Lun Ene 03, 2011 2:09 pm
AQui les dejo esta botnet que encontre en inde.. es opensource
queda para que vean, (nos libramos de responsabilidad)
=== DESCRIPCIÓN ===
=== MANUAL DE USUARIO ===
Una
vez configurado, será necesario crear la base de datos. Para ello será
necesario cargar el script ‘db.sql’ adjunto en el proyecto, el cual
creará la estructura de tablas necesarias. Esto puede ser realizado con
aplicaciones como ‘HeidiSQL’ o ‘PhpMyAdmin’ entre otras.
Una
vez ejecutado el script podremos acceder a nuestro panel de
administración de zombies. Las credenciales de acceso por defecto son
thesur\thesur. Pueden ser cambiadas desde la tabla ‘usuarios’ de la base
de datos.
Una
vez dentro, si hemos realizado la infección de algún equipo,
visualizaremos un panel que nos informará de la lista de zombies
conectados ordenados por cada país.
Si
hacemos clic sobre ‘Ver opciones’ podremos ver una lista detallada de
la información de cada zombie en cada país. A continuación se muestra
una captura de pantalla en donde se ven los datos correspondientes a los
zombies localizados en España.
En el menú superior localizado en
la parte superior izquierda están disponibles las distintas formas de
dar ordenes a los zombies. ‘OnRuntime’ y ‘OnJoin’.
Las
ordenes ‘OnRuntime’ son enviadas a todos los zombies conectados en ese
mismo momento a la botnet. Sin embargo, las ordenes ‘OnJoin’ son
ejecutadas automáticamente por los zombies cada vez que estos se
conecten a la botnet.
Si accedemos a cualquiera de las dos opciones, veremos un menú similar al siguiente:
Desde
aquí se pueden llevar a cabo los ataques de denegación de servicio
mediante conexiones TCP (Ejpl: Para tumbar un servicio SMTP), UDP (Ejpl:
Consumir el ancho de banda de una servidor), o HTTP (Ejpl: Consumir el
máximo de sockets permitidos por un servidor web).
El número de
sockets indica el número de conexiones concurrentes que mantendrá cada
zombie contra el servidor, y ‘kb/s por socket’ indica el tamaño de cada
paquete enviado por cada socket en kilobytes.
• Creación del zombie
Para
la creación y configuración de un zombie con el que llevar a cabo la
infección de equipos, es necesario la aplicación C&C.exe y hacer
clic en ‘ADN’. Indicar en el cuadro de texto el ADN que se utilizará
para la generación del zombie y hacer clic en el botón ‘Siguiente’.
A continuación se comentan cada uno de los distintos parámetros:
1. Regedit Name: Nombre de la clave de registro utilizada para la ejecución del zombie en cada inicio del sistema.
2.
Install Name: Nombre con el que se copiará el zombie en disco
(Ubicación %userfolder%/AppData/Local/[InstallName]). El zombie
ejecutará el loader en caso de que este sea cerrado. Es FUNDAMENTAL no
especificar en este campo un nombre de un proceso existente (Ejpl: No
introducir ‘explorer.exe’)
3. Loader name: Nombre con el que se
copiará en disco el loader en disco (Ubicación
%userfolder%/AppData/Local/[LoaderName]). El loader ejecutará el zombie
en caso de que este sea cerrado. Es FUNDAMENTAL no especificar en este
campo un nombre de un proceso existente (Ejpl: No introducir
‘explorer.exe’)
4. C&C Panel (URL): El directorio donde hemos instalado nuestro panel de administración (Ejpl: [Tienes que estar registrado y conectado para ver este vínculo]). Es posible utilizar tanto HTTP como HTTPS para cifrar los datos y evitar la detección de posibles ID’S en la red.
Finalmente,
hacer clic en ‘GENERAR’. Una vez finalizado se creará un ejecutable con
el nombre ‘Zombie_X.exe’, el cual está listo para ser desplegado y para
comenzar a crear nuestra botnet.
Adicionalmente, recomiendo que
una vez se haya generado el zombie, se le apliquen técnicas de
ofuscación para sus métodos y atributos. Esto puede realizarse con la
aplicación gratuita ‘EazFuscator.NET’.
=== CHANGELOG===
3.0RC
C&C
- Migración del antiguo panel de control (aplicación de escritorio) a una aplicación web (PHP+MySQL).
- Añadido UDP DDoS y HTTP DDoS.
ZOMBIE
- Migración de comunicación por IRC a HTTP o HTTPS
- Añadido UDP DDoS y HTTP DDoS.
