Para empezar, basta recordar que su interfaz es muy similar al Bifrost, y que se trata de un troyano de conexion inversa (la

victima se conecta a nosotros en lugar de nosotros a ella). Este tipo de troyanos es un exito en los ultimos tiempos y son muy sencillos de manejar. Cuando ejecutamos el Poison Ivy aparece la siguiente ventana:

Empiezo explicando las columnas de la ventana principal: ID: muestra el nombre que le dimos a la victima. WAN: muestra la IP de internet de la victima. LAN: muestra la IP de red de la victima. Si no se encontrara en una red se mostrara la misma IP que en WAN. Computer: muestra el nombre de la PC de la victima. User Name: muetra el nombre del usuario activo en la PC de la victima. Acc. Type: muestra el tipo de sesion que esta activo en la PC de la victima. Estos pueden ser Administrador, Invitado, Usuario comun, etc, y determina el tipo de privilegios que se tiene en la PC. OS: significa "Operating System", es decir "Sistema Operativo" y nos dira que sistema operativo tiene la PC de la victima (Windows 98, ME, 2000, XP, Linux, etc) CPU:

nos dira la cantidad de megahertz (MHz) que tiene el procesador de la PC de la victima. RAM: nos dira la cantidad de memoria RAM que posee la PC de la victima. Version: indica la version del server que tiene instalada la victima. Ping: indica la velocidad de conexion con la victima. Si el numero es muy alto se dificultara nuestra conexion con la victima y se podria perder. Cuanto mas bajo sea es mejor. Port: xxxx : indica el puerto que estamos escuchando. Connection( : xx : indica la cantidad de conexiones que tenemos. Esta era la solapa "Connections", ubicada en la parte inferior derecha de la pantalla. Ahora explico las otras: Build: aca se creara nuestro server. Aparecera la siguiente ventana: DNS/Port: aca se deben ingresar las IP's o los dominios en NO-IP a los que nuestro server se conectara. Al hacer click en "Add" aparecera esta ventana:

Debemos agegar IP's o dominios NO-IP y luego probar las conexiones con el boton "Test Connections". Si aparece un _/ en verde significa que la conexion funciona. Caso contrario aparecera una X roja. Continuamos con las opciones de "Build": ID: es el nombre con el que aparecera nuestra victima conectada. Aparece en la columna "ID" de la ventana principal. Password: es la clave para diferenciar nuestros servers de los otros tantos que existen. DNS/Ports dentro de "Socks4":

se agrgan de la misma manera, con el boton "Add", y sirve para agregar proxys en el medio de a conexion. Utilizando esta opcion va a lentificar la velocidad de conexion. Active-X Key: para utilizarla hay que activar la casilla "Startup". Sirve para crear un registro en la PC de la victima para que nuestro server se conecte cada vez que se inicia Windows. Filename: es el nombre con que se instalara el server en la PC de la victima. Es conveniente escribir uno que no llame la atencion. Copy file to: si la seleccionamos, debemos elegir "System Folder" o "Windows folder". Es la carpeta en la cual se copiara nuestro server. Melt: si la seleccionamos, cuando nuestra victima ejecute el server, ste desaparecera. Keylogger: sirve para activar la opcion de Keylogger apenas se ejecuta el server. Persistence: no estoy muy seguro de esta opcion, pero me parece que sirve para que el server sea dificil de eliminar. Advanced: estas opciones son avanzadas y no son convenientes cambiarlas. Tratan funciones de Procesos y Keylogger. Icon: al presionarlo se elegira un icono para que tenga nuestro server. Build: construira nuestro server en la carpeta donde se encuentre el Poison Ivy. Settings:

aca se manejan opciones del programa. La ventana es la siguiente:

Listen on port: xxxx : aca se establece el puerto que se va a escuchar. Password: aca se debe escribir el password para identificar nuestros servers asi pueden conectarse. Debe ser el mismo que escribimos cuando creamos el server. Sim. Transfers: son las descargas simultaneas que el cliente va a comenzar. Secure Delete rounds: es la cantidad de veces que un archivo se sobreescribe antes de ser borrado, cuando se utiliza la opcion "Secure Delete" Enable Caching: la verdad no entiendo para que sirve esta funcion. Cuando lo averigue lo agrego. Mientras tanto dejenla seleccionada. Auto Refresh: para que se actualize automaticamente la ventana de archivos de la victima. Treeview Layout: si la seleccionamos vamos a ver los archivos de la victima a manera de arbol genealogico.

