Cos'è un RAT? Cos'è capace di fare?
La parola RAT è formata da Remote Administration Tool (per approfondire clicca qui). Quando avviamo il nostro virus sul computer della vittima, saremo capaci di:
- Vedere il desktop, controllare la webcam e catturare suoni in tempo reale dal microfono
- Totale controllo su mouse e tastiera
- Visualizzare cartelle, modificare, aggiungere, eliminare e cercare file
- Avviare HTML, VB e .bat script
- Keylogger
- Disabilitare il TaskManager, visualizzare, terminare o avviare processi
- Disinstallare programmi, nascondere finestre, totale controllo sul registro, programmi e processi all'avvio
- Visualizzare tutte le password salvate
- Molto altro ancora
Le tantissime opzioni che DarkComet permette di fare lo rendono un potentissimo programma per la creazione di un virus. È completo, ma soprattutto gratuito.
Dopo questa breve premessa, passiamo all'installazione.
Di cosa abbiamo bisogno?
- DarkComet v5.3 (se il link non funziona prova qui)
Installazione No-IP
1. Per prima cosa connettiti al sito ufficiale di No-IP e clicca su Sign up. Registrati e scegli un indirizzo valido per la conferma dell'account.
2. Facciamo il login su No-IP e clicchiamo su Add a host. Scegli un nome a piacimento nel casello a destra di Hostname (devi ricordarlo), puoi anche cambiare il dominio (zapto.org) dal menù a tendina. Lascia tutto così e clicca su Create Host.
Installazione DarkComet
1. Tempo di hacking! Crea una nuova cartella e scompatta il contenuto del rar di DarkComet che hai scaricato in precedenza e avvia subito DarkComet.exe. Clicca sulla spunta "Do not display again the EULA" e poi su I accept. Ti troverai nella scheda Users, spostatati sulla scheda Socket / Net e seleziona la porta 1604 con il tasto destro.
3. È tempo di creare il nostro virus! Andiamo su Server module -> Full editor (Expert), poi spostati su Network Settings a destra. In IP / DNS metti il link del tuo host creato in precedenza (se non te lo ricordi puoi vederlo andando sul programma No-IP e poi su Select Host), porta 1604 e poi clicca su ADD.
Tieni aperti sempre DarkComet e No-IP, così da ricevere la connessione delle vittime.
Non infettarti da solo o provare ad avviare il virus su un altro computer connesso alla tua stessa rete, non funzionerà. Se vuoi infettarti da solo per testare le funzionalità di DarkComet, in Network Settings all'IP/DNS seleziona 127.0.0.1 e la porta 1604, poi assicurati di disinstallare il virus facendo click destro sul tuo computer dalla lista Users. Se invece vuoi infettare un computer connesso alla vostra rete internet in Network Settings all'IP/DNS devi selezionare il tuo indirizzo IP locale e la porta 1604. Puoi vedere il tuo indirizzo locale attraverso il CMD (Windows + R, cmd) scrivendo ipconfig.
Per problemi puoi scrivere nei commenti.
quella del trojan mi sembra una tecnica non molto efficace ormai le persone si aspettano sempre virus e nn aprono quasi mai programmi strani poi l'antivirus li becca quasi sempre e alla fine ci rimette anche chi attacca nel caso di darkcomet non mi sembra tanto innocuo anche per chi vuole hackerare e l'hacker stesso potrebbe essere vittima di un altro hacker avendo darkcomet nel pc tutti dicono che è privo di virus ma se ogni volta bisogna disattivare il proprio antivirus la cosa già inizia ad essere strana e pericolosa poi è ovvio che chi vuole può tranquillamente scaricare questi programmi io sinceramente non mi fido preferisco altre tecniche hacker...
RispondiEliminaIn un certo senso il tuo commento è sensato, se vuoi puoi farti un giro per il blog cercando altre tecniche hacker.
Eliminati ringrazio per avermi risposto sto guardando adesso tutto il tuo blog lo trovo interessante dimenticavo di dire prima che per esperienza tempo fa scaricai un trojan per attaccare e avendo l'antivirus disabilitato il trojan divenne chiave di registro e da li io ero bersaglio di altri hacker che avevano il mio stesso virus e alla fine ho dovuto riformattare le altre tecniche che adesso uso sono abbastanza diverse ti spiego mi interesso al bruteforcing,al cracking di programmi o giochi, al wi-fi e al sql per il bruteforce però non so che programma usare perchè molti l'antivirus li segnala usavo come ti ho scritto nell'articolo bruteforce uno scritto in python però non trovava mai la password scorreva tutte le possibili combinazioni con la wordlist e poi si fermava non ti so dire se era un problema di wordilist perchè ad alcuni utenti che ho visto nei video funzionava..