- De nuevo indetectable :)
2.1
C&C
- Interfaz simplificada (Y generación del manual de usuario)
2.0
C&C
- Generador de zombies con su propia configuracion
ZOMBIE
- loader y prablinha ""NO"" se cierran al detectar el taskmanager, processmonitor
1.1
C&C
- nuevo algoritmo de generacion de canales (pierde compatibilidad con versiones anteriores)
- visualizacion de la lista de zombies y su geolocalizacion.
- añadido el comando PRIVMSG, UPDATEZOMBIESINFO y ANSWERONCHANNEL
- soporte multicanal cuando se detectan mas de 100 zombies por canal
ZOMBIE
- nuevo algoritmo de generacion de canales (pierde compatibilidad con versiones anteriores)
- generacion de un nuevo canal cuando se alcanzan los 100 zombies por canal
- deteccion de K-Lines y G-Lines, cambian al servidor alternativo.
- Permite que los zombies respondan por privado en vez de por canal (comando ANSWERONCHANNEL on|off).
- configurable el numero de kbs/s en cada socket en el tcpflood (tcpflood start IP PORT SOCKETS [KBS]).
- el zombie envia geolocalizacion ip al entrar al canal o mediante el comando UPDATEZOMBIESINFO
- infección más persistente. Sobreescritura de los binarios y del registro.
- instalacion de un loader que llama a la prablinha y viceversa cuando esta se ha cerrado.
- loader y prablinha se cierran al detectar el taskmanager, processmonitor o processexplorer
- La conexion a la botnet se realiza en la primera ejecucion
- Añadido el comando UPDATEZOMBIESINFO y ANSWERONCHANNEL
1.0
C&C
- comunicacion encriptada.
ZOMBIE
- Instalacion como CurrentUser (registro)
- comunicacion encriptada.
- tcpflood a IP y puerto, enviando 50kb/s por cada socket (nº de sockets personalizable).
- generación de owners, canal y clave aleatoria cada mes.
- descarga y ejecucion de ficheros.
- ejecucion de ficheros.
- La conexion a la botnet se realiza en su segunda ejecucion (o reinicio del equipo)
=== Información de descarga ===
Página oficial: [Tienes que estar registrado y conectado para ver este vínculo]
Descarga del codigo fuente y binarios: [Tienes que estar registrado y conectado para ver este vínculo]
* Requiere el framework .NET
Saludos comentar es agradecer!
queda para que vean, (nos libramos de responsabilidad)
En cuanto a las condiciones de uso, realmente me la suda
que te crees una botnet de X mil zombies y andes jugando a tirar
servidores, tanto la generación del zombie, el despliegue del mismo o la
realización de actividades ilegales es responsabilidad tuya.
=== DESCRIPCIÓN ===
Prablinha 3.0RC
Toolkit de generación de botnets OpenSource. Permite la generación de zombies configurados.
Caracteristicas principales:
- Comunicación con los zombies a través de un panel web.
- Permite la comunicación cifrada con los zombies (SSL).
- Los zombies informan de su geolocalización IP al dueño de la botnet.
- Posibilidad de realizar ataques de denegación de servicio TCP, UDP y HTTP.
=== MANUAL DE USUARIO ===
• Creación y administración del panel de control
El panel de control se trata de una aplicación en PHP que hace uso de una base de datos MySQL.
Tras
copiar los ficheros del servidor web en un servidor con soporte PHP,
será necesario editar el fichero /inc/config.php e introducir el
servidor de base de datos MySQL, unas credenciales válidas y la base de
datos sobre la que trabajará la aplicación para gestionar el control de
los zombies.
Una
vez configurado, será necesario crear la base de datos. Para ello será
necesario cargar el script ‘db.sql’ adjunto en el proyecto, el cual
creará la estructura de tablas necesarias. Esto puede ser realizado con
aplicaciones como ‘HeidiSQL’ o ‘PhpMyAdmin’ entre otras.
Una
vez ejecutado el script podremos acceder a nuestro panel de
administración de zombies. Las credenciales de acceso por defecto son
thesur\thesur. Pueden ser cambiadas desde la tabla ‘usuarios’ de la base
de datos.
Una
vez dentro, si hemos realizado la infección de algún equipo,
visualizaremos un panel que nos informará de la lista de zombies
conectados ordenados por cada país.
Si
hacemos clic sobre ‘Ver opciones’ podremos ver una lista detallada de
la información de cada zombie en cada país. A continuación se muestra
una captura de pantalla en donde se ven los datos correspondientes a los
zombies localizados en España.