Menu Layout: si la seleccionamos vamos a ver los archivos de la victima a manera de menu. Key log colors: sirve para cambiar los colores de las diferentes opciones del Keylogger. Estas son "Nombre de la ventana", "Tiempo del registro" y "Nombre de la tecla". Haciendo clic izquierdo vamos a seleccionar nuevo color. Con un clic derecho vamos a volver al color predeterminado. Close to system tray: sirve para que cuando cerremos la ventana del Poison Ivy, se minimize al lado del reloj. Minimize to system tray: sirve para que cuando minimizemos la ventana del Poison Ivy se minimize al lado del reloj. Balloontip notification: sirve para que nos notifique las nuevas conexiones en forma de globo. Promt for password on new connection: sirve para que cuando se conecte una victima nos pida password. Promt before exit: sirve para que nos pida confirmacion antes de cerrar el Poison Ivy. Promt before delete: sirve para que nos pida confirmacion antes de borrar. Interface language: el idioma del Poison Ivy, aunque por ahora parece que se puede elegir nada mas que ingles. Save: para guardar los cambios que hayamos hecho. Stats:

al hacer clic aparecera la siguiente ventana:

Aca se muestra informacion sobre los datos enviados y recibidos. No hay ninguna otra opcion. About:

aparecera la siguiente ventana:

Son los creditos y autores del programa. No es nada importante. Al hacer doble clic en una victima de la pantalla principal se abre una ventana en la cual tenemos una gran variedad de opciones de control. Voy a explicar una por una. En la parte superior de cada ventana hay cuatro botones pequeos, explicandolos de izquierda a derecha sus funciones son: cambiar la distribucion de las opciones en la ventana, ver los datos que se estan transfiriendo, auto actualizar y abrir la carpeta en donde guardamos todos los archivos de la victima. Aclaro tambien que haciendo clic con el boton derecho en cada una de las ventanas, vamos a poder obtener la informacion de la PC de la victima (Refresh), copiar los registros al portapapeles (Copy to Clipboard), entre otras. Information :

aca aparece informacion sobre la PC (la misma que aparecia en la ventana principal) e informacion sobre el server. La ventana es la siguiente:

Managers - Files:

para ver todos los archivos de la victima. La ventana es la siguiente:

Haciendo clic con el boton derecho vamos a poder refresar la ventana, buscar archivos o carpetas, ver iconos grandes, subir archivos o carpetas, descargar archivos o carpetas, ejecutar archivos de forma visible u oculta, renombrar archivos o carpetas, borrar archivos normalmente o de manera segura. Managers - Search:

sirve para buscar archivos en la PC de la victima. La ventana es la siguiente:

File name: escribimos el nombre del archivo. A word in the file: por si no sabemos el nombre completo, escribimos una palabra que pueda contener el archivo. Search in: escribimos un directorio para que se busque solamente ahi. Include subdirectories: si la seleccionamos vamos a incluir los subdirectorios en la busqueda. Fuzzy: si la seleccionamos, va a encontrar cualquier archivo que contenga nuestra palabra de busqueda. Case sensitive: para coincidir mayusculas y minusculas. Search: para comenzar la busqueda. Stop: para detener la busqueda. Regedit:

para acceder al registro de Windows de la victima. La ventana es la siguiente:

Haciendo clic con el boton derecho vamos a poder refrescar, buscar claves y valores, crear claves y valores, modificarlas, borrarlas y renombrarlas. Regedit - Search: sirve para buscar claves y valores en la PC de la victima. Esta es la ventana: Se maneja de igual manera que el buscador de archivos. Lo unico que se le agrega son opciones de buscar determinados valores y claves. Processes:

para ver la lista de procesos de la victima. La ventana es la siguiente:

Haciendo clic con el boton derecho podemos refrescar, guardar a un archivo, matar el proceso y suspender el proceso. Services: para ver la lista de servicios de la PC de la victima. Nos indica nombre de servicio, ubicacion, descripcion, tipo, entre otros. La ventana es la siguiente: Con el boton derecho del mouse podemos refrescar, guardar a un archivo, iniciar o detener un servicio, editar, instalar y desinstalar servicios. Windows:

aca podemos ver todas las ventanas que tiene abiertas la victima.

Con el boton derecho podemos refrescar, capturar la ventana, enviar teclas para que sean presionadas en la PC remota, mostrar la ventana en la PC remota, esconder la ventana, maximizar, minimizar y cerrar la ventana. Tools - Relay: sirve para ver y manipular el trafico entre los diferentes proxys y servers. Esta opcion es valida si nosotros agregamos algun servidor intermedio cuando configuramos el server (en Socks4).

