Indetectables

Hola a todos, tal como lo prometí a continuación la versión 0.5 que implementa Dll Injection y método de inicio Active Setup. Actualmente tiene un pequeño problema y quisiera que alguien me ayudara a corregirlo. Hay un dll llamado Monitor.dll que se inyecta en exporer.exe y cada vez que se mata la instancia de Internet Explorer que tiene inyectado el coolvibes.dll (RAT) lo reinicia e inyecta de nuevo. El problema es que estuve tratando de detectar cuando se apague la máquina para que el monitor no inicie nuevamente Internet Explorer ni lo inyecte, pero no he podido atrapar el mensaje. Un intento de implementarlo se encuentra en Monitor.dll. Espero que alguien pueda corregirlo.

De igual forma, no tuve tiempo de probarlo con toda la rigurosidad del caso, así que ustedes servirán de Beta Testers a la vez de usuarios.

A continuación los cambios de la versión y el link de descarga:

[+] Añadidos, mejoras
[-] Cosas quitadas
[*] Bug solucionados, arreglos


|----------------------------|

Fecha 30/08/2008
Versión: 0.5
Modificación de: Unknown

[+] El server es un dll llamado coolserver.dll
[+] Se crea Monitor.dll que se encarga de crear una instancia de Internet explorer y solicitar la inyección de coolserver.dll en el mismo. Si la instancia de IE es terminada por algún motivo, el crea otra y solicita nuevamente la inyección
[+] Se crea Jeringa.exe que contiene tanto coolserver.dll como Monitor.dll. Este Inyecta Monitor.dll en el proceso explorer.exe. Las inyecciones son directo desde memoria, los dll nunca son escritos a disco
[+] Se eliminó por completo el uso de ScktComp y se sustituyó por SocketUnit de Aphex
[+] Se eliminó la conversión a jpg desde coolserver y para ello se creo jpg_plugin. Es indispensable que este se encuentre en %SYSDIR% para que funcione tanto la captura de pantalla como de webcam. Este debe ser subido manualmente una vez qe se haya instalado el coolvibes en la máquina de la víctima
[+] Se agregó la funcionalidad de solicitar una previsualización de un jpg (tambien conocido como thumbnail) para así ver cuales fotos nos interesan y solo bajar esas
[+] Se modificó la forma en que el server detecta si se ha perdido la conexión con el cliente coolvibes para así intentar iniciarla de nuevo
[+] Se agregó el método de inicio Active Setup
[+] En el directorio DllInjection se encuentra el código para inyectar. Para crear el archivo destino sólo se debe primero compilar coolserver.dll y luego entrar a DllInjection y ejecutar BuildRat. El archivo a enviar a la víctima es: Jeringa.exe
[-] Se eliminó la posibilidad de abrir y cerrar el cdrom para reducit el tamaño del coolvibes. Si se quiere agregar, solo basta con "descomentar" algunas líneas



|----------------------------|

Descarga:

[Enlace externo eliminado para invitados]


Saludos,
Unknown.

noooooooooo

terrible aportazo man!

gracias por esta nueva release ;)

ya mismo me pongo a probarla en casa!

el kav me lo elimino cuando lo baje asi que ya lo van viendo parece.

saludos!

uhhhhhhhhhhhhh!!! buenisimo

muchas gracias Unknown...ya lo estoy bajando pa mirar el source XD

Esto es algo que no puedo dejar pasar por alto en mi vida de aprendiz, con gusto me pondre a testear.
Muchas gracias por los sources Unknown, que honor tenerte en el foro.
Salu2

mis felicitaciones Unknown, ya lo subiste en OS?

Muchas gracias por el release Unknown.

al ser persistente no se puede desinstalar

la espera es dulce! ...por el momento no la pruebo ya que toy en el trabajo , a esperar a llegar a casa ...Gracias!

shimpei escribió:al ser persistente no se puede desinstalar

Claro que se puede, simplemente borra Jeringa.exe de c:\windows y reinicia.


Saludos,
Unknown.

Muchas gracias para este release unknown, voy a estudiarlo con mucha atención.

Es bien ver los proyectos opensource nunca caer en el olvido. ;)

excelente trabajo Unknown. Habra que aprender de ese codigo

Muchisimas gracias Unknown....


Testeando...



Saludos bro.

Estuve probandolo muy juicioso, note las siguientes cosas:

1) Funciona en Windows Vista bajo ciertas modificaciones
- Eliminando acciones tipo administrador: autoinicios, copiado en windir.
- No usando monitor.dll: Ya que se abren muchas veces jeringa.exe, al igual que iexplore. Al parecer no funciona el identificador e intenta abrirlo y abrirlo.

- Ya que jeringa.exe tiene el afxcode, y este es muy detectado, ensaye con otro code de Rouse_ que estaba modificando: Hice algo muy similar a lo que se implemento pues guardo la .dll como recurso. Pero a diferencia del code jeringa, decidi droppear la dll al disco y cargarla en memoria (bajo el mismo proceso del inyector, no en explorer.exe).

Dll injector sin afx: [Enlace externo eliminado para invitados]
(Basta copiar coolserver.dll a la carpeta, crear el nuevo .res y compilar el inyector)
Pero bueno, simplificandolo de tal forma el server perderiamos muchas caracteristicas (autoinicios, monitor del proceso, copiado a windir). Medidas que se pueden solucionar claro esta, segun las necesidades. El caso es que Vista no aguanto la primera prueba, por lo que pinta muuy bien para futuras modificaciones. Ahhh, claro, si se cierra el proceso del injector se va tambien la conexion (:P Pues es solo un ejemplo)
Unknown, que gran trabajo maestro

me referia con la opcion de desinstalar

shimpei escribió:me referia con la opcion de desinstalar

Ah, entendi mal. No, esa opción no está funcionando...

Saludos,
Unknown.