Este programa poison Ivy es un RAT o troyano de conexión inversa de acceso remoto en el que obtenemos total posesión de la máquina infectada, que actuara de servidor, ofreciéndonos este particular "servicio". En el tutorial que hoy presentamos, explicaremos la instalación y configuración para su puesta en marcha y su correcto funcionamiento.
Hay que aceptar los términos, para ello bajamos la barra de desplazamiento a la parte baja del todo, para que se nos active el botón de I Agree y podamos continuar con el proceso.
Una vez abierto, creamos un cliente, que somos nosotros, con un clic en New Client.
Poner puerto de escucha, en el que se va a notificar por donde empieza la transmisión.
Creamos un nuevo servidor.
Y un nuevo perfil.
Configuramos la IP de nuestro cliente, en este caso nosotros mismos. Es recomendable poner una no IP, ya que nuestra IP es dinámica y se va cambiando cada cierto tiempo, el servicio de no IP es gratuito. También deberemos poner el puerto el cual este a la escucha.
Lo demás, lo dejamos tal como está.
- En este apartado, marcamos el "Activex", pulsando "random" posteriormente.
- El "Filename" será algo que no sea sospechoso y marcamos Sytem Folder.
La siguiente ventana la marcamos de esta forma:
- La casilla "persistence" se utiliza para que sea más resistente a los antivirus.
- "Process" es el nombre del proceso con el que aparece en el equipo infectado cuando se está ejecutando.
- Key "logger" se utilizara para registrar todo lo que el usuario introduzca por teclado.
- El formato se dejara en PE.
Esto es lo último a configurar.
- Definir un icono.
- "Generate" para generar el archivo, que será nuestro troyano.
Elegir el formato y la ubicación donde guardar el archivo que se va a crear.
Una vez terminado, nos lo notifica el programa.
Aquí vemos el programa y como no hemos seleccionado un icono, nos coge el de por defecto.
Una vez que el servidor ha ejecutado la aplicación y haya empezado la comunicación por el puerto a la escucha, se nos notificara a nosotros que somos el cliente.
Con un doble clic a los servidores, nos aparecen una serie de opciones para actuar sobre el.
Para ver la actividad de cada acción, clic derecho y refrescar la pagina.
En "information", podemos ver todas las características del equipo servidor.
En file podemos acceder al disco duro y todos los archivos e incluso a el reproductor CD/DVD.
Podemos ver y editar el registro a nuestro gusto.
Tanto en esta pestaña, como en la de aplicaciones se pueden finalizar o suspender las mismas.
En este apartado disponemos de las aplicaciones que hay instaladas en el equipo y que podemos desinstalar tranquilamente.
Las ventanas que tenemos activas.
Las conexiones activas y los puertos.
Podemos abrir la consola y ejecutar cualquier instrucción.
Esta ventana es la del keylogger en el que nos muestra todo lo introducido por teclado.
Podemos desinstalar la aplicación del equipo servidor.
conclusión
Esta herramienta, aunque sea para la plataforma de XP, nos da una ligera idea de lo que se puede realizar en un equipo, una vez infectados, por lo que previamente se debe proteger, puesto que hay amenazas similares, como hemos visto numerosas veces en nuestros anteriores post y también las contra-medidas a realizar para evitaras. Como vemos este tipo de aplicaciones no tienen limite.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure