[SOURCE] Troyano Gh0st rat
Publicado: 01 Oct 2009, 23:54
Troyano Gh0st rat
Ante todo, este troyano tan completo no lo he programado yo. Se trata del famoso troyano Gh0st rat; el mismo que hasta hace pocos meses utilizaba el gobierno chino, para espiar al Dalai lama y a una lista de embajadas enemigas. Esta es la versión 3.6 beta y esta programado en C++.
Entre las características que icluye:
Ventana principal
Creación del server
File manager
Visualizador de procesos
Captura de pantalla
Para compilar el código fuente se necesita tener instalado el Microsoft SDK 2003 que se descarga de aquí: [Enlace externo eliminado para invitados], el visual C++ 6.0 y opcionalmente, (si se quiere modificar un driver interno que incluye el servidor) el Windows DDK 3790.1830. Con estas herramientas compila sin fallo alguno.
El servidor no usa inyección en memoria, si no que se registra como servicio de Windows con privilegios de sistema.
Adjunto dos versiones diferentes del virus: El código fuente con los diálogos traducidos desde el chino al español, y el código fuente original (en chino).
También subo dos binarios diferentes, uno en inglés y otro traducido al español.
Advertencia
El código fuente original (la versión en chino) incluye la llamada a una función -killMBR()- que borra el MBR si alguien se atreve a modificar el Copyright del programa cliente. He desactivado esta llamada en la versión en español y tras una revisión superflua, el código fuente no parece incluir mas "trampas" de este tipo, así que absteneros de toquetear el código en la versión China sin antes haber borrado ese código.
Por otro lado, la versión en español que adjunto es una traducción poco rigurosa, pero es mas que suficiente para orientarse mínimamente con el código.
El proyecto esta muy avanzado y es completamente funcional, aún así espero que la gente se anime a toquetearlo y postee las mejoras en el código que le haga.
Se que esta afirmación es arriesgada, pero sin lugar a dudas este troyano es el mas avanzado que existe en la actualidad, muy por encima del Bifrost y Poison Ivy.
Hacer indetectable el server resulta trivial si se sabe modificar el código, con lo que aquí nos ahorramos modificar firmas o encriptadores.
Código fuente del programa:
Versión original
Traducción al español
Binarios del programa:
Versión en inglés:
Versión en Español:
Ante todo, este troyano tan completo no lo he programado yo. Se trata del famoso troyano Gh0st rat; el mismo que hasta hace pocos meses utilizaba el gobierno chino, para espiar al Dalai lama y a una lista de embajadas enemigas. Esta es la versión 3.6 beta y esta programado en C++.
Entre las características que icluye:
- Sin límite de conexiones(el troyano gestiona y balancea la red automáticamente)
- Conexión inversa
- Tamaño del servidor: 109 Kb
- Capturador de Pantalla con velocidad propia de un cliente VNC; capacidad de ajustar el algoritmo de compresión y profundidad de color. Control total de teclado y mouse remoto, con desplazamiento y doble click incluidos.
- Captura de web cam con posibilidad de compresión y grabado en vídeo de la imágen capturada
- Captura de micrófono (con envío y recepción de audio)
- Shell remota
- Keylogger (offline y online)
- Visualizador de procesos remotos, de contraseñas y de ventanas
- Explorador de archivos remoto
- Utilidad para reiniciar, cerrar la sesión y apagar el PC infectado
- Capacidad de abrir URLs remotas y de actualización del servidor
Ventana principal
Creación del server
File manager
Visualizador de procesos
Captura de pantalla
Para compilar el código fuente se necesita tener instalado el Microsoft SDK 2003 que se descarga de aquí: [Enlace externo eliminado para invitados], el visual C++ 6.0 y opcionalmente, (si se quiere modificar un driver interno que incluye el servidor) el Windows DDK 3790.1830. Con estas herramientas compila sin fallo alguno.
El servidor no usa inyección en memoria, si no que se registra como servicio de Windows con privilegios de sistema.
Adjunto dos versiones diferentes del virus: El código fuente con los diálogos traducidos desde el chino al español, y el código fuente original (en chino).
También subo dos binarios diferentes, uno en inglés y otro traducido al español.
Advertencia
El código fuente original (la versión en chino) incluye la llamada a una función -killMBR()- que borra el MBR si alguien se atreve a modificar el Copyright del programa cliente. He desactivado esta llamada en la versión en español y tras una revisión superflua, el código fuente no parece incluir mas "trampas" de este tipo, así que absteneros de toquetear el código en la versión China sin antes haber borrado ese código.
Por otro lado, la versión en español que adjunto es una traducción poco rigurosa, pero es mas que suficiente para orientarse mínimamente con el código.
El proyecto esta muy avanzado y es completamente funcional, aún así espero que la gente se anime a toquetearlo y postee las mejoras en el código que le haga.
Se que esta afirmación es arriesgada, pero sin lugar a dudas este troyano es el mas avanzado que existe en la actualidad, muy por encima del Bifrost y Poison Ivy.
Hacer indetectable el server resulta trivial si se sabe modificar el código, con lo que aquí nos ahorramos modificar firmas o encriptadores.
Código fuente del programa:
Versión original
Código: Seleccionar todo
http://depositfiles.com/files/v5aazl2shCódigo: Seleccionar todo
http://depositfiles.com/files/uqmntw625Versión en inglés:
Código: Seleccionar todo
http://depositfiles.com/files/r95bc33beCódigo: Seleccionar todo
http://depositfiles.com/files/qqqqo24b6