1337 trojan

[spiterbot]

witam,mam do zaprezentowania trojana opartego na protokole gg

wykrywalność
download

konfiruracja nie powinna sprawić problemów:
wystarczy założyć nowy numer gg
dodać go do listy kontaktów
wpisać ten numer i hasło do niego w generatorze(dane do ftp mozna zmienić pozniej)
wysłać wygenerowany plik ofierze

gdy numer będzie dostępny z opisem "Online" mozna wydawać następujące komendy:
cd [folder] - zmienia/wyświetla aktualny katalog
ls - wyświetla pliki w aktualnym katalogu
cp [plik zrodlowy] [docelowy] - kopiuje plik
rm [plik] - usuwa plik
screen [nazwa pliku] - robi zrzut ekranu(.jpg 80- 130 kb) i wysyła go na ftp
set zmienna=wartosc - zmienia ustawienia trojana dostępne zmienne:
gg_ne,gg_pass,ftp_srv,ftp_login,ftp_pass,"set -i" wyświetla aktualną konfiguracje,zmiany wchodzą w życie po "zrestartowaniu trojana"
restart - "restartuje" trojana
upload [plik(i)] - wrzuca plik na ftp(może wystąpić znak '*')
wnd - lista okienek w systemie
msg [tresc komunikatu] [tytul] - wyświetla okienko komunikatu
opencd - otwiera cd-rom
closecd - zamyka
hidetray - ukrywa pasek zadań
showtray - pokazuje
swap - zamienia przyciski myszy
exit - wyłącza trojana(do następnego uruchomienia komputera)
uninstall - usuwa trojana z komputera ofiary

trojan jest case-sensitive tzn. rozpoznaje komende "opencd" ale "OPENCD" już nie
jeśli w jakimś parametrze występuje spacja należy uzyć znaku "
np. msg "treść komunikatu" zamiast msg treść komunikatu

możliwości wersji VIP:
-wszystko co wyżej
-dostęp do cmd(ze zwrotem oczywiście)
-ściąganie plików na komputer ofiary
-zrzut obrazu z kamery
-zablokuj/odblokuj/ukryj/pokaż/zamknij okienko
-wyłączanie włączanie monitora, dostępu do rejestru/panelu sterowania/menadzera zadań/wybranych dysków
-wyszukiwanie plików
-zmiana tapety
-blokada myszki,zawieszanie kompa itp.

pozdro

 

[Kopaczka92]

Weź to wrzuć na jakiś serwer inny bo po tygodniu nie będzie tego pliku..

 

[spiterbot]

rapidshare

 

[patroleks]

W czym zrobiłeś tego trojana?

 

[hxv]

spiterbot, zmień ikonkę, Ikarus z tego co pamiętam wykrywa program z ikonką jpg jako szkodliwy program (wystarczy jak zmienisz odcienie paru pixeli i powinno być ok)

patroleks,

Microsoft Visual C++ 6.0

 

[spiterbot]

<div class='quotetop'>CYTAT(hxv @ 25.10.2008, 22:17) <{POST_SNAPBACK}></div>

spiterbot, zmień ikonkę, Ikarus z tego co pamiętam wykrywa program z ikonką jpg jako szkodliwy program (wystarczy jak zmienisz odcienie paru pixeli i powinno być ok)

[/b]

thx ale to raczej nie to...program bez ikony/z inną ikoną wykrywa tak samo

 

[truskawaa19]

Witam.
Jestem nowym uzytkownikiem ale fora przegladam od dluzszego czasu.Postanowilem zrobic test z tym tr.

Wszystko robie jak w opisie(chyba), mysle ze dobrze. Pierwszy test zrobilem na sobie. Wszystko super smiga Avast nie wykryl nic na ftp przychodza mi screeny zgodnie z poleceniami NIestety jak wyslalem kumplowi(on wiedzial co to jest) kumpel nie ma av. Kumpel otwiera server i niestety nic sie nie dzieje. Jaki moze byc powod?? Z gory wielkie dzieki dzieki.

