1. Shawn1x

    Shawn1x Banned

    Joined:
    24 Aug 2007
    Messages:
    376
    Likes Received:
    466
    Reputations:
    -18
    M 2 TROJAN


    Описание:

    Последняя версия 1.4b 24.11.00

    Вышла первая версия нового русского трояна m2, пока ещо не видимиго для AVP. В комплект поставки входит: сам конь - m2_dll.exe, m2_jpg.exe, m2_rundll16.exe (несколько модификаций с разными иконками), конь версии SelfExtractor - m2_selfextractor, и графический конфигуратор - GuiConf.exe

    Внимание! Программа создана исключительно в образовательных целях. Автор не несёт на себе ответственность за её использование, действуйте на свой страх и риск.

    # Возможности: ДиалАп пароли с телефонами, логинами, со скриптами, и с dns серверами.

    # Пароли из PWL файлов.

    # Пароли из EDialer'а.

    # Пароли от Windows commander'а.

    # Определяет версию ОС.

    # Определяет используемое соединение(если это ДиалАп).

    # Определяет используемое устройство, для выхода в инет.

    Принцип действия:

    Для получения ДиалАп паролей динамически подгружается Rasapi32.dll, и импортируются функции RasGetEntryProperties и RasGetEntryDialParams, которые достают пароли, телефоны и прочие скрипты из маздаевской телефонной книги.

    Для получения паролей из PWL файлов в маздайе предусмотренна специальная функция WNetEnumCachedPasswords, которая импортируется из mpr.dll динамически.

    FTP пароли от WindowsCommander'а берутся из ини файла wcx_ftp.ini, который лежит в маздай папке. Как пользоваться этими паролями?
    Ставите себе WindowsCommander 4.0, делаете ftp соединение с каким нить паролем, лезете в маздай папку и ищите файл wcx_ftp.ini, открываете его и находите то соединение, какое вы только что сделал, ищите там строку с паролем, она должна выглядеть типа :A54F435E3D234A876BA469, и меняете её на ту что пришла вам, естессно ftp сервер должен быть то же что вам пришло.

    Щас имеется в наличии две версии это коня, первая: m2_jpg.exe, m2_dll.exe, m2_rundll16.exe - 24 кило весом, рекомендуется склеивать его с разными прогами(см. ниже), и m2_selfextractor.exe - 28 кило весом, в этом трояне очень хорошо реализована эмуляция SelfExtractor'а, он сделан таким образом, что на экране появится сообщение об ошибке в архиве, его НЕ рекомедуется склеивать с чем либо по причине того, что кроме проги, с которой вы его склеите, на экране появится окно этого самого SelfExtractor'а. Если вы всётаки решили не исползовать версию SelfExtractor, то юзайте другую версию(m2_dll.exe, m2_jpg, m2_rundll16.exe).

    Что надо делать после конфигурации и как впаривать коня.

    Если вы используете версию не SelfExtractor, то настроенный конь ещо не пригоден для юзания, его надо склеить с какой нить друго прогой. Качаете прогу Joiner или One EXE Maker2000. Эти проги позволяют склеивать два файла между собой(конь и какая нить полезная прога). Вариант №2, Использование программ, создающие Setup файлы. Берёте какую-нить полезную прогу, качаете какой-нить InstallMaker (MindVision Installer VISE, Wise Installation System, GkSetup, Setup Generator). Прогу помещаете в setup, и запихиваете коня, в установках ставите так, что бы конь запускался без разрешения пользователя.
    Если вы используете версию SelfExtractor, то в этом случае его можно впаривать под видом архива чего либо, ну фоток или ещо чего. Если вы решили использовать другую версию без SelfExtractor'a, то это может быть какая либо полезная прога, склеенная с конём, или setup, всё это впаривается как всякие проги, проги с инсталяторами, и т.д.
    Если вдруг вам понадобилось сменить иконку, в инете есть рульная прога MicroAngelo. Приведу один пример не плохого способа как впаривать коня всяким ламерам. Идёте на сервер знакомств( www.mheart.ru, www.fortuna.ru, www.kiss.ru, и др.), и пишите всем подряд, типа "меня зовут так-то, я бы хотел с тобой познакомиться, и т.д. и т.п.(конешно про себя писать не надо, нужно чо нить придумать , и прикладываете к письму свои фотки, ну тоесть коня, в данном случае лучше юзать версию SelfExtractor.

    Ваша безопасность

    В последнее время, злые дядьки-админы разных провайдеров стали ставить на свои момедные пулы АОНы. Это очень сильно обламывает, т.к. это реальная опасность быть пойманым, в лучшем случае вам просто позвонит владелец аккаунта, и предложит вернуть не много денег, за его спизженные часы, ну а в худшем вам могут позвонить в дверь дядьки в форме.
    Как всё таки определить наличие АОНа
    Очень просто. Звоните на момедный номер телефоном, и слушаете как там снимают трубку, обычно без АОНа это выглядит как один двойной щелчок, а с АОНом слышно два двойных щелчка, сначала трубу снимает АОН(или модем), происходит один двойной щелчок, а потом сам модем(или АОН), и сразу слышен ещо один двойной щелчок. Для тренировки позвоните на 9955555, и вы сразу поймёте, как звучат АОНы.