En el menú superior localizado en
la parte superior izquierda están disponibles las distintas formas de
dar ordenes a los zombies. ‘OnRuntime’ y ‘OnJoin’.
Las
ordenes ‘OnRuntime’ son enviadas a todos los zombies conectados en ese
mismo momento a la botnet. Sin embargo, las ordenes ‘OnJoin’ son
ejecutadas automáticamente por los zombies cada vez que estos se
conecten a la botnet.
Si accedemos a cualquiera de las dos opciones, veremos un menú similar al siguiente:
Desde
aquí se pueden llevar a cabo los ataques de denegación de servicio
mediante conexiones TCP (Ejpl: Para tumbar un servicio SMTP), UDP (Ejpl:
Consumir el ancho de banda de una servidor), o HTTP (Ejpl: Consumir el
máximo de sockets permitidos por un servidor web).
El número de
sockets indica el número de conexiones concurrentes que mantendrá cada
zombie contra el servidor, y ‘kb/s por socket’ indica el tamaño de cada
paquete enviado por cada socket en kilobytes.
• Creación del zombie
Para
la creación y configuración de un zombie con el que llevar a cabo la
infección de equipos, es necesario la aplicación C&C.exe y hacer
clic en ‘ADN’. Indicar en el cuadro de texto el ADN que se utilizará
para la generación del zombie y hacer clic en el botón ‘Siguiente’.
A continuación se comentan cada uno de los distintos parámetros:
1. Regedit Name: Nombre de la clave de registro utilizada para la ejecución del zombie en cada inicio del sistema.
2.
Install Name: Nombre con el que se copiará el zombie en disco
(Ubicación %userfolder%/AppData/Local/[InstallName]). El zombie
ejecutará el loader en caso de que este sea cerrado. Es FUNDAMENTAL no
especificar en este campo un nombre de un proceso existente (Ejpl: No
introducir ‘explorer.exe’)
3. Loader name: Nombre con el que se
copiará en disco el loader en disco (Ubicación
%userfolder%/AppData/Local/[LoaderName]). El loader ejecutará el zombie
en caso de que este sea cerrado. Es FUNDAMENTAL no especificar en este
campo un nombre de un proceso existente (Ejpl: No introducir
‘explorer.exe’)
4. C&C Panel (URL): El directorio donde hemos instalado nuestro panel de administración (Ejpl: [Tienes que estar registrado y conectado para ver este vínculo]). Es posible utilizar tanto HTTP como HTTPS para cifrar los datos y evitar la detección de posibles ID’S en la red.
Finalmente,
hacer clic en ‘GENERAR’. Una vez finalizado se creará un ejecutable con
el nombre ‘Zombie_X.exe’, el cual está listo para ser desplegado y para
comenzar a crear nuestra botnet.
Adicionalmente, recomiendo que
una vez se haya generado el zombie, se le apliquen técnicas de
ofuscación para sus métodos y atributos. Esto puede realizarse con la
aplicación gratuita ‘EazFuscator.NET’.
=== CHANGELOG===
3.0RC
C&C
- Migración del antiguo panel de control (aplicación de escritorio) a una aplicación web (PHP+MySQL).
- Añadido UDP DDoS y HTTP DDoS.
ZOMBIE
- Migración de comunicación por IRC a HTTP o HTTPS
- Añadido UDP DDoS y HTTP DDoS.
- De nuevo indetectable :)
2.1
C&C
- Interfaz simplificada (Y generación del manual de usuario)
2.0
C&C
- Generador de zombies con su propia configuracion
ZOMBIE
- loader y prablinha ""NO"" se cierran al detectar el taskmanager, processmonitor
1.1
C&C
- nuevo algoritmo de generacion de canales (pierde compatibilidad con versiones anteriores)
- visualizacion de la lista de zombies y su geolocalizacion.
- añadido el comando PRIVMSG, UPDATEZOMBIESINFO y ANSWERONCHANNEL
- soporte multicanal cuando se detectan mas de 100 zombies por canal
ZOMBIE
- nuevo algoritmo de generacion de canales (pierde compatibilidad con versiones anteriores)
- generacion de un nuevo canal cuando se alcanzan los 100 zombies por canal
- deteccion de K-Lines y G-Lines, cambian al servidor alternativo.
- Permite que los zombies respondan por privado en vez de por canal (comando ANSWERONCHANNEL on|off).
