FAQ TROYANO AUTOEJECUTABLE Y AUTOINSTALABLE CON EL RADMIN Y EL SETUP

GENERATOR PRO.

Hola:
Cuando salió el tema de hacer este post, pensé que no seria muy complicado, y no lo es,
pero varia considerablemente con respecto al anterior faq, donde usábamos el serv-u.
¿Porque?, La razón es que los datos que necesitamos pasar al programa, como puerto,
esconder el icono, pass, hay que meterlos en código Hexadecimal, y encima la pass, va
¡¡¡encriptada!!!!.La cosa se complica para un post "chuleta", aunque volviendo a leer la
revista, "entiendo"que en su momento nos explicaran código binario, hexadecimal, Bcd etc.,
así que tenia que buscar algo más fácil de desarrollar, de la encriptación de la pass, ni
hablamos, al principio pensé que era código Base64 o tal vez Wartar, creo que es una
modificación del mismo mas compleja.

También esta el tema del archivo regedit, todo un reto, pero aquí si que la revista parece
que en su momento hablara largo y tendido.

Por todo lo expuesto anteriormente este faq, se queda algo "cojo" de explicación, pero al
menos espero que nos sirva para probar el funcionamiento y "picar" la curiosidad de la
mayoría.

Bueno, y ahora si, empecemos, la idea es meter en un archivo instalable el programa

radmin, de forma que la victima lo instale en su ordenador y este permanezca oculto y listo
para poder dar servicio como troyano.
Parto de los supuestos de que tenemos un solo ordenador, y que el troyano lo vamos a hacer
pasar por un parche de Java para IE6 (bueno, añadirle un disfraz y por ejemplo el programa
de enviar ip, es releer el post de la faq anterior)

Paso 1.-) Instalamos como nos enseño la revista el programa radmin en nuestro ordenador.

Paso 2.-)Creamos una carpeta en C con el nombre por ejemplo TroRad, dentro de esta
carpeta, creamos una con el nombre Troyano y otra con el nombre Salida.

Paso 3.-)Si realizamos la instalación tal y como la revista nos enseño, tendremos en la ruta
C:\Archivos de programa\radmin, los archivos del programa, copiaremos el archivo
r_server.exe y el AdmDll.dll, a la carpeta que creamos anteriormente c:\TroRad\Troyano.

Paso 4.-)Utilizando por ejemplo un programa tipo ResHack, editaremos el exe, cambiaremos
todos los iconos de la aplicación. Después le cambiamos el nombre, por ejemplo javaie.exe,
el dll, dejarlo como esta.

Paso 5.-)Abrimos el Setup Generator Pro(hay otros empaquetadores, seguramente mejores

que este, pero ya que empezamos con el ...., aunque básicamente son todos
parecidos).Creamos un nuevo proyecto, por ejemplo Rad, y empecemos, en el apartado
salida, Directorio de salida, ponemos o buscamos C:\TroRad\Salida; Nombre del fichero
ejecutable, javaie.exe.El resto como esta.

Paso 6.- En el apartado General, Nombre de la aplicación, pondremos, ya que hemos dicho
que esto era un parche, "Actualización Java para Internet Explore 6”,lo mismo en Titulo o
nombre de la ventana, el resto como esta.

Paso 7.-)En el apartado al comienzo, desmarcamos predeterminado, en camino

personalizado ponemos C:\WINDOWS\SYSTEM y marcamos forzar el camino
predeterminado. El resto como esta.

Paso 8.-) En el apartado Ficheros, pulsamos el símbolo "+", nos aparece una pantalla:
En fichero fuente ponemos o buscamos: C:\TroRad\Troyano\javaie.exe
Camino predeterminado: WINSYS PATH
Si el fichero existe en el destino: Sobrescribir
marcamos la casilla No desinstalar.
El resto como esta

Paso9.-)Repetimos lo mismo con el archivo AdmDll.dll, la única diferencia con el anterior es

En fichero fuente ponemos o buscamos:C:\TroRad\Troyano\AdmDll.dll

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

Paso 10.-)En la pestaña Ventana de progreso, desmarcamos, Mostrar ventana de progreso.

Paso 11.-) Bueno, hasta aquí, fácil, como el anterior FAQ(el del serv-u), ahora nos toca algo
mas lioso, intentaré no complicarlo mucho, y eso sí, os pido "un acto de fe", en algunos
apartados. Antes de empezar, el que tenga que ir al baño que aproveche
ahora,.......¿ya?....., Venga, empecemos.

Introducción: En este apartado, INI/Registro, introduciremos claves y datos en el archivo

regedit, ¿y eso que es?, bueno, explicándolo de alguna manera simple, es un archivo que
contiene los datos y valores, de funcionamiento y comportamiento del software que tenemos
cargado, incluidos el de sistemas, aplicaciones y programación. Es un archivo
importantísimo, recomiendo, antes de nada, hacernos la correspondiente copia de seguridad,
una mala acción sobre este archivo, y a formatear de nuevo, así que precaución
compañeros. Supongo que la revista en su momento incluirá un articulo sobre este archivo,
así que para nosotros de momento vale, aunque no estaría de mas una gira por google.

Bien , con lápiz y papel(bueno el Notepad también sirve), empezamos la siguiente

configuración, abrimos la ventana del dos, vamos al directorio C:\TroRad\Troyano y
escribimos javaie /setup
nos aparece una ventana "Options for remote Administrator Server 2.1"(pagina 29 HcK n.-
4), en ella veréis varios botones, buscamos el que pone "Set password", nos aparece una
ventana donde pondremos la pass que queramos(mas de ocho letras), por ejemplo
"yyoquese",por supuesto la apuntamos, vale cerramos y le damos al botón Options..(misma
pagina de HcK), nos abre una pantalla y marcamos "Hide tray icon"(no es que haga falta,
pero para explicar mejor), después cambiamos el port, por ejemplo el 6538, antes
desmarcamos "use default port", y también lo apuntamos. Listo, le damos a OK y luego a
exit.

