PDF de programación - Hack X Crack - Malware (parte1)

MALWARE

(PARTE 1)

BY: Nologa93







1

INTRODUCCIÓN


¿Estáis listos chicos? (siiii Nologa) jajaja ;D

Como podéis ver en la portada del cuaderno, vamos a hablar un poco sobre el malware.
Aprenderemos varias cosas sobre el maravilloso mundo malware, desde cómo empezar a
introducirnos hasta poder crear nuestras propias herramientas, ¡y mucho más!.

Pero antes de empezar con el desarrollo del cuaderno me gustaría aclarar un par de
cosas (si no tienes ninguna idea de malware o estas empezando a meterte, esto te
interesa):

Lo primero de todo es que por desgracia o por buenaventura, cuando se habla de
malware generalmente, no se habla directamente de malware, si no de spyware. ¿Por
qué? pues hay varias razones, pero a mi parecer la más acertada es porque podemos
hacer muchas más cosas con cualquier herramienta de administración remota u otras
herramientas de spyware que con cualquier virus. Si conseguimos administrar cualquier
ordenador, podemos coger desde lo que se teclea en este a poder "joderlo" cuando nos
convenga, en vez de maltratarlo directamente. Pero eso no quiere decir que no toquemos
el campo de los virus, lo tocaremos, sí, pero superficialmente.

Otra es que este cuaderno esta hecho sobre todo para principiantes, pero también puede
servirle a gente con conocimientos medios. Por supuesto que no voy a explicar todo lo
que sé de malware, sino se tardaría demasiado la publicación del cuaderno. Otro motivo
es que contra más se avance en esta rama, más se relaciona con otros campos, con gran
hincapié en la programación, y si me pongo a explicar todo esto se hará más largo que El
Quijote.:)

También hablaremos y aprenderemos una parte importante del malware, la programación.
Si se quiere avanzar en el malware, es de vital importancia al menos saber un lenguaje, si
no, tendremos que disponer siempre de lo que creen los demás y no cubriremos todas las
necesidades que nos surjan, además de otros aspectos. Por esto, un espacio que
dedicaremos será a Visual Basic 6.0, que creo que es el lenguaje más apropiado para
empezar a aprender programación ya que es un lenguaje simple pero fuerte, y funciona
en la gran mayoría de versiones de Windows (2000, XP, Vista, 7 y 8)

En conclusión, este cuaderno te servirá para poder defenderte en el malware, pero lo
recomendable (y si te gustó el cuaderno) es que se siga aprendiendo y haya motivación
por ello. ¿Quién sabe? Quizás llegues lejos :D



2

TIPOS DE MALWARE
Antes de seguir metiéndonos en el malware, debemos saber y clasificar, mediante sus
distintas funciones, que tipos de malware hay ¿no?

Yo, sinceramente, no estoy de acuerdo con varios aspectos sobre los distintos “tipos de
malware” que circulan por la red. Un ejemplo sería la palabra “troyano”.

La definición que tenemos comúnmente es que es un programa que sirve para espiar o
controlar un ordenador ajeno. Si, vale, hasta aquí bien, pero… ¿qué más? La mayoría de
post que hay, sobre todo la ofrecida por los antivirus, sobre este tema se queda corta y
nos obliga a indagar más en la red. Entonces después de leer variada información sobre
los tipos de malware, podemos sonsacar una definición algo precisa de cada tipo de
malware.

Te ahorre ese trabajo de buscar tanto mediante la siguiente liste donde explicaré de forma
general, pero precisa, cada tipo:

Los tipos más generales y usados son:

Worms/Gusanos: su objetivo es spreadear (extender) otro malware u archivo. Estos
pueden usar spread por .rar/.zip, por p2p, por lan, hacer enviar varios correos desde una
cuenta, etc. Vamos, que sirve para tener más remotos, si usamos un spyware, o joder
propagar el mayor número de ordenadores con nuestro virus.

Troyanos: en verdad el término “troyano” es algo genérico y nada especifico. La
definición es que es una herramienta de administración remota, es decir, para administrar
remotamente un PC (e incluso móvil) desde otra PC o terminal. Básicamente hay dos
tipos:


1. RAT’s: aplicaciones de administración remota legales si se usan con

ordenadores del mismo propietario. Tienen varias funciones como keylogger,
capturador de cam, etc. Su función básica es administrar remotamente un
ordenador desde otro y poder ejecutar distintas acciones que trae consigo.



2. Botnets: más peligrosas que los rats. La usan sobre todo ciberdelincuentes y

tiene funciones más interesantes que la mayoría de los rats (por ejemplo hacer
un ataque de negación a una página, autospreadeo, cadenas de proxis...).


Spyware: como su nombre indica, son softwares espiras. Un ejemplo de este sería un
keylogger (que recoge todo lo que se teclea y/o clickea en un ordenador) y también los
troyanos. Por supuesto, hay más tipos, como stealers, capturadores de webcam, etc.

