Nowy trojan (15 maja 03) Beast 2.00 - problem.

[Ali_TRUE]

A new Beast is out: version 2.00

Trojan details:

- server size: 150 k uncompressed, 68 k compressed
- stealth server (using injecting technology)
- 2 options for injecting: explorer.exe and Internet Explorer
- extra persistence (is injected also in winlogon.exe and monitors the other injected files from there)
- added WebCam feature
- added Address Book
- added Save/Load options for server features
- added CGI notification
- and many other improvements[/b]

Ściągnołem nowego Beast'a, wszystko wygląda pysznie, server dobrze sie konfiguruje (powiadamianie przez CGI, ICQ) tylko, że gdy ofiara uruchomi u siebie server (powiadomienie przychodzi) lecz client nie może się połączyć z serverem. Czy nie wiecie w czym tkwi problem? (porty/hasło/IP są dobrze wpisane!)
Pozdrawiam.

Link z downloadem Beast 2.00:
http://areyoufearless.com/modules.php?op=m...eq=getit&lid=92

 

[Nisia]

firewall, router z natem, antyvir, dynamiczne ip...
Moze cos z tych spraw... zobacz w "pytania i odpowiedzi", wiele razy o tym pisalam

 

[Ali_TRUE]

Hmmm nie mam pojęcia - server ma ustawione zabijanie antivirow i fw...

 

[Nisia]

no tak, ale pozostaje ci jeszcze router i dynamiczne ip, albo po prostu pech, a to spotyka czlowieka bez powodu

Wiec poczytaj co pisalam o routerach (tam jest chyba temat o problemie z polaczeniem cafeini). Wazne jest skad masz ip, zeby bylo wiadomo, ze masz adres publiczny hosta z serverem trojana a nie routera. No i trzeba byc pewnym, ze server zostal odpalony, nie wykryl go antyvir... a w ogole to przeskanuj tego hosta i zobacz czy ma otwarty port na ktory chcesz sie laczyc. Jesli jest filtrowany to siedzi tam firewall. Tylko najpierw musisz miec pewnosc, ze skanujesz tego hosta a nie router. Troche zagmatwalam, ale mam nadzieje ze rozumiesz

 

[Ali_TRUE]

Ok, dzięki za odpowiedź. Beast wydaje się bardzo dobrym trojanem (niwykrywalny pczywiście) ale muszę jeszcze rozwikłać problem z łączeniem się z serverem.

BTW: Znacie może jakiś dobry keylogger (koniecznie niewykrywalny) o funkcjach:
- wysyłanie logów na e-mail/zapis logów do pliku
- zajmujący jeden plik PE (aby było łatwo zbindować)

Dzięki za Odp.

 

[spy]

No czekałem na Beast 2.00 =]
No to jest =]

Co do nie-wykrywalnosci =[
Beast 1.92 byl nie-wykrywalny chyba 2 dni =[
Strona areyoufearless.com jest bardzo popularna....

Co do servera... jak kazdy wie Beast 1.92 mial problem z mailem itd...
Mojm zdaniem to nie problem routera LANu itd.. ale kod utrojana zaraz sie nim pobawie i sie dowiem o co chodzi =]


Pamietajmy ze podobny BUG byl w LANfiltrator FIX =]
---------------------

Jesli nie ustawisz notyfikacji to server dzila dobrze =]
Coz ver. 2.00 tez bedzie pozbawiona notyfikacj...

 

[Ali_TRUE]

Co do servera... jak kazdy wie Beast 1.92 mial problem z mailem itd...
Mojm zdaniem to nie problem routera LANu itd.. ale kod utrojana zaraz sie nim pobawie i sie dowiem o co chodzi =][/b]

To jak go dogłębnie przetestujesz (bo widzę że jesteś obeznany z serią Bestii) to daj znać o co biega na PW.

Jesli nie ustawisz notyfikacji to server dzila dobrze =]
Coz ver. 2.00 tez bedzie pozbawiona notyfikacj...[/b]

W takim razie pozostaje nam manualne namierzanie ofiary lub dołączenie jakiegoś programiku do notyfikacji. Czy się nie mylę ?

 

[spy]

heeh Beast =] tak... to wlasnie na nim wzorowalem Red Spy =]

Aby zrozumiec "BUG" v 2.00 wystarczylo przeczytac "kometarze" =]
Z nich wynika ze "wlaczenie funkcji ICQ psuje program"

Wniosek... nie wlanczaj a bedzie dzialac =]

ps.
Co v 2.00 nie jestem zachwycony....
Nic prawie nie dodano a server zwiekszyl swoja objetosc o 23KB =[

dodano
- widok z kamery ofiary
- dodanie AV i FW do zabicia
- nowe "logo"
- open port gdy ofiara jest on line
- notyfikacje ICQ i CGI (ktore nie dzialaja =[ )
- zapisywanie ustawien servera
- address book

i do tego kill server nie dziala =[
a i jak ustawisz "usun server po instalacji" to server przestaje dzialac (tak jak w wypadku ICQ) =[

Jednym slowem.... Beast 1.92 r0x!
a Beast 2.00 dobrze ze jest.....
Autor zapowiada co najmniej jeszcze 3 odslony Beast do konca tego roku.
Moze beda lepsze.

ps. Beast zostal compilowany 15 Maja a nie 17

 

[Telemaniak]

Szkoda że niema funkcji podsłuchiwania
apropo znacie moze dobrego trojana z opcja podsłuchiwania :?:

 

[SNiFF]

Originally posted by Telemaniak

Szkoda że niema funkcji podsłuchiwania
apropo znacie moze dobrego trojana z opcja podsłuchiwania :?:

Podsluchiwanie ? Chodzi ci o keylogera czy opcje robiaca screny z ekranu ofiary ?

 

[SZoPer]

Moze chodzi o podsluchiwanie mikrofonu?

 

[Telemaniak]

8) chodzi mi o słuchanie tego co mówi sie przy komputerze jak ta druga osoba ma podłaczony mikrofon :wink:

 

[SZoPer]

no nie! zgadlem!

ja przynajmniej o czyms takim nie slyszalem, co wcale nie znaczy, ze to nie jest mozliwe. Popros ladnie Spy'a, a ujzysz to w nowym Blue-Spy

 

[Telemaniak]

Mi sie obiło o uszy ze jest i to wcale nie nowy
tylko nepamietam nazwy :twisted:

 

[Ali_TRUE]

Pierwszy raz słyszę o takiej głupocie - moim zdaniem zbędny bajer, pozatym żadko się zdaża, aby ktoś miał na stałe podłączony mikrofon, ale ok, jak ktoś ma chęci i umie, to niech kombinuje

 

[deluge]

Testowalem wlasnie tego trojana i jest strasznie niestabilny... prawie nic sie nie da zrobic na nim. Dodam tylko ze wszystko odbywalo sie w sieci lokalnej i na WinXp po obydwu stronach.

 

[nOOb]

Beast 2.00 jest juz wykrywalny

 

[Chochlik]

Hmmm ludziska moze mni ktory powie skad wytrzasnac zrudelka beast'a?? Niby sciagnelem beast 2 ale zrudelek nie ma szukalem cus na stronce tesh nic nie znalazlem... Moze jestem slepy tylko o tym ni wim lol