    Небольшой список телефонов с АОНами

    9955555, 9955556 - MTU
    9951111 - Cityline
    Конешно на Citylen'е есть ещо другие телефоны, но к сожелению всех их я не проверял, знаю точно что на ситулине есть телефон 9133949 без АОНа(если ещо его туда не поставили

    Некоторые диапазоны сетей провайдеров.

    Например вам пришли пароли, и в письме указан ипи, ну например 212.188.***.***, По этому ипи адресу можно определить провайдера.
    Вот некоторые диапазоны сетей которые я помню:

    212.188.***.*** - MTU
    195.146.***.*** - Cityline
    195.239.***.***, 194.67.***.*** - Russia Online
    213.148.***.*** - Comintern
    195.2.***.*** - Mr.Postman
    195.146.***.*** - Relline
    194.186.***.*** - Rline
    195.230.***.*** - Tcnet
    212.44.***.*** - Sovintel
    212.92.***.*** - Cea
    194.58.***.*** - Relcom
    195.14.***.*** - Corbina


    Как настроить:

    [​IMG]

    # To:
    сюда вы вписываете своё мыло, на которое будут приходить пароли (тестировалось на mail.ru и chat.ru)
    # SMTP server:
    ваш smtp сервер для отправки почты, если вы ещо не знаете какой у вас smtp сервер, рекомендуется выяснить это у вашей мыльной службы. Например, у вас имеется мыло на www.mail.ru, то ихний smtp сервер - smtp.mail.ru, или у вас мыло на chat.sru, тогда у них mail.chat.ru. Если всётаки вы незнаете какой smtp сервер вашего мыла, то пароли вам нихрена не придут.
    # Description:
    Просто название, или уникальное имя, или ид, вашего коня
    # Урл для апдейта:
    Урл на сервере к вашему сконфигуренному коню, нужно для обновлений старых версий, по мере появления новых.
    # Имя файла:
    такое имя будет носить конь в системе жертвы, и такое-же имя будет в реестре. Например, win32.exe, windll.exe, rundll16.exe и тд, обязательно долно оканчиваться .exe, а то работать НЕ БУДЕТ!
    # Описание в реестре:
    Описание коня в реестре(в автозапуске(run)), должно иметь смысл с именем файла. Например имя файла Rundll16.exe, описание в реестре - Rundll16 system module.
    # Через сколько дней повторять посылку:
    Через сколько дней слать пароли, например есть это 5-ть, то пароли будут приходить каждые 5-ть дней, рекомендуемое значение 4-6.
    # Где жить:
    место где будет жить троян, или Windows папка, или System папка.
    # Откуда запускаться:
    HKCU - HKEY_CURRENT_USER, HKLM - HKEY_LOCAL_MACHINE

    Нажимаете кнопку Browz, выбираете коня, и жмёте кнопку Create. Всё! сконфигуренный конь лежит в папке InfeCteD и готов к использованию.

    Скачать \ Download

    Myztic © 2000​
     
    2 people like this.
  2. gibson

    gibson Elder - Старейшина

    Joined:
    24 Feb 2006
    Messages:
    461
    Likes Received:
    247
    Reputations:
    88
    Тс у тя 98 винда? пынч и тот лучше, полезная инфа только про АОН'ы хотя многим она известна.
     
    1 person likes this.
  3. Black dead

    Black dead Elder - Старейшина

    Joined:
    27 May 2007
    Messages:
    246
    Likes Received:
    143
    Reputations:
    12
    млин что то попробывал собрать его но отчет на мыло роги не пришел
     
    1 person likes this.
  4. /Montana

    /Montana Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    148
    Likes Received:
    18
    Reputations:
    -1
    Тоже попытался, неприходит...Ждем
     
  5. --exe--

    --exe-- Elder - Старейшина

    Joined:
    23 Dec 2006
    Messages:
    55
    Likes Received:
    68
    Reputations:
    0
    Боян, тем более "Myztic © 2000 "... Ладно бы исходники выложил.
     
    2 people like this.
  6. F!$T

    F!$T Повелитель шнэков!

    Joined:
    5 Feb 2007
    Messages:
    106
    Likes Received:
    300
    Reputations:
    6
    имхо из паблик троянов - лучший пока что пинч..
     
    4 people like this.
  7. Kolbas

    Kolbas Member

    Joined:
    19 Jun 2007
    Messages:
    29
    Likes Received:
    12
    Reputations:
    0
    тоже попробывал, отчеты не идут (((
     
  8. NetSter

    NetSter Moderator

    Joined:
    30 Jul 2007
    Messages:
    820
    Likes Received:
    414
    Reputations:
    62
    + ко всему почти ничем не криптуется.
     
    _________________________
  9. Ru}{eeZ

    Ru}{eeZ Elder - Старейшина

    Joined:
    19 Feb 2008
    Messages:
    455
    Likes Received:
    73
    Reputations:
    -5
    Перезалей пожалуйста на другой хостинг, я забыл нод вырубить и он всё позаблокировал
     
  10. Glynec

    Glynec Elder - Старейшина

    Joined:
    30 Jan 2008
    Messages:
    71
    Likes Received:
    25
    Reputations:
    2
    Весч уже давно не актуальная
     
Loading...