• Troyanos y Herramientas

  • Comparte herramientas de administración remota y otras variantes de malware. Y acompaña una breve descripción de los mismos.
Comparte herramientas de administración remota y otras variantes de malware. Y acompaña una breve descripción de los mismos.
 #489610  por M3
 17 Nov 2016, 21:53
davinciomar escribió:despues de probarlo con mas cautela solo me queda decirle enhorabuena al autor, es impresionante!
Una pregunta que es lo que hace cargar en memoria?

Ola bro , imagino que esteas hablando de la opcion ejecutar en memoria desde el RAT

Esta opcion te lo carga un binario en memoria ( igual que un crypter ) la diferencia es que el archivo (encryptado o no ) se lo cargara desde la conexion tcp enviado por el RAT y cargado en memoria por el servidor
igual que un crypter por asi decir

me alegro que te tenga gustado el RAT

reportes y ideas siempre son bienvenidas


Saludos
 #489614  por davinciomar
 18 Nov 2016, 00:44
bueno te voy a comentar un fallo que no es importante pero bueno en opera cuando le pones capturar la pass probe con mi pc y el navegador opera y me mostro vacio sin campos a pesar de que las tenía guardadas. en chrome y firefox da fallos creo pero a lo mejor por alguna actualización. pero es lo menos importante ya que el rat funciona de +10 así que enhorabuena!
 #489620  por davinciomar
 18 Nov 2016, 17:43
te voy a comentar otros errores el servidor muchas veces es muy dificil cerrar la conexión y creo que una opcion para que se borre le vendría muy bien ya que así si uno lo quiere borrar no queda rastro digamos a la hora de los antivirus va a ser más dificil de detectar.
 #489621  por M3
 18 Nov 2016, 19:56
davinciomar escribió:bueno te voy a comentar un fallo que no es importante pero bueno en opera cuando le pones capturar la pass probe con mi pc y el navegador opera y me mostro vacio sin campos a pesar de que las tenía guardadas. en chrome y firefox da fallos creo pero a lo mejor por alguna actualización. pero es lo menos importante ya que el rat funciona de +10 así que enhorabuena!

Si , algunas x pasa error , per por enviar y cargar una dll en el remoto por tcp , estoy arreglando eso , pero se intentas una x más te volve la password si el user la tiene !

te voy a comentar otros errores el servidor muchas veces es muy dificil cerrar la conexión y creo que una opcion para que se borre le vendría muy bien ya que así si uno lo quiere borrar no queda rastro digamos a la hora de los antivirus va a ser más dificil de detectar.
Hola bro , probaste las funciones ( cerrar servidor ) y ( remover servidor ) y no te funcionam ?

Saludo y gracias por el reporte !
 #489623  por davinciomar
 19 Nov 2016, 00:49
Probe desinstalación y a la primera me funciono. No se porque cuando cerraba el servidor se volvia a conectar y puede que por eso no podia borrarlo cuando le daba a desinstalar. A lo de opera intente pero no funciono. Puede que sea un caso aislado o solo me este ocurriendo a mi suele devolver vacio cuando yo puse guardadas mis claves. De todos modos chekeare más a ver si soy solo yo el que le sucede.
 #489627  por davinciomar
 20 Nov 2016, 00:25
tienes razón compañero funciona bien con opera !
 #489652  por circunsxik
 22 Nov 2016, 11:43
M3 estaba probando la nueva versión, y ayer infecte uno y fue perfecto durante 1h luego lo cogió el antivirus (defender). Hoy lo iba a probar en otro PC y he generado otro servidor comprimido en low y solo copiarlo ya lo ha detectado y lo ha borrado el defender...