EliminaGrazie mille per l'articolo. Vi consiglio di mettere qui AEROADMIN. È uno strumento per semplice supporto remoto da usare e installare. Si può leggere di più qui: www.aeroadmin.com
EliminaAIUTAMI!!! Non riesco ad aprire le porte del router come faccio!
RispondiEliminarispondi ti prego
RispondiEliminaio non ho capito come si ivia con che cosa non lo so
Puoi fare l'upload su un sito come Mediafire e farlo scaricare dalla "vittima". Ti ricordo che la guida è a solo scopo informativo e didattico.
Eliminase vi serve una mano andate qua... http://faurl.com/bTfa4
RispondiEliminao qui http://andrea91.110mb.com/index.html
Eliminaho perso la password della mia email mi potete aiutare
RispondiEliminaInfo per favoreee!! Ho la possibilità di usare comodamente il pc "vittima" (è il mio del lavoro) e vorrei sapere se cè un sistema per escludere il server dalla scansione con l'antivirus.. come si può fare dalle impostazione di avast per altre cartelle o programmi.. può funzionare in questo modo e non essere individuato e bloccato?
RispondiEliminaDisabilita l'antivirus. Questi sistemi di accesso da remoto son vecchi stravecchi.. anche il peggior antivirus rileverebbe una sola del genere
Eliminabuongiorno hai un contatto skype
EliminaOttima guida!
RispondiEliminaMa esiste la possibilità di risalire all'autore del server se questo dovesse essere analizzato attraverso tecniche tipo reverse engineering?
Mi spiego meglo. In fase di creazione del server occorre dare l'ip pubblico, accompagnato da una porta aperta, della postazione da cui si controlla il server.
E' possibile risalire a questa informazione anche se si crypta il server?
Dipende chi deve risalire .. se vai a bucare il pc della tua morosetta tranquillo, non andrá a denunciarti. Se devi fare spionaggio industriale..beh non ti appoggeresti a cazzate simili..
EliminaBuongiorno ragazzi, ho un problema... non riesco ad aprire una porta.
RispondiEliminaHo il router DSL-2640R della d-link, sono andato su 192.168.1.1 inserisco username e password, poi vado su advanced e c'è il port forwarding... metto l'ip e la porta da aprire, e faccio udp e tcp.
La porta da aprire è la 1604 quando vado su www.canyouseeme.org mi da Error: I could not see your service on 151.--.--.--- on port (80)
Reason: Connection refused
P.S: Non ho l'antivirus, ho messo la porta 1604 anche in impostazioni avanzate di windows firewall ( che è disattivato )
on port (1604) scusate
EliminaQuesto commento è stato eliminato dall'autore.
RispondiEliminaCiao, spero tu possa rispondermi.
RispondiEliminaHo fatto tutto quel che è scritto nella guida ed ho creato il RAT.
Il problema è che quando la "vittima" apre il .exe da me non esce niente nella sezione "Users".
Cordiali saluti, Defalt.
Ciao, scusa il ritardo. Comunque probabilmente è perché il PC che cerchi di infettare abbia una qualche protezione attivata. Hai provato ad infettare altri PC?
EliminaMa chebbaggianate leggo qui! infettarsi per infettare? Giá partire con windows è una cosa erronea, scaricare programmi che creano troian è una cosa erronea, pensare di trovare in internet la pillola magica per diventare "hacker" è una cosa erronea!!! Se giá vi piantate sul come aprire le porte del router siete messi bene! Se ho accesso fisico per installare un virus non faccio prima a copiare in background tutto ciò che mi serve? Impara com'è strutturato un os, impara com'è strutturata una rete. Questi programmini si usavano dieci anni fa!!
RispondiEliminaCiao Anonimo, innanzitutto grazie per il commento, anche le critiche sono costruttive.
EliminaLo scopo di questo semplice e banale articolo è solo a scopo didattico e informativo, ovvero ha come fine informare il lettore riguardo a cosa sia un keylogger e come funziona prendendo come keylogger di esempio un "programmino che si usava dieci anni fa" ovvero DarkComet.
Grazie per la critica.
Mi irrita il fatto che tu risponda solo alle critiche e quasi mai alle incertezze degli utenti. Grazie lo stesso..
EliminaCiao,
EliminaNon capisco cosa vuoi dire con "infettarsi per infettare", DarkComet è pulitissimo.
"Già partire con windows è una cosa erronea" felice di sapere il perché.
"Scaricare programmi che creano troian è una cosa erronea" la guida è, appunto, per i principianti.