Esta opcion del Poison Ivy es un poco avanzada y no se usa mucho. Se pueden capturar passwords, nombres de usuario e informacion que hayan quedado registrados a lo largo de la conexion que establecimos a traves de los proxys. Tambien tiene opciones de filtro, para que no aparezca informacion que no queramos. Vuelvo a aclarar que si no utilizamos la opcion "Socks4" al principio, no podemos utilizar esta funcion. Active Ports: sirve para ver que puertos TCP y UDP estan abiertos en la PC de la victima. Es lo mismo que hacer un netstat. La ventana es la siguiente:

Al hacer clic con el boton derecho tenemos opciones como refrescar, guardar a un archivo, resolver el DNS, capturar paquetes, matar la conexion y matar el proceso. Remote Shell:

sirve para manejar la consola MS-DOS de la victima. Esta es la ventana:

Para activarla hay que hacer clic derecho y elegir la opcion "Activate". Tambien podemos guardar el registro a un archivo y limpiar la ventana. Password List: sirve para capturar algunos passwords que quedan registrados, por ejemplo, cuando se autocompleta en el IE. La ventana es la siguiente: Haciendo clic derecho podemos refrescar, ir al sitio web donde se ingreso la clave, guardar en un archivo, y copiar al portapapeles. Key logger:

sirve para registrar todas las teclas presionadas por la victima. La ventana es la siguiente:

En ningun lugar encontre una opcion para Activarlo o Desactivarlo, por lo tanto no lo pude hacer funcionar. No se si sera un error del programa o la funcion estara en algun otro lugar, pero por ahora no pude. Screen Capture:

sirve para capturar la pantalla de la victima y poder manejarla. En otras palabras, es un escritorio remoto. La ventana es la siguiente:

Stretch: sirve para ajustar la pantalla de la victima a la ventana. Mouse: sirve para manejar el mouse de la victima y poder clickear en donde queramos. Keyboard: sirve para manejar el teclado de la victima y poder escribir en donde queramos. Interval: es el intervalo de tiempo en que se toma una y otra captura. Start: comienza a capturar pantallazos seguidamente. Single: captura un unico pantallazo. Save: sirve para guardar la pantalla en un archivo. Si seleccionamos "Autosave" se guardaran todas las que se capturen. Options: sirve para cambiar el tamao y la calidad de la pantalla. Webcam Capture:

sirve para capturar imagenes a traves de la camara web de la victima. La ventana es la siguiente:

Stretch: igual que en la captura de pantalla, sirve para ajustar la imagen a la ventana. Interval: el intervalo de tiempo entre cada captura. Start: comienza a capturar imagenes. Single: captura una unica imagen. Driver: muestra las camaras web instaladas en la PC de la victima. Podemos seleccionar cualquiera y con el boton "Activate" la activamos. Si no se encuentra ninguna camara aparecera "No webcam installed!" Save: para guardar la imagen a un archivo. Con "Autosave" se guardaran todas automaticamente. Edit ID:

sirve para cambiarle el nombre de la victima que nos aparece cuando se conecta. La ventana es la siguiente:

Share: sirve para agregar una IP o dominio NO-IP para que el server se conecte, y asi compartir la conexion. La ventana es la siguiente:

DNS/Port: aca agregaremos la nueva IP o dominio NO-IP. ID: el nombre con el que se conectara la victima en ese nuevo dominio. Password: la clave del server en ese nuevo dominio. Socks4: si se quieren agregar proxys o servidores intermedios. Run in Same Process/New Process: para que el server se ejecute en el mismo proceso o uno nuevo. Privileges: para que el server compartido tenga los permisos apropiados. Full (el server compartido tiene acceso a todas las opciones), Normal (al server compartido no se le esta permitido cambiar opciones de administracion del server), Restricted (al server compartido no se le esta permitido utilizar opciones peligrosas). Update: para actualizar el server a uno nuevo que hayamos creado. Restart:

para resetear el server. Uninstall: para desinstalar el server. Estas cuatro ultimas opciones aparecen cuando se hace clic con el boton derecho en una victima en la pantalla principal. Tambien aparece la opcion "Ping", que sirve para determinar el ping que la PC de la victima tiene en ese momento.

Aca termina el manual. Sinceramente me costo hacerlo, pero ya esta terminado por suerte. Aclaro que todo es 100% mio y nada fue sacado de otro lugar. Tambien quiero pedir a los usuarios de CPH que no copien el manual a ningun otro post de este subforo, sino sera borrado. Esto lo digo por un tema de orden. Siempre que quieran referirse a el o mostrarlo, haganlo escribiendo el link. No esta permitido sacar partes del manual Todos los derechos reservados Espero que les sirva a todos. Si tienen ganas escriban sus opiniones (buenas y malas) sobre que les parece el manual, y digan si falta algo o no se entiende Muchos saludos y suerte! mandiubi