ewido - Trojan.Dialer.bhs
F-PROT6 - W32/Trojan2.BOEU
Ikarus T3 - Trojan-GameThief.Win32.Magania
Kaspersky - Trojan.Win32.Dialer.bkm
McAfee - BackDoor-DVB.e trojan
NOD32 v3 - Win32/Dialer.NEW
Norman - Trojan W32/Dialer.CGKI
Panda - Generic Malware
QuickHeal - Backdoor.Farfli.a
Solo Antivirus - -
Sophos - Troj/Farfli-Gen
TrendMicro - -
VBA32 - Trojan-GameThief.Win32.Magania.actz
VirusBuster - Trojan.Dialer.MFW
ZonerAntivirus - Trojan.Dialer.BKM


Saludos
Imagen


El que comió... cree que todos comieron...
por pikolin Sin sí­ntomas
q este troyano no traia regalo chino??? detodos modos no me fia.. me qdo con bifrost
por Matatán Incurable
Este troyano ya estaba en la zona analisis por que traia una dll sospechosa,aparentemente esta limpio...

Igual revisenlo para su tranquilidad...Segun dicen la captura de pantalla es exelente...

SAlu2
#Brrr :boxing:
por wayzoken Se medica
por fabor alguen de buen corazon re upload a mediafire u otro server que en mi pais este servidor pasa
sobrecargado
gracias
por Full Hack Delirios esporádicos
Muy bueno pero el keylogger ni las contraseñas funcionan en 7 y vista tipico de estos troyanos antiguos...

Si modificaran eso y le agregaran un binder me quedaria con el..
por munsy_05 Sin sí­ntomas
Si el server es infectado en un vista, funciona?
por Rascapiedra Sin sí­ntomas
Que lindo se ve... La ventana principal tiene una pinta de poison ivy tremendo jeje.. cuando confirmen si esta limpito lo descargo porque no puedo instalar la VM
Imagen
por bloodday Delirios esporádicos
es facil comprobarsi esta limpio viendo los fuentes, ademas segun ve nuestro amigo poli por ahora parece limpio.

ahora es un fuente, debe ir en fuentes t textos de programacion

por suerte tienen a super Blood con ustedes

saludos tema movido
//No estan permitidos los refer en este sitio.

SI ERES CHAVISTA Y HONESTO NO ERES INTELIGENTE.
SI ERES CHAVISTA E INTELIGENTE NO ERES HONESTO.
SI ERES INTELIGENTE Y HONESTO NO ERES NI SERAS NUNCA CHAVISTA.
por masangel Se conecta desde un manicomio
o se ve bueno este este rat
Haber si si me animo a provarlo
Mi blog

www.MasaSoftware.blogspot.com

Encontraras herramientas como el Masacrypter mods Indetectables joiner

___________
por orionkurt1 Sin sí­ntomas
me llama la atencion.. quien lo compila ? XD
Imagen
Imagen
Imagen
Imagen
Imagen
Imagen
por tripleh Delirios esporádicos
voy a probarlo, intentare no tocatearle mucho xk aun me petara a mi xd
por linkgl Usa camisa de fuerza
este me servira mucho para ver como funciona un troyano en C++ y programar el mio
//mHmm..
Temas similares
android troyano rat por Krampus en Dudas y Preguntas
[Android] CraxsRat V7.4 (RAT + Source Code) por DSR! en Troyanos y Herramientas
RAT VB.NET Basic Rat por motherfukers en Troyanos y Herramientas
Links sobre el tema
Variantes de tema
Cerrado

Volver a “Otros lenguajes”