TROYANO FLU B0.5.2 WINDOWS

Publicado: febrero 6, 2013 en Uncategorized
Bueno hoy día si he tenido un día súper pesado por el trabajo y  las clases que fueron más teóricas que prácticas les comentaré el día de hoy , de una aplicación que vimos en las clases del MUSI al menos para darse algunos jueguitos se puede decir que está bien… Flu es un troyano orientado a la construcción de botnets, también conocidas como redes de máquinas zombies. Se encuentra diseñado con una arquitectura cliente-servidor. El servidor consiste en un pequeño ejecutable programado en C# que permitirá infectar cualquier sistema operativo Windows, incluyendo Windows 7, para conseguir el control de la máquina en la que se hospeda. El servidor web, donde se ejecuta el cliente, se encuentra desarrollado en PHP y corre sobre Apache. Su objetivo es enviar comandos a todos los servidores Flu alojados en las víctimas repartidas por Internet, para obtener información de las máquinas en las que se encuentran instalados, y almacenarla en la base de datos. La información de los usuarios podrá ser consultada en el servidor web en cualquier momento desde una interfaz gráfica desarrollada en HTML, PHP y JQuery.

En el siguiente gráfico veremos como la comunicación del cliente y el servidor de Flu tiene dos direcciones:

Flu es un troyano que se compone de tres partes principales, un ejecutable desarrollado en C# que se instala en la máquina que se desea infectar. Que hará las funciones de un servidor en una arquitectura de troyano reverso (cliente-servidor). Una segunda parte que es un programa desarrollado en PHP y que se despliega en un servidor web Apache. Que hará las funciones de cliente en una arquitectura de troyano reverso. Y una tercera parte que es una base de datos MySQL instalada en el servidor web donde almacena los datos recogidos de las máquinas infectadas.

Para instalar nuestro cliente en el servidor web, simplemente seleccionaremos todos los archivos que contiene la carpeta “Servidor web”, que encontraréis dentro del archivo comprimido con todos los elementos de Flu, y los arrastráis en la carpeta raíz de vuestro servidor web.

<?php
$dbhost=”localhost”;
$dbusuario=”root”;
$dbpassword=””;
$db=”flubbdd”;
$conexion = mysql_connect($dbhost, $dbusuario, $dbpassword);
mysql_select_db($db, $conexion);

?>

Para la instalación de la BBDD se requiere tener instalado MySQL.

Para infectar una máquina habrá que generar primero un bot en el que se configurarán la ruta donde se encuentre el index de nuestro servidor web y la ruta donde se encuentre el fichero XML con el que se realizará el envió de los comandos a los bots. Para ello ejecutaremos la aplicación “generadorBots.exe”

Por defecto aparecerá el dominio localhost, deberá ser sustituido por vuestro dominio en caso de que sea diferente. Ahora se pulsará el botón “crear”:

Nos solicitará el lugar donde queremos guardar nuestro bot. Después nos solicitará el archivo “flu-nucleo.exe”, lo abrimos:

Si todo ha ido bien, nos aparecerá el mensaje: “BOT CREADO”; y tendremos el ejecutable “flu.exe” listo y configurado para infectar:
Para configurar los ataques que realizaremos contra las máquinas infectadas accederemos a la consola principal de Flu. Para ello en nuestro caso nos dirigiremos a la ruta “localhost”. Y nos encontraremos con la siguiente pantalla:

Los datos de autenticación por defecto son: 
Usuario: Admin 
Contraseña: 1234 
Estos datos se pueden modificar desde el panel de control, en la pestaña “gestión de usuarios”.

Nota : Flu acepta todos los comandos que se puedan ejecutar tanto en un CMD como en una consola de Powershell (si el equipo infectado cuenta con ella). En caso de querer enviar comandos de Powershell será necesario anteceder la palabra “powershell” a cualquier comando.

Para mayor profundización y estudio les sugiero que visiten la página oficial de Flu donde podran realizar las descargas, ejemplos de los comandos de flu y demás : www.flu-project.com

Anuncios

Los comentarios están cerrados.