[ djmaki @ 28.02.2005. 11:17 ] @
| hxxp://www.djmaki.paracin.co.yu/trojan.rar Molim kritike ovde na forumu. [Ovu poruku je menjao Sundance dana 11.03.2005. u 18:22 GMT+1] |
|
[ djmaki @ 28.02.2005. 11:22 ] @
Jos uvek nije zavrsen, samo da pitam, ima li vajde od njega!!!
Potrebni su mu jos neki sistemski fajlovi, ali doradicemo to u narednoj verziji. Poz i pisite... [ Sundance @ 28.02.2005. 15:22 ] @
Code: Scan results File: Watchtower v1.0 Server.exe.bin Date: 02/28/2005 16:11:33 (CET) ---- AntiVir 6.29.0.16/20050228 found nothing AVG 718/20050228 found nothing BitDefender 7.0/20050228 found nothing ClamAV devel-20050130/20050228 found nothing DrWeb 4.32b/20050228 found nothing eTrust-Iris 7.1.194.0/20050227 found [Backdoor/VB.Unknown!Server] eTrust-Vet 11.7.0.0/20050228 found nothing Fortinet 2.51/20050228 found nothing F-Prot 3.16a/20050224 found nothing Ikarus 2.32/20050228 found nothing Kaspersky 4.0.2.24/20050228 found nothing NOD32v2 1.1010/20050227 found [probably unknown NewHeur_PE virus] Norman 5.70.10/20050228 found nothing Panda 8.02.00/20050228 found nothing Sybari 7.5.1314/20050228 found [Backdoor/VB.Unknown!Server] Symantec 8.0/20050227 found nothing Kad ništa ne pali, tu su heuristike. I nod32 među njima, ofkors :> Server u VB-u, mislim stvaaaaaaaaaaaaaaarnooooooooo....LOOL "Citavih" 30K :> Ovo ja strpam u 3K asm koda :> Sad će naravno ići testiranje različitih kriptera i packera....džaba sve kad će vam ga AV naći u memoriji raspakiranog aktivnog :) E da, sajt: http://www.mhakeri.cjb.net/ vam je do yaya. Umro sam od smijeha :) [ Sundance @ 01.03.2005. 23:12 ] @
Code: Scan results File: Watchtower v1.2 Server.exe.bin Date: 03/02/2005 00:11:25 (CET) ---- AntiVir 6.30.0.3/20050301 found nothing AVG 718/20050301 found nothing BitDefender 7.0/20050301 found nothing ClamAV devel-20050130/20050301 found nothing DrWeb 4.32b/20050301 found nothing eTrust-Iris 7.1.194.0/20050301 found [Backdoor/VB.Unknown!Server] eTrust-Vet 11.7.0.0/20050301 found nothing Fortinet 2.51/20050302 found nothing F-Prot 3.16a/20050301 found nothing Ikarus 2.32/20050301 found nothing Kaspersky 4.0.2.24/20050301 found nothing NOD32v2 1.1016/20050301 found [probably unknown NewHeur_PE virus] Norman 5.70.10/20050301 found nothing Panda 8.02.00/20050301 found nothing Sybari 7.5.1314/20050301 found [Backdoor/VB.Unknown!Server] Symantec 8.0/20050301 found nothing Ja neću ni govoriti što mislim :o) [ corttex @ 02.03.2005. 23:23 ] @
Kaspersky 5.0.227 found something
Backdoor.Win32.VB.abh [ Sundance @ 03.03.2005. 03:46 ] @
Ahhhhhhhh, izgleda da je KAV-ovcima netko poslao sample pa su dodali statičku definiciju u bazu:
Code: Scan results File: Watchtower v1.2 Server.exe.bin Date: 03/03/2005 04:42:32 (CET) ---- AntiVir 6.30.0.3/20050302 found nothing AVG 718/20050302 found [Collected.4.BI] BitDefender 7.0/20050303 found nothing ClamAV devel-20050130/20050303 found nothing DrWeb 4.32b/20050302 found nothing eTrust-Iris 7.1.194.0/20050302 found [Backdoor/VB.Unknown!Server] eTrust-Vet 11.7.0.0/20050302 found nothing Fortinet 2.51/20050303 found nothing F-Prot 3.16a/20050301 found nothing Ikarus 2.32/20050302 found nothing Kaspersky 4.0.2.24/20050303 found [Backdoor.Win32.VB.abh] NOD32v2 1.1017/20050302 found [probably unknown NewHeur_PE virus] Norman 5.70.10/20050302 found nothing Panda 8.02.00/20050302 found nothing Sybari 7.5.1314/20050303 found [Backdoor/VB.Unknown!Server] Symantec 8.0/20050302 found nothing Sigurni ste još i sa AVG-om i KAV-om....bar još koji sat prije nego ovaj dečko izmjeni jednu liniju koda. Za ovo ostalo vam uvijek ostaju heuristike :> [ VRKY @ 03.03.2005. 12:40 ] @
@djmaki
AV će ga hvatat unatoč tome što on ubija procese, jer neke nemože ubit, a što ti je 100-njak procesa, moj zadnji crv je ubijao 300 ali bez većeg značenja.... [ VRKY @ 03.03.2005. 21:17 ] @
Ok, samo ubuduće nemoj postat njih na forumu u binarnom obliku.