Hasta aquí, bien, ahora vamos a inicio/ejecutar y escribimos regedit, se nos abrirá una
especie de explorador de Windows un tanto raro, en el, veréis a la izquierda, una especie de
carpetas, nos fijaremos en una que pone HKEY_LOCAL_MACHINE, le damos al mas, después
a System-RAdmin-v2.0-server-parameters.
una vez aquí estaremos en la "ruta"
HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters
a la derecha veremos una serie de datos (leer de nuevo la paginas 38 y 39 de la revista), y
hay tenemos nuestra solución para que el troyano se ejecute oculto.

Tenemos que fijarnos concretamente en tres entradas, Port, Parameter y DisableTrayIcon.

en Port pondrá(si pusiste antes 6538) 8a 19 00 00, te lo creas o no, es lo mismo pero en
hexadecimal. Apuntemos lo que nos da, recuerda que si pusiste otro puerto, este valor en
hexadecimal variara.

En DisableTrayIcon pondrá 01 00 00 00, esto oculta el icono del programa, si no lo

hubiéramos marcado pondría 00 00 00 00.

En Parameter pondrá 16 pares de letras y números, por ejemplo 2e 89 5f., eso aunque no te
lo creas, es el password que pusiste(recuerda "acto de fe"), vale, cópialo con cuidado de no
equivocarte, serán números del 0 al 9 mas letras a,b,c,d,e,f, o sea código hexadecimal, pero
encima esta encriptado.

El resto, aunque tiene muchos cosas interesantes, de momento no nos interesa, cerramos el
regedit.

¡¡¡UUfff!!!!, este paso hay que volver a leerlo con cuidado.

Paso 12.-)Vamos a lo fácil, apartado INI/Registro, le damos al mas, y nos abre la ventana
para poner datos:

Clave de registro: HKEY_LOCAL_MACHINE

Subclave:System\RAdmin\v2.0\Server\Parameters
Nombre del valor: Parameter
Tipo de valor: Binario

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

Valor: aquí hay que meter la retahíla(16 pares-32 letras y números) que copiamos
anteriormente, por ejemplo 2e895fb9fb899898de5fd35b60d0fda9 , ATENCION, NO METER
ESPACIOS, TODO SEGUIDO.
Esto era el password, ahora vamos a por el Port.

Clave de registro: HKEY_LOCAL_MACHINE

Subclave:System\RAdmin\v2.0\Server\Parameters
Nombre del valor: Port
Tipo de valor: Binario
valor: 8a190000, ATENCION, NO METER ESPACIOS, TODO SEGUIDO,
este seria si pusiste 6538

Bueno, nos queda ocultar el icono

Clave de registro: HKEY_LOCAL_MACHINE

Subclave:System\RAdmin\v2.0\Server\Parameters
Nombre del valor: DisableTrayIcon
Tipo de valor: Binario
valor: 01000000, ATENCION, NO METER ESPACIOS, TODO SEGUIDO.

Ahora hagamos que se arranque siempre que iniciemos el ordenador

Clave de registro: HKEY_LOCAL_MACHINE
Subclave:SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nombre del valor: Machine Java ("puede ser el que querais, pero que cuele")
Tipo de valor: Alfanumerico
Valor: javaie.exe("o el nombre que tu pusiste".

Casi hemos terminado.

Paso 13. -) En la pestaña Accesos directos, desmarcamos Predeterminado y en opciones

desmarcamos también Abrir grupo de programa.

Paso 14.-)Al Finalizar, en la pestaña desinstalar, desmarcamos incluir desinstalador, y en la

pestaña ejecutar:
Ejecutar tipo: Aplicación
Camino predeterminado: WINSYS PATH
nombre del fichero: javaie.exe
parámetros de la línea de comando: /pass:yyoquese /port:6538 ("lo que tu pusieras")
Directorio de trabajo: WINSYS PATH
Cuando ejecutar: Al final
Esto lo que hace es arrancar el troyano sin necesidad de reiniciar.

En la pestaña Diálogos, podemos poner en texto al finalizar, algo así como "Terminada
actualización de Java para Internet Explorer 6". (recordar que estamos hablando de un
parche)

Paso 15.-) pulsar el icono de Crear, y tendremos en la carpeta c:\TroRad\Salida

nuestro troyano listo para enviar.

A esto se le puede añadir cualquier programa, por ejemplo el de "enviar la ip", en el mismo
empaquetado, mirar los post:
http://www.hackxcrack.com/phpBB2/viewtopic.php?t=1323&highlight=
http://www.hackxcrack.com/phpBB2/viewtopic.php?t=1181

Hay otras maneras y muchas mas opciones, tanto del programa como de la forma de
empaquetarlo, esta bien para empezar a practicar, y que cada uno aplique las modificaciones
que más le convengan en cada momento.

Esto esta probado en win98/me, acceder al registro en sistemas operativos "de

verdad"(léase NT/2000/xp), es más complejo, la revista ya comento que pondría un articulo.
Lo mejor seria probar nuestros inventos con algún amigo o compañero de aventuras, o

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

mejor aun, hacernos con algún ordenador de segunda mano, no sale tan caro, por algo
menos de 80 euros, tenéis en Internet Pentium 133 completos con monitor, tarjeta de red,
etc., le cargáis win98 y a probar, yo lo tengo así, una red con varios ordenadores de segunda
mano.

Pues nada, que lo "Disfruten" con salud.

Un saludo

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"