"pensare di trovare in internet la pillola magica per diventare "hacker" è una cosa erronea!" quindi per diventare hacker è meglio spegnere il PC e andare per strada?
"Se ho accesso fisico per installare un virus non faccio prima a copiare in background tutto ciò che mi serve?" la guida è per controllare un PC in remoto, se non l'avessi ancora capito.
"Impara com'è strutturato un os, impara com'è strutturata una rete." ma cosa c'entra questo adesso?
"Questi programmini si usavano dieci anni fa!" questa è una bestemmia, innanzitutto perché non credono dieci anni fa esistessero già programmi così potenti. Se lo chiami "programmino" perché non ne fai tu e guadagni un bel po' di soldi visto che ha riscontrato tantissimo successo? Accetto tutte le critiche possibili, purché siano costruttive. Saluti
Andreavedy menagliele di brutto!
Eliminavedo che vi state dando da fare per provare a pentrare dentro un sistema,prima di fare cio dovete pensare a studiare la struttura ( intenet ) html php my sql ecc devete sapre cosa vuole dire un data base nn dovete solo lavorare con programmi che serveno a poco dovete creare il vostro programma cosi deventerete un giorno veri haker .
RispondiEliminaConcordo pienamente.
EliminaCiao , il mio pc lo segnala come virus dite che è sicuro?
RispondiEliminaSì, è normale che lo segnali come virus, dopotutto è un RAT. Puoi star tranquillo che è sicuro.
Eliminascusa cosa devo fare quando dici udp e tcp?
RispondiEliminaLa porta aperta deve essere sia di tipo udp sia tcp
EliminaMa il download non è disponibile..
RispondiEliminaHai ragione. Ora però ho aggiornato il link al download e quindi è disponibile.
EliminaGrazie della segnalazione.
Hai scritto che "Se invece vuoi infettare un computer connesso alla vostra rete internet in Network Settings all'IP/DNS devi selezionare il tuo indirizzo IP locale e la porta 1604." ...dove "Network Settings"??
RispondiEliminaCiao Ragazzi vedo che in tanti si porgono la domanda di come usare DarkComet come impostarlo per bene insomma per l'esatto funzionamento :S BENE! Io ho risolto da solo diciamo così con un PC (MIO) connesso ad'una rete, e Dark a casa mia :D..... Allora praticamente i passaggi da fare sono un bel pò... Scrivo una Guida Completa e dettagliata per benino per i novellini :D DarkComet è già disponibile in Download praticamente da per tutto :D INSOMMA LA CAUSA E LE PORTE.... Dipende dai router, ci sono alcuni che ti danno il vantaggio di aprirle altri no... VI POSTO IL LINK DELLA GUIDA A BREVE...
RispondiEliminaCiao Ragazzi vedo che in tanti si porgono la domanda di come usare DarkComet come impostarlo per bene insomma per l'esatto funzionamento :S BENE! Io ho risolto da solo diciamo così con un PC (MIO) connesso ad'una rete, e Dark a casa mia :D..... Allora praticamente i passaggi da fare sono un bel pò... Scrivo una Guida Completa e dettagliata per benino per i novellini :D DarkComet è già disponibile in Download praticamente da per tutto :D INSOMMA LA CAUSA E LE PORTE.... Dipende dai router, ci sono alcuni che ti danno il vantaggio di aprirle altri no... VI POSTO IL LINK DELLA GUIDA A BREVE...
RispondiEliminail mio tplink non riesce ad aprirle
Eliminama l'ip che devo inserire in network settings è quello della vittima o il mio? quando la vittima installa il virus se ne accorge o fa tutto in background?
RispondiEliminal'ip che devi inserire è l'host che hai creato su noip.
EliminaLa vittima non si accorge di nulla.
Un solo consiglio..... non fate le cose facili per poi trovarvi nei guai, cercati di capire come avviene il tutto e studiate il funzionamento.
A cosa serve inviare un rat se non si sa nemmeno a cosa serve e come funziona?
Sapete se con ill router Vodafone si può aprire la porta? Che significa "fare l'upload su un sito come Mediafire" per inviare il virus alla vittima?
RispondiEliminaPer la port non ti so dire, non conosco il router della vodafone.
EliminaInerente invece il discorso Mediafire è probabile che qualcuno abbia consigliato di caricare il "server" e cioè il virus su mediafire per poi farlo scaricare dalla vittima come se fosse un gioco, o un programma o un qualsiasi cosa.
Prima di fare tutto accertati di essere credibile agli occhi di chi deve scaricare.
L'ingegneria sociale è l'inizio di tutto.