Eso si, el tiempo que pude probarlo se veía muy estable y rápido. El desktop funcionaba genial. No tuve mas tiempo para probar gran cosa mas.
 #489653  por davinciomar
 22 Nov 2016, 12:19
a mi no me muestra el país no si pasa amenudo o no pero no puedo el país
 #489654  por M3
 22 Nov 2016, 17:39
davinciomar
De que pais eres compa ?
circunsxik
Gracias por tomar su tiempo bro , me alegro que te anduvo bien ahora




Gracias por los reportes compadres , ao parecer la coneccion va bien

Alguno he tenido problemas con la conexion de remotos ? les anda bien ahora ?

Una tonteria que paso a mi y a más de uno puede pasar

No lo he usado troyanos hace mucho tiempo , andava medio oxidado en esto , pero me puse a meter unos a la Red a ver se me descargavam y me paso lo seguinte :

Muchos lo descargavam , lo ejecutava y a la primer vez me ejecutava y conectava el troyano , pero ao dia seguinte o en el mismo dia , ya no conectava más a mi , y no sabia que pasava en esto

He sacado lo seguinte , quando el archivo es descargado de la internet , salta la pantala del user ao ejecutar-se se deseas mismo ejecutar el archivo , mismo en cuando se auto copiava en el sistema , siempre salta ao hacer un boot en el PC

Luego lo bloqueam , yo lo solucione com un downloader , un downloader que lo ejecuta y listo , no salta el cartel ao hacer el boot o a la primer ejecuccion del troyano , solo salta el cartel a la primera vez que se descarga el downloader

Listo , me conectam normal ahora

Muchos ya lo sabem , pero a alguno va a servir este dato

Un saludo
 #489655  por davinciomar
 22 Nov 2016, 17:51
m3 la conexión la hace bien. creo que sino cogía el país era porque era venezuela y la bandera a lo mejor no está. Bueno otra cosa es la cmd creo que el servidor esta en cmd y muchas cuando se cierra la consola salta lo digo porque me ha pasado. Normalmente creo que es mejor que cuando se compile creo no estoy seguro tengo formato gui o formulario y ocultar para que no se vea no estoy seguro a lo mejor me equivoco. Lo que no entiendo es el modo que no es administrador ¿se puede iniciar cuando reinicias la pc? es decir funciona el startup en modo no administrador porque a mi me ha funcionado. Y no conocía esa manera porque normalmente que yo sepa era visible en el administrador de tareas en los servicios o inicio. Un salu2!
 #489663  por davinciomar
 23 Nov 2016, 12:40
tambien tengo que decir que lo que más me ha gustado de todo ha sido el escritorio remoto no sé como lo haras pero a pesar de que se cierre el programa principal el escritorio remoto sigue. Es decir, que es como una parte separada o algo de esto creo que lo pusistes. Al ser una pieza separada ya que tuve problemas con esto porque el mío no funcionaba con sockets y la transferencia de archivos a no ser que haga una petición http no es buena por lo que más seguro intente de otra manera.
 #489664  por davinciomar
 23 Nov 2016, 12:52
en cuanto a la manera de esconderte del taskmanager creo que usas Userinit con permisos de administrador lo suyo sería buscar una manera sin permisos. Y no sé si ocultaras el archivo con attrib -s -h es una buena manera de evitar que lo borren es solo por si no lo conocias o no lo hicistes aunque creo k lo usastes
 #489666  por davinciomar
 23 Nov 2016, 13:28
en cuanto a lo de admin si eres admin puedes inyectar a un proceso del sistema para que no puedan matar el proceso desde taskmanager. pero eso ya para gustos los colores
 #489672  por circunsxik
 23 Nov 2016, 18:57
Estoy usando la versión 0.9.3 y el cliente me falla nadamas darle a conexión/iniciar. Y no puedo usarlo, al cerrar el error se cierra todo. No se porque estara pasando esto... He probado de borrarlo y volver a descomprimirlo y iniciarlo y nada... lo mismo...

Sale este error:

Line 17534 (File "IndRat.exe"):

Error: Array variable has incorrect number of subscript dimension range exceded.
  • 1
  • 57
  • 58
  • 59
  • 60
  • 61
  • 65