Rootkits: son programas que se mantienen ocultos para dar privilegio sobre una
computadora y/o ocultar información de la computadora al usuario. Su nacimiento
provienen de los sistemas operativos Unix.



3

Virus: programas maliciosos que dañan o destruyen archivos, infectan otros programas,
etc. No todos los virus tienen las mismas funciones u objetivos, por lo que el término es
muy genérico, pero suelen registrar su código en otros programas.

Ransomware: de la palabra ransom (rescate) cifra los archivos de la máquina víctima.
Una vez cifrados, si el usuario intenta acceder a los archivos, pide que se pague una
cantidad de dinero para que la máquina vuelva a su estado normal. El ejemplo más
destacado hoy en día es “el virus de la policía”.

Rogueware: suelen ser antivirus falsos que encuentra varias “amenazas”, pero debemos
pagar para eliminarlas. El proceso suele estar en primer plano, y si intentamos abrir uno
de los supuestamente “archivos infectados”, no nos dejará.

Juacks: programas poco peligrosos que no tienen otra función que hacer bromas
pesadas o provocar molestias al usuario víctima. Un ejemplo sencillo algún programa que
termine el proceso de explorer.exe, o que salga sucesivamente algún mensaje.

Herramientas: su código no está hecho para causar daño directamente ni tampoco tiene
nada malicioso, pero puede servir de ayuda a otros malwares. Algunos ejemplos serian
los crypters (que sirven para indetectar a los antivirus), binder o joiners (que juntan varios
archivos en uno), etc.



NUESTROS PRIMEROS PASOS

Bien, ¡empecemos!

Lo primero que haremos será empezar a configurar nuestro primer RAT haciendo que sea
capaz de crear una conexión entre cliente-servidor, es decir, entre vuestro ordenador y el
ordenador que queremos administrar. Para ello tendremos que crear una DNS en
www.no-ip.com (usaré esta página por que las ofrece gratis), abrir puertos en router y
firewall, crear y configurar un servidor FTP (para el keylogger que ofrecen los RATs),
configurar el cliente y comprobar si funciona.


Nota: actualmente la mayoría de RAT's son de conexión inversa y solo los antiguos son
de conexión directa. La conexión directa se caracteriza básicamente en que el cliente (tu
ordenador) se conecta al servidor (ordenador administrado o remoto), y la conexión
inversa, como su nombre indica, es al contrario, el cliente (parte que configuramos) se
conecta al servidor (nuestro ordenador).



4





Es recomendable que sea de conexión inversa ya que probablemente pedirá al usuario
remoto permiso para establecer una conexión al exterior e incluso puede que se lo salte.
Sin embargo con un RAT de conexión directa lo más probable es que el firewall del
remoto bloquee la conexión.

Pero nosotros, además de usar un RAT con conexión inversa, usaremos una conexión
mediante DNS.

En el tutorial usare Darkcomet. ¿Por qué? Porque es el RAT que más me gusta y al que
más me acomodo (cada RAT se debe acomodar a su manipulador) ;D Aunque es cierto
que su configuración se diferencia un poco comparado con Cybergate, entre otros, así
que también colgaré imágenes de una correcta configuración de Cybergate, que es muy
parecido a otros troyanos como Spynet.



5





Creación de cuenta No-IP

Bien, empecemos creando nuestra cuenta No-IP. Para ello visitamos la página oficial
www.no-ip.com y nos tendremos que registrar

Ahora rellenamos el formulario y activamos la cuenta con el mensaje que llegará a
nuestro correo. Nos logueamos y aparecerá la pantalla principal. Le damos a añadir host



6

Y nos aparecerá un panel como este:

Ok, ponemos en Hostname el nombre que queramos ponerle, yo pondré PracticasHxC, y
creamos. Donde pone zapto.org podéis dejarlo así si queréis, yo lo cambiare ano-ip.biz,
pero da igual ;). Cuenta creada :D



Cuando terminemos de crear todo, descargamos el DUC en la pestaña Downloadde la página
principal de No-IP. Lo instalamos. Abrimos nuestra cuenta creada en ella, tildamos nuestro host,
que estará en Select Host y tienen que estar así:



7





Terminamos de configurar nuestra no-ip :D

Pero, ¿por qué hacemos esto de no-ip? Simple, ¿nunca te has dado cuenta que
tienes una IP un día y si la miras otro día distinto es diferente? Esto es porque nuestra
IP externa es dinámica. Esto quiere decir que se cambiara constantemente y no será
estática (fija). Para manejar nuestro RAT sin perder a los remotos, necesitaremos un
punto de conexión estático.



8

El siguiente punto es abrir los puertos, tanto del router como del firewall. Estad atentos
;)

Abrir puertos en el router y el firewall
Bueno, para empezar a abrir los puertos en nuestro router tendremos que saber nuestra Puerta
de enlace predeterminada (que suele ser 192.168.1.1) y que se nos mostrará como puerta de
enlace. Pero para confirmarlo, vamos a: Inicio → Ejecutar → Escribimos cmd y cuando nos salga
“esa pantalla negra” escribimos: ipconfig