[ djmaki @ 03.03.2005. 22:05 ] @
Postavljeno!
exe fajl, ali snadjite se vec nekako. Kod Jimija je source! [ Jimi Hex @ 03.03.2005. 22:34 ] @
VRKY, video sam tvog crva...
iz njega sam i uzeo listu AV procesa... Ako budem radio noviju verziju to cu izbaciti... Jer ako, kao sto ti kazes ne radi, onda da ne povecava velicinu datoteke bezveze...a kod je cini mi se iz FlyVB - zar ne? Mislim da si to stavio kao komentar u kodu... Poz... [ VRKY @ 04.03.2005. 06:05 ] @
Aha. Kod (iz mog crva) radi na sličnom principu ko onaj iz FlyVB-a. I kvaka je ta što to radi samo na XP-u... Pređi na API funkciju za ubijanje procesa
[ Sundance @ 04.03.2005. 06:35 ] @
Code: Scan results File: Watchtower v1.3 Server.exe.bin Date: 03/04/2005 07:33:52 (CET) ---- AntiVir 6.30.0.5/20050303 found nothing AVG 718/20050302 found nothing BitDefender 7.0/20050303 found nothing ClamAV devel-20050130/20050304 found nothing DrWeb 4.32b/20050303 found nothing eTrust-Iris 7.1.194.0/20050303 found [Backdoor/VB.Unknown!Server] eTrust-Vet 11.7.0.0/20050304 found nothing Fortinet 2.51/20050304 found nothing F-Prot 3.16a/20050301 found nothing Ikarus 2.32/20050303 found nothing Kaspersky 4.0.2.24/20050304 found nothing NOD32v2 1.1017/20050302 found [probably unknown NewHeur_PE virus] Norman 5.70.10/20050302 found nothing Panda 8.02.00/20050303 found nothing Sybari 7.5.1314/20050304 found [Backdoor/VB.Unknown!Server] Symantec 8.0/20050303 found nothing Sinko mijenjaj neke karakteristične rutine u kodu jer je ovo šuplje ko sito :> [ EArthquake @ 04.03.2005. 17:15 ] @
pa mogao bi da proba da zapakuje exe
mozda bi to pomoglo a i zastitio bi svij file kolko tolko od reverse engenering-a :) ovako cak ni nemora de reversuje da bi se dobio source samo se otvori u notepad btw da li se proces samog trojana vidi u task menadzeru? nisam u prilici da probbam [ deroko @ 04.03.2005. 17:34 ] @
Meni nije jasno? Sto ubijanje AV procesa?
Mislim ako je u bazi nece se ni pokrenuti, a ako nije sto da ubijas nesto sto te ne nalazi? Mislim stvarno... [ djmaki @ 05.03.2005. 22:39 ] @
Hvala na linku, videcu sta ovde ima, a i na njihovom sajtu ima lepih stvarcica :)
[ UserNameZbunjeno @ 06.03.2005. 20:15 ] @
Pogledao sam sve tri verzije i nije los ....
sta znam ali 70kb i koristi mswinsock.ocx probaj server da kompajliras u p-codu posle kompresija.... ........ Radim i ja na nesto slicnim projektom ali potrazi na net api za winsock Uostalom VRH Pozdrv [ djmaki @ 07.03.2005. 14:15 ] @
Pa ja i koristim mswinsock.ocx!!!