 

[0wn3r]

"cmd /C REG ADD HKLM\software\microsoft\windows"

Program zapisuje się do rejestru HKLM\software\microsoft\windows.

A następnie kopiuje się do windows/system jako plik ALG.exe(poprawna ścieżka tego pliku to windows/system32):

"\system\alg.exe"
"alg.exe"
"alg.txt"

 

[truskawaa19]

Wielki dzieki co do tego kodu tylko to alg.exe nie chce sie usunac. Teraz to nawet jak ja zainstaluje tgo tr to nie dziala na moim kom.

 

[0wn3r]

Ale pamiętaj, prawidzwe ALG.exe jest w Windows\System32(tego nie wolno usuwać, bo to proces systemowy). Jednakże ALG.exe co tworzy trojan, jest w Windows\System. Aby wyłączyć fałszywy ALG.exe starczy wyłączyć proces.

 

[truskawaa19]

wielkie dzieki, mialem duzo w procesach jeszcze czegos takeigo reg.exe tez pozamykalem

 

[truskawaa19]

Czy liczba screenow jest ograniczona????

 

[spiterbot]

<div class='quotetop'>CYTAT(truskawaa19 @ 3.11.2008, 0:09) <{POST_SNAPBACK}></div>

Czy liczba screenow jest ograniczona????[/b]

tak...w wersji demo

 

[wiatrak]

a skąd można ściągnąć wersje Vip?

PS co trzeba wpisać za ftp? sry ale nie łapie trochę a zależy mi na screenie

 

[0wn3r]

Wersji VIP nie można ściągnąć, tylko trzeba kupić

 

[filipyoyo]

A mogl bys zmienić ten opis

np na "Życie jest okrutne"

________________

fajne ale nei che wysylac mi screenow

pisze 0 files send ;(

i zrob komende typu help co wyswietl;a komendy

bede wdzięczny

 

[spiterbot]

<div class='quotetop'>CYTAT(filipyoyo @ 14.11.2008, 21:26) <{POST_SNAPBACK}></div>

A mogl bys zmienić ten opis

np na "Życie jest okrutne"[/b]

po co?

<div class='quotetop'>CYTAT(filipyoyo @ 14.11.2008, 21:26) <{POST_SNAPBACK}></div>

fajne ale nei che wysylac mi screenow

pisze 0 files send ;([/b]

nie jestem jasnowidzem

<div class='quotetop'>CYTAT(filipyoyo @ 14.11.2008, 21:26) <{POST_SNAPBACK}></div>

i zrob komende typu help co wyswietl;a komendy

bede wdzięczny[/b]

nie będe zaśmiecał trojana komendą help bo opis komend jest już na forum

btw. dodałem niewidocznośc w procesach i omijanie firewalli

 

[romet_pl]

Bardzo ciekawy programik. Troszkę wykrywalny ale jednak całkiem spoko. Nie wiem tylko z tym ftp mimo up linku niestety screan mi nie przychodzi :/ Ale trudno ogólnie 7/10.


Kurcze ale on jest prze wykrywalny :/
Komu bym go nie wysyłał widzi wirusa
Nie dało by się coś z tym zrobić?

 

[djmentos]

do tutoriali nie łaska zajrzeć? HXV się produkował na ten temt ze 2 razy.

 

[Sharow]

No autor sie postaral i odwalil kawal roboty...duzy plus wedlug mnie bo dziala nawet przez GG w komorce co do bigbena nie dzialalo.Wszystko ladnie dziala az by sie chcialo kupic Full wersje (vip).A mam pytanko czy dalo by rade zrobic naprzyklad taki trojanik tylko zamiast ftp np zeby wysylalo na odsiebie.com ?? A i jeszcze jedno pytanko czy to tylko wysyla plik na ftp ktore znajduja sie tam gdzie serwer?