- configurable el numero de kbs/s en cada socket en el tcpflood (tcpflood start IP PORT SOCKETS [KBS]).
- el zombie envia geolocalizacion ip al entrar al canal o mediante el comando UPDATEZOMBIESINFO
- infección más persistente. Sobreescritura de los binarios y del registro.
- instalacion de un loader que llama a la prablinha y viceversa cuando esta se ha cerrado.
- loader y prablinha se cierran al detectar el taskmanager, processmonitor o processexplorer
- La conexion a la botnet se realiza en la primera ejecucion
- Añadido el comando UPDATEZOMBIESINFO y ANSWERONCHANNEL
1.0
C&C
- comunicacion encriptada.
ZOMBIE
- Instalacion como CurrentUser (registro)
- comunicacion encriptada.
- tcpflood a IP y puerto, enviando 50kb/s por cada socket (nº de sockets personalizable).
- generación de owners, canal y clave aleatoria cada mes.
- descarga y ejecucion de ficheros.
- ejecucion de ficheros.
- La conexion a la botnet se realiza en su segunda ejecucion (o reinicio del equipo)
=== Información de descarga ===
Página oficial: [Tienes que estar registrado y conectado para ver este vínculo]
Descarga del codigo fuente y binarios: [Tienes que estar registrado y conectado para ver este vínculo]
* Requiere el framework .NET
Antivirus results
AhnLab-V3 - 2011.01.02.01 - 2011.01.02 - -
AntiVir - 7.11.1.17 - 2011.01.03 - TR/Dropper.Gen
Antiy-AVL - 2.0.3.7 - 2011.01.03 - -
Avast - 4.8.1351.0 - 2011.01.03 - -
Avast5 - 5.0.677.0 - 2011.01.03 - -
AVG - 9.0.0.851 - 2011.01.03 - -
BitDefender - 7.2 - 2011.01.03 - -
CAT-QuickHeal - 11.00 - 2011.01.03 - -
ClamAV - 0.96.4.0 - 2011.01.03 - -
Command - 5.2.11.5 - 2011.01.02 - -
Comodo - 7286 - 2011.01.03 - -
DrWeb - 5.0.2.03300 - 2011.01.03 - -
eSafe - 7.0.17.0 - 2011.01.02 - -
eTrust-Vet - 36.1.8078 - 2011.01.03 - -
F-Prot - 4.6.2.117 - 2011.01.02 - -
F-Secure - 9.0.16160.0 - 2011.01.03 - -
Fortinet - 4.2.254.0 - 2011.01.03 - -
GData - 21 - 2011.01.03 - -
Ikarus - T3.1.1.90.0 - 2011.01.03 - -
Jiangmin - 13.0.900 - 2011.01.03 - -
K7AntiVirus - 9.75.3423 - 2011.01.03 - -
Kaspersky - 7.0.0.125 - 2011.01.03 - -
McAfee - 5.400.0.1158 - 2011.01.03 - -
McAfee-GW-Edition - 2010.1C - 2011.01.03 - -
Microsoft - 1.6402 - 2011.01.03 - -
NOD32 - 5757 - 2011.01.03 - -
Norman - 6.06.12 - 2011.01.03 - -
nProtect - 2011-01-03.01 - 2011.01.03 - -
Panda - 10.0.2.7 - 2011.01.03 - -
PCTools - 7.0.3.5 - 2011.01.03 - -
Prevx - 3.0 - 2011.01.03 - -
Rising - 22.80.04.04 - 2010.12.31 - -
Sophos - 4.60.0 - 2011.01.03 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.01.03 - -
Symantec - 20101.3.0.103 - 2011.01.03 - -
TheHacker - 6.7.0.1.110 - 2011.01.03 - -
TrendMicro - 9.120.0.1004 - 2011.01.03 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2011.01.03 - -
VBA32 - 3.12.14.2 - 2011.01.03 - -
VIPRE - 7938 - 2011.01.03 - -
ViRobot - 2011.1.3.4234 - 2011.01.03 - -
VirusBuster - 13.6.125.0 - 2011.01.03 - -
File info:
MD5: 9da27e1906e3bf798a9cbe40d4e029e4
SHA1: 748ccf0f144c089cfa768ac2b9ba752d1e039076
SHA256: 5c5a0258095eff2590cd102e5038948f466c50d7fb1cba2bca42be91244367e3
File size: 427218 bytes
Scan date: 2011-01-03 18:08:23 (UTC)
Feliz 2011 :)
Saludos comentar es agradecer!