[ djmaki @ 08.03.2005. 14:23 ] @
Znam, neki nazalost operativni sistemi ne sadrze ovaj vajl, i mora se rucno kopirati u system32 :(, probacu da to resim na neki drugi nacin, ali za sada, ovo je trojan za zezanje, nije nista ozbiljno, ali kad to radimo ozbiljno razmislicemo o tome, kako i sta uraditi!
[ Jimi Hex @ 09.03.2005. 22:42 ] @
Poz....
Uradio sam i verziju 1.4 Ispravio sam neke bugove (prvenstveno onu sa VBScriptom) i dodao neke nove funkcije... probacu da je okacim negde ili postovati uz poruku... Pogledajte pa mi recite vase komentare i utiske... Poz..... [ Sundance @ 10.03.2005. 05:31 ] @
Prvo za ovu verziju u p-codu, virustotal:
Code: Scan results File: Watchtower v1.4 Server p-code.exe.bin Date: 03/10/2005 06:20:48 (CET) ---- AntiVir 6.30.0.5/20050309 found nothing AVG 718/20050309 found nothing BitDefender 7.0/20050310 found nothing ClamAV devel-20050307/20050309 found nothing DrWeb 4.32b/20050309 found [BACKDOOR.Trojan] eTrust-Iris 7.1.194.0/20050309 found nothing eTrust-Vet 11.7.0.0/20050310 found nothing Fortinet 2.51/20050310 found nothing F-Prot 3.16a/20050309 found nothing Ikarus 2.32/20050309 found nothing Kaspersky 4.0.2.24/20050310 found nothing McAfee 4443/20050309 found nothing NOD32v2 1.1022/20050309 found [probably unknown NewHeur_PE virus] Norman 5.70.10/20050307 found nothing Panda 8.02.00/20050309 found nothing Sybari 7.5.1314/20050310 found nothing Što i Jotti potvrđuje Code: File: Watchtower v1.4 Server p-code.exe.bin Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database) Packers detected: Analyzing... AntiVir No viruses found (0.38 seconds taken) Avast No viruses found (1.51 seconds taken) AVG Antivirus No viruses found (0.51 seconds taken) BitDefender No viruses found (0.52 seconds taken) ClamAV No viruses found (0.59 seconds taken) Dr.Web BACKDOOR.Trojan (probable variant) (0.89 seconds taken) F-Prot Antivirus No viruses found (0.09 seconds taken) Fortinet No viruses found (0.44 seconds taken) Kaspersky Anti-Virus No viruses found (1.00 seconds taken) mks_vir No viruses found (0.23 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.48 seconds taken) Norman Virus Control No viruses found (0.54 seconds taken) a za ovaj normalni: Code: File: Watchtower v1.4 Server.exe.bin Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database) Packers detected: Analyzing... AntiVir No viruses found (0.38 seconds taken) Avast No viruses found (1.53 seconds taken) AVG Antivirus No viruses found (0.51 seconds taken) BitDefender No viruses found (0.52 seconds taken) ClamAV No viruses found (0.60 seconds taken) Dr.Web BACKDOOR.Trojan (probable variant) (0.90 seconds taken) F-Prot Antivirus No viruses found (0.09 seconds taken) Fortinet No viruses found (0.45 seconds taken) Kaspersky Anti-Virus No viruses found (1.00 seconds taken) mks_vir No viruses found (0.24 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.48 seconds taken) Norman Virus Control No viruses found (0.54 seconds taken) te Code: Scan results File: Watchtower v1.4 Server.exe.bin Date: 03/10/2005 06:20:59 (CET) ---- AntiVir 6.30.0.5/20050309 found nothing AVG 718/20050309 found nothing BitDefender 7.0/20050310 found nothing ClamAV devel-20050307/20050309 found nothing DrWeb 4.32b/20050309 found [BACKDOOR.Trojan] eTrust-Iris 7.1.194.0/20050309 found [Backdoor/VB.Unknown!Server] eTrust-Vet 11.7.0.0/20050310 found nothing Fortinet 2.51/20050310 found nothing F-Prot 3.16a/20050309 found nothing Ikarus 2.32/20050309 found nothing Kaspersky 4.0.2.24/20050310 found nothing McAfee 4443/20050309 found nothing NOD32v2 1.1022/20050309 found [probably unknown NewHeur_PE virus] Norman 5.70.10/20050307 found nothing Panda 8.02.00/20050309 found nothing Sybari 7.5.1314/20050310 found [Backdoor/VB.Unknown!Server] Sranje te huristike, ha? ;> [ Jimi Hex @ 11.03.2005. 16:54 ] @
'ebi ga...
