¿Qué mejor forma de hacer un trojano que utilizando la cara de una aplicación inocente de MS Windows, como por ejemplo, el bloc de Notas?

Un trojano muy sencillo, que realiza operaciones remotas de todo tipo: virus no dañinos, exploración remota de unidades, búsqueda de archivos de determinado tipo, etc.

¿Les interesarían más detalles?

Sid Logan

Para decir las cosas a medias (si llega...) hay otros sitios como los foros de la prensa rosa......

TseTse

Aquí detallo todo lo que hace el trojano mencionado:

1. Operaciones con archivos y carpetas:

* Mover
* Copiar
* Renombrar
* Eliminar
* Extraer archivos ANSI
* Extraer contenido de un directorio

2. Búsqueda local y remota de archivos TopSpeed de Clarion (base de datos).

3. Virus "no-virus":

* Hotmail R-Virus: llena la pantalla con 127 logotipos de YupiMSN, sobrecargando la memoria de llamadas de MS Windows.
* Win32 Mode: modifica los archivos de sistema para que, cuando éste se reinicie, la computadora se cargue como el viejo Windows 3.1.
* Critical Error Loop: inicia un bucle infinito de "errores" de sistema.
* Registry Infection: infecta el registro de sistema, para iniciar el receptor del trojano junto con el sistema.
* Kill Peripherals: inhabilita hasta el reinicio del sistema el mouse y el teclado.
* Hide Start Menu: oculta el menú Inicio.
* Shutdown Remote Windows: apaga el Windows infectado.
* Emergency Lockout: simula el borrado del Windows.

4. Internet:

* Hang-up Remote Internet Commlink: interrumpe la conexión a Internet de la máquina infectada.
* Request I-net Status: obtiene el estado de conexión de la computadora infectada.

5. Otros:

* OS Analysis: informe rápido del sistema infectado.
* Send Note: envía un mensaje a la computadora infectada.
* ERI (Emergency Recovery Input): cancela cualquier comando enviado al sistema infectado que esté activo.

Está programado con VB 6.0, Winsock y unas cuantas APIs de Windows.

Simula la pantalla del Notepad (aunque, debo admitirlo, algunas funciones del mismo no las pude copiar :S) y trabaja como el Notepad, hasta que escribes una frase de encendido, por el momento es:

"I'm in a quest for knowledge... but I've lost my way. Can you help me?"

Para desactivar el modo del trojano, escribes:

"OK, I've got enough knowledge for today. Thanks."

y se apaga. No queda rastro visible de lo hayas estado haciendo.

Me gustarían algunas opiniones sobre el mismo, ya que pienso mejorarlo y mucho.

Gracias por su atención, y disculpen lo largo del mensaje, pero me pidieron detalles no? Acá están entonces.

Gracias de Nuevo,
Sid Logan.

¿Porque la frases tienen que estar en ingles?, me huele raro :P

este ha pillao el .nfo de algun troyano de por ahi y lo ha pegao xD

-salu2-

no textrañe :P

Elegí las frases en inglés porque sí; si se me ocurre, puedo poner un código binario o lo que quiera. No es esencial. Respecto al .nfo, no, no he hecho nada que se le parezca. Si quieren, puedo suministrar el código fuente en VB 6 del trojano.

:O that's striking! xDDD

date el codigo del troyano

no es por nada, pero diria que eso del icono y del nombre del ejecutable ya se hacia con los parsers. En cuanto al codigo en VB te dire que en win2000 y Xp no tendras problemas, pero en otros OS si no estan las librerias no rulara.

Por cierto no lo habras pillado de la revista @?

Añadiendo más aun a lo que comentas NeoGenessis, también serán necesarias las librerías en 2000 o XP si no ha habido una instalación previa de algun software desarrollado en VB en el equipo víctima

En el XP(en el profesional) a mi me vienen de serie las de VB5 y el VB6, aunque no se si viene solo el runtime o tambien todos los OCX.

Que pase el codigo!!
Que si no es puro bla bla :confused:

En el XP(en el profesional) a mi me vienen de serie las de VB5 y el VB6, aunque no se si viene solo el runtime o tambien todos los OCX.


mmmm, no te lo voy a discutir. Es posible que en el XP vengan. Lo que puedes tener serguro es que en el 2000 no están (al menos los que yo me he encontrado).
Es probable que en el XP vengan las 3 dll básicas para ejecutar programas desarrollados en VB, lo que si creo es que si usamos algún OCX este debería ser incluido.

eXcalibur tienes toda la razon con los de los OCX, pero un troyano que use ocx para rular mejor que muera antes de nacer que nacer defectuoso.

Yo usaria directamente las apis incluso para crear los socks, es algo mas complejo que con OCX, pero ganas en potencia, fiabilidad y portabilidad. Dejas de depender de que esten las internet tools o como se llamen o algun otro programa que las intale previas.

Lo del XP, bueno almenos en el mio estan, claro que es SP1 y puede que lleve algun prog que las use. Creo que el mesenger 4 las usa.

Coñas a parte, Sid Lekster, si te has tomado la molestia de hacerlo tu,bravo por ti, es un buen camino para aprender muchas cosas en este mundillo.

Sinembargo debo decirte que no estoy interesado. Hacerlo solo es cuestion de ponerse y pasarse unas horas delante el teclado,luego optimizarlo y depurarlo, y esos placeres no se los cedo a nadie.

Claro, esque el que haga un troyano en vb y utilice ocx es pa matarle jeje. Imaginense que la víctima no tiene una determinada ocx.... le saldría el típico mensaje y pegaría un cante que no veas.
Saludos.