Serio problema con un troyano

Hola a todos, soy nuevo en esto y nacesito ayuda... Hace ya un tiempo que vengo investigando en esta pagina y otras pro no consigo un resultado aprobable.

Voy a empezar por el principio:
Hice un troyano con el Bifrost 1.2.1 siguiendo al pie de la letra (en todo lo necesario) los tutoriale aqui explicados. Una vez hecho eso lo converti con el WinRar a un archivo .sfx (otra vez tal y como indican los tutoriales) con un icono apropado, la ruta de instalacion del server indicada y toda la bola.
Hasta aqui todo bien.
Luego llego el momento de hacerlo indetectabley ahi es donde se complico.
Intente primero (luego de leer unos cuantos post) con programacion batch, con el simple y util comando TASKKILL, pero como el .bat y el server se encontraban dentro de la misma compresion, el AV lo detectaba antes de cerrarse.
Entonces me vi en la obligacion de seguir buscando alternativas y probe con diferentes metodos de encriptacion: Themida, Procdump, Topo, Bip y SD Protector... tanto por separado como combinados de diversas formas. Pero esto tampoco funciono porque siempre se terminaba dañando el server (antes de llegar a dañarse era detectado por el AV).
No conforme con esto decidi volver al simple pero util metodo del Batch, pero esta vez con una pequeña y sospecosa pero util modificacion:
Con mi server una vez camuflado en un .sfx (como lo explique arriba), lo comprimi en un .rar y lo junte con el .bat que contenia los comandos "TASKKILL" y "START /b server .rar". Con eso el AV se cerraba y se abria el server.rar donde se encontraba mi server listo para infectar...
Al hacer doble click en el server me saltaba un aviso + o - asi: "el archivo se comprimira cuando se cierre la aplicacion" Pero una vez cerrado todo no pasaba absolutamente nada. Angry

Entonces en lugar de ejecutar el server desde el archivo .rar, lo extraje y lo ejecute... ¡¡¡Voila!!! Se ejecuto sin problemas... Pero nunca se conecto con el cliente. Asi que repeti exactamente el mismo procedimento (siempre teniendo que extraer el server para poruqe sigue saliendo el mismo error) pero con el primitivo server creado directamente desde el Bifrost y funciono perfectamente y me conecte a mi mismo.
Hasta ahi parece que todo va bien pero cuando lo paso por mail a un amigo (consciente de que tenia el troyano) y repite el mismo rocedimiento de extraerlo y todo, se le instala el server pero nanca llego a conectarse a mi.
Tengo mi cuenta en no-ip.com y en la lista de IP del server figuran: Mi IP de no-ip, mi IP real (la que tenia antes de la de no-ip) y la que creo que viene por default que es 127.0.0.1. Pense que podria ser unproblema de puertos pero probe con los puertos: 8080, 80 y 81 y todos funcionan conmigo pero no con el.

NOTA: El cliente del Bifrost tambien esta configurado para esperar en los puertos arriba mencionados.

Disculpen el extenso relato de la historiade mi vida, pero queria evitar que pierdan su tiempo posteando soluciones que tal vez ya hubiera probado.

Agradezco de antemano cualquier ayuda que ma puedan brindar

Atte. *KAISER*

mi recomendacion (personal) es que una ves tengas tu server creado, pasale el themida, luego bindealo con otro archivo señuelo por medio del iexpress, luego cambiale el icono con el reshacker........y prueba. autoinfectandote. si pasas la prueba coloca tu server dentro de una carpeta y comprimes esa carpeta y lo envias. con el poison funciona.
prueba de esta manera y nos comentas.

saludos

pd: el iexpress no es detectado como programa malicioso debido a que es una herramienta de windows, por eso es recomendable usarla para bindear archivos (solo .exe como es el caso de animaciones Flash. Si deseas bajarle un poco de peso al themida, mira al final del post en el siguiente link: http://foro.el-hacker.com/index.php/topic,100915.0.html

Cita de: Angelus_7722 en Julio 12, 2007, 06:25:02

luego bindealo con otro archivo señuelo por medio del iexpress, luego cambiale el icono con el reshacker........

Gracias por la ayuda Angelus. Ya pude bajar el peso del archivo pero no tengo el iexpress y no lo puedo encontrar. Al igual que el reshacker que no lo puedo descargar porque en vez de descargarlo directamente de la web se abre mi cliente bitorrent y se cuelga y se cierra internet sin poder descargarlo.
Si sabes como puedo conseguirlos me harias un gran favor.
Desde ya muchas gracias por tu ayuda

Atte. *KAISER*

bueno, el iexpress es una herramienta que viene con windows.

para acceder al programa

inicio --- ejecutar

luego tipeas

iexpress ----- enter

si en la seccion de indice de troyanos no encuentras la herramienta del reshacker, te la posteo en la noche, creo por aqui tambien se encuentra un manual del iexpress........busca un poco y me avisas........................dado el caso te subo los archivos.

saludos

Muchas gracias por tu ayuda Angelus ya pude bindear el server, pero sigo sin poder descargar el reshacker.
Aunque encontre una solucion bastante util dependiendo de la victima.
Luego de pasarle el themida al server (no como vos me dijiste) aprovecho el peso del archivo para hacerlo pasar como un juego. Esto me facilita el tener que bindearlo; y para disimular el feo icono del server del bifrost, le pongo al "juego" un nombre como "Emmerald eye" o algo por el estilo.
Asi todas las victimas que le gusten los juegos lo van a abrir sin dudar.
Es una muy buena opcion porque, al ser mandado por mail, se le puede agregar una descripcion de acuerdo a los gustos de la victima y asi asegurarse de que lo abra.
A pesar de que ya me funciono, esto todavia es un "BETA" porque estoy pensando en bindearlo con un juego cualquiera (o un demo) poco pesado para que no sea sospechoso el abrirlo y que no pase nada.

De todas formas agradeceria mucho que me pudieras pasar un vinculo para descargar el reshacker y asi aumentar los modos y las posibilidades de infeccion.

Una vez mas muchas gracias

Atte. *KAISER*

	Bienvenido(a), Visitante. Favor de ingresar o registrarse. ¿Perdiste tu email de activación? - Agosto 07, 2008, 06:48:33 Boton Buscar