Nisam ga kriptovao niti pakovao, to cu kada uradim neku konacnu verziju, kao 2.0 ili tako nesto... A zeznuo sam se za onaj VBScript, pa sam pokvario i Batch Ali sve sam to ispravio i jos nekoliko bugova u 1.5 verziji I dodao sam jos neke mogucnosti... Nije nesto bog zna sta ali je zanimljivo za npr. cas informatike ;-> Evo u attachmentu i 1.5 Poz... [ deroko @ 11.03.2005. 17:09 ] @
Jo bre, kad cete nauciti da se maliciozni kodovi trebaju pisati u C/asm max C# ako je za net :) Ostalo nije vredno ni obracati paznju...
[ Sundance @ 11.03.2005. 17:44 ] @
Gle. Ne smiješ postati na forum trojana u binarnom obliku. Ako već to radiš, onda nemoj stavljati i klijenta, a ako i njega želiš staviti, onemogući neke fje u GUI-u. Tipa Button->Enabled = false. Znaš uostalom na što mislim :)
[ Sundance @ 11.03.2005. 17:52 ] @
A ni ova verzija nije ništa bolja što se tiče skrivanja:
Code: Scan results File: Watchtower v1.5 Server p-code.exe.bin Date: 03/11/2005 18:48:49 (CET) ---- AntiVir 6.30.0.5/20050311 found nothing AVG 718/20050311 found nothing BitDefender 7.0/20050311 found nothing ClamAV devel-20050307/20050310 found nothing DrWeb 4.32b/20050311 found [BACKDOOR.Trojan] eTrust-Iris 7.1.194.0/20050311 found nothing eTrust-Vet 11.7.0.0/20050311 found nothing Fortinet 2.51/20050310 found nothing F-Prot 3.16a/20050311 found nothing Ikarus 2.32/20050311 found nothing Kaspersky 4.0.2.24/20050311 found nothing McAfee 4445/20050311 found nothing NOD32v2 1.1024/20050311 found [probably unknown NewHeur_PE virus] Norman 5.70.10/20050310 found nothing Panda 8.02.00/20050311 found nothing Sybari 7.5.1314/20050311 found nothing Symantec 8.0/20050310 found nothing Scan results File: Watchtower v1.5 Server native.exe.bin Date: 03/11/2005 18:51:19 (CET) ---- AntiVir 6.30.0.5/20050311 found nothing AVG 718/20050311 found nothing BitDefender 7.0/20050311 found nothing ClamAV devel-20050307/20050310 found nothing DrWeb 4.32b/20050311 found [BACKDOOR.Trojan] eTrust-Iris 7.1.194.0/20050311 found [Backdoor/VB.Unknown!Server] eTrust-Vet 11.7.0.0/20050311 found nothing Fortinet 2.51/20050310 found nothing F-Prot 3.16a/20050311 found nothing Ikarus 2.32/20050311 found nothing Kaspersky 4.0.2.24/20050311 found nothing McAfee 4445/20050311 found nothing NOD32v2 1.1024/20050311 found [probably unknown NewHeur_PE virus] Norman 5.70.10/20050310 found nothing Panda 8.02.00/20050311 found nothing Sybari 7.5.1314/20050311 found [Backdoor/VB.Unknown!Server] Symantec 8.0/20050310 found nothing [ deroko @ 11.03.2005. 18:04 ] @
Ohoho nod32 ga nalazi, moraces neke anti-heuristik tehnike da ubacis u kod.