Come detto in altri commenti, la prima cosa da fare per testare i RAT e il loro funzionamento è creare una VM (Virtual Machine o macchina virtuale) cosi se farete danni non andranno ad intaccare il vostro sistema operativo vero e proprio.
RispondiEliminaNon abbiate fretta, ci vogliono 5 minuti per installare una VM e soprattutto capite il significato di quello che fate.
PS: prima di testare un rat disattivate l'antivirus e il firewall di windows
Ciao e complimenti, ma per fare la stessa cosa su un window phone 8.1 è possibile?
RispondiEliminaHo un problema, DarkComet non la vuole sapere di aprirsi nonostante sono amministratore dicendo che probabilmente non si hanno i requisiti.. Windows 8.1 Pro (Craccato ma funzionante) aiuto?
RispondiEliminaHai disattivato windows defender? Da win 8 sostituisce Microsoft security essential ed è preinstallato e attivo da subito. Devi disabilitare la scansione in tempo reale dalle impostazioni
Eliminascusa una domanda....tu dici di disabilitare l antivirus sul proprio pc ...e fin qui ok...ma il file server che facciamo avviare sul pc vittima se ha un antivirus ovviamente lo rileva e lo elimina....è cosi o mi sbaglio???
RispondiEliminaSì hai ragione. Ma qui andiamo a sforare su un altro vasto argomento dell'hacking, rendere un file invisibile all'antivirus.
EliminaCi ho già fatto una guida, ti posto il link: http://www.diventarehacker.it/2015/01/come-nascondere-un-file-allantivirus.html
EliminaError: I could not see your service on xxxxxxxxxx on port (1604)
RispondiEliminaReason: Connection timed out
che devo fare?
Ho un porblema: come posso aprire la porta 1604 di un router Linkem?
RispondiEliminaCiao ragazzi ho creato un server ho fatto tutto ma sul mio pc mi spunta sul user mi spunta il mio pc e faccio i test ma appena lo invio alla vittima non si collega alla lista user anche se lui lo apre come mai?
RispondiEliminaCiao ragazzi ho creato un server ho fatto tutto ma sul mio pc mi spunta sul user mi spunta il mio pc e faccio i test ma appena lo invio alla vittima non si collega alla lista user anche se lui lo apre come mai?
RispondiEliminaDio hacker che sei nei desktop,
RispondiEliminasia santificato il tuo router,
venga il tuo socket,
sia fatta la tua ram,
come in hardware,
così in software,
dacci oggi la nostra expoit quotidiana,
e nascondi i nostri virus,
come noi li nascondiamo alle nostre vittime,
e non ci indurre in troppi bug
ma liberaci dai lamer
ENTER!
ENTER!
EliminaLa rete non è un grafo non orientato. Non è un albero. È un singolo nodo etichettato G connesso a 10 miliardi di pagine di destinazione.
RispondiEliminabuon di a tutti,
RispondiEliminainnanzi tutto complimenti per il blog e il lavoro dei amministratori che vedo che ancora nel 2016 sono partecipi a differenza di molti altri.
Stavo leggendo l'articolo sui RAT e se ho capito bene sono quelli che ai miei tempi li chiamavano torjan(corregetemi se sbaglio) mi ricordo di sub7 per esempio. mi sembra che la tecnica che avete descritto in un articolo per celare il file server dentro un altro file(es un immagine) è simile se non la stessa che si faceva con filespliter(se non erro il nome), e in merito a questo io ricordo che si inviava il file contenente il server(per esempio dalla chat msn o le vecchie irc)e fino a qui tutto ok, ma poi quando la vittima apriva il file l'antivirus rilevava comunque il tojan, e questo mi porta a pensare che con la tecnica che avete descritto avvenga esattamente la stessa cosa...quindi la domanda sorge spontanea, come si evita tutto questo?o in un altro caso se si ha accesso fisico al pc vittima quindi si disattiva manualmente il l'antivirus si fa partire il server, poi che fine fa questo? resta nel file(che di fatto basterebbe far ingorare all'antivirus il determinato file e si sarebbe aposto) ma se cosi non fosse come si fa?(xchè ovviamente per fare un operazione stealth come un vero pro, una volta disattivato l'antivirus e avviato il server si dovrebbe riattivare l'antivirus come se niente fosse accaduto)
Ciao la tua è una bella guida. Certo è per chi inizia, le critiche però non le capisco. Si credono tutti geni. Comunque se vuoi passa a far visita al mio blog https://orsacracker.blogspot.it/p/blog-page.html?m=1
RispondiEliminaSaluti OrsaMaggioreCracker