[ dum-dum @ 11.03.2005. 19:43 ] @
Citat: deroko: Ohoho nod32 ga nalazi, moraces neke anti-heuristik tehnike da ubacis u kod. Ne nalazi ga! :) Ovaj izveshtaj u NOD32v2 znachi samo da je fajl arhiviran, odnosno svaki fajl tako arhiviran sa ili bez virusa ce NOD32v2 da projavi kao "probably unknown NewHeur_PE virus". @Sundance proveri pa cesh da vidish - to je ono shto sve vreme pishem da su NODovci napravili heuristiku tako da ceshce skache kad ne treba, da bi se napravio privid dobre detekcije nepoznatih virusa. [ l0P0v @ 11.03.2005. 19:44 ] @
Citat: Sundance: Gle. Ne smiješ postati na forum trojana u binarnom obliku. Ako već to radiš, onda nemoj stavljati i klijenta, a ako i njega želiš staviti, onemogući neke fje u GUI-u. Tipa Button->Enabled = false. Znaš uostalom na što mislim :) klijent ti nikako ne moze ostetiti komp :) server moze ali klijent ne. Obrati paznju da ovim skeniranjem trojanca na tom VirusTotal sajtu ne saljes sample AV kompanijama. Imas tamo ono "Distribute" dugme pa klikni na njega. Nije moguce da AV kompanije na drugi nacin pokupe sample osim na ovaj jer trojanac nije objavljen na forumima koji se "posmatraju" a ne verujem da je neko ovde bas toliko lud da salje trojanca direkno na email AV kompanijama. Citat: deroko: Jo bre, kad cete nauciti da se maliciozni kodovi trebaju pisati u C/asm max C# ako je za net :) Ostalo nije vredno ni obracati paznju... ROFL Sta je ovo kao neko pravilo, etika ili...??? Mogu da se kladim da ne znas dva trojanca napisana u C ili ASMu a ovde drzis predavanja... [ djmaki @ 11.03.2005. 19:54 ] @
Slazem se sa Jimi-jem :)
[ Mitrović Srđan @ 11.03.2005. 19:58 ] @
e deroko lamercino :) sta ti znas o ASM :))) lmao
(sarkazam) [ deroko @ 11.03.2005. 20:06 ] @
@dum-dum : smesno
@blood : rofl :))) [Ovu poruku je menjao deroko dana 11.03.2005. u 21:31 GMT+1] [ l0P0v @ 11.03.2005. 20:24 ] @
Citat: Jimi Hex: Pa pitao sam za neki link o pisanju u c-u ili c++-u ali niko nista nije odgovorio Kompletnog trojanca u c/c++ ces tesko naci (mislim na source) ali evo ti nesto, mozda ti pomogne :) hxxp://www.geocities.com/bvatre/src/tinyfwb10.zip U pitanju je neki stari web downloader sa FW-bypassom (napisao r3L4x), edit_server mu je u VB6 a server u C++ pa se zabavljaj. [Ovu poruku je menjao Sundance dana 12.03.2005. u 09:08 GMT+1] [ Jimi Hex @ 11.03.2005. 20:40 ] @
Hvala na linku...
Videcu sta mogu da uradim sa ovim...(C++ mi nije bas najbolji :)) Citat: Sundance:Ma naravno da je to sve zezancija. Kodiramo jer nam je to zanimljivo i zabavno, i što želimo biti l331 ;) w00t! :>. Hehe... ipak je najbolje ono sto sami napravimo, zar ne :)? Poz... [ Jimi Hex @ 11.03.2005. 23:20 ] @
Posto je zabranjeno postovanje binarija evo linka
hxxp://users.cjb.net/jimihex/watchtower15.zip Poz... [Ovu poruku je menjao Sundance dana 12.03.2005. u 08:52 GMT+1] [ deroko @ 12.03.2005. 00:12 ] @
nod32 nadje 2 moguca virus/trojanca u kodu.
[ Sundance @ 12.03.2005. 08:08 ] @
@Jimi Hex: Postaj kao hxxp://.... nisu baš ni direktni linkovi poželjni ;)
Citat: l0P0v: Kompletnog trojanca u c/c++ ces tesko naci (mislim na source) Koja provala. Znači svi se trojanci rade u VB-u? ;) LOL. VB koriste oni koji još nisu naučili moć i skalabilnost koda napisanog u C/C++. Jednom kad se naviknu, na VB će gledati kao na dobru šalu. Oni malo više l33t kombiniraju C/C++ sa asm-om ili koriste čisti asm. Citat: ali evo ti nesto, mozda ti pomogne :) U pitanju je neki stari web downloader sa FW-bypassom (napisao r3L4x), edit_server mu je u VB6 a server u C++ pa se zabavljaj. hxxp://www.geocities.com/bvatre/src/tinyfwb10.zip Nemoj majketi, ovo je vjerojatno najnereprezentativnija uporaba C++a u povijesti. Ovaj lik što je ovo napisao je umno retardiran degenerik ukoliko je ovu lamerštinu od koda počeo dijelit na netu umjesto da se pokrije ušima i zatvori u svoju jamu. Citat: Hehe... ipak je najbolje ono sto sami napravimo, zar ne :)? Da. Knowledge is power. Šteta što neki retardi na forumu misle Ignorance is defense, ali to je problem njihovih izopačenih umova kontaminiranih pogrešnim sustavom vrijednosti. [ l0P0v @ 12.03.2005. 18:51 ] @
Citat: sundance: Koja provala. Znači svi se trojanci rade u VB-u? ;) LOL. gde sam ja to rekao?! rekao sam da ce covek SOURCE KOMPLETNOG TROJANCA u c++ malo teze naci. ali tvoja samouverenost me je toliko pozitivno iznenadila da cu sada da trazim od tebe da das neki link za source u c++ :) verujem da ih znas mnogo pa podeli sa nama. Citat: Nemoj majketi, ovo je vjerojatno najnereprezentativnija uporaba C++a u povijesti. Ovaj lik što je ovo napisao je umno retardiran degenerik ukoliko je ovu lamerštinu od koda počeo dijelit na netu umjesto da se pokrije ušima i zatvori u svoju jamu. ROFL r3l4x nije retardiran. ovaj kod je mnogo stariji nego sto mozes da zamislis a ne znam dali ga jos uvek ima na netu. ja sam ga bez veze uploadovao za jimi hex-a. ali ono, daj neki source od nekog trojanca u c++ pa da se ne smaramo vise. sto se tih sourceva tice, moslim da je BO2K takodje u c++ i moze se na netu naci source samo sto je star ko biblija. [ deroko @ 12.03.2005. 19:36 ] @
Ovaj source sto si dao je glup skelet trojanca i ne vredi ni 2 pare.
[ Sundance @ 12.03.2005. 20:31 ] @
Citat: l0P0v:r3l4x nije retardiran. ovaj kod je mnogo stariji nego sto mozes da zamislis a ne znam dali ga jos uvek ima na netu. ja sam ga bez veze uploadovao za jimi hex-a. Koješta, onih 5 trivijalnih linija koda koji su API pozivi ne zaslužuju .cpp extenziju. Dečko će pomisliti da je jezik tako jednostavan ;) Citat: sto se tih sourceva tice, moslim da je BO2K takodje u c++ i moze se na netu naci source samo sto je star ko biblija. Da, BO2K je full u C++ rađen, iako je dosta star bolji je od 90% trojana danas po dizajnu, i kladim se u desno jaje da 99% njih što prave trojane danas nisu u stanju skužiti njegov kod. Baš što se tiče trojana, C++ i Object Pascal su najpopularniji kod velikih projekata sa skalabilnom arhitekturom (puno pluginova), danas na C++ najviše %-ka opada na botove. Netko je bio tražio u temama link na sorsove botova, pogledaj tamo vidjet ćeš da ih je većina popularnijih rađena u C++. Mada je kod shitty, ali ipak je C++. I recimo HE4hook ruski rootktit u C++ full. Ukratko: što je trojan šareniji i što mu klijent ima debilniji GUI, veća je vjerojatnost da ga nalaze svi AV i da je rađen u VB. [ djmaki @ 14.03.2005. 14:02 ] @
Izasla verzija 1.7
Uskoro na adresi hxxp://djmaki.paracin.co.yu/trojan17.zip [ djmaki @ 18.03.2005. 12:27 ] @
Evo verzije 1.8 sa potrebnim kontrolama (kopirati u system32)
hxxp://djmaki.paracin.co.yu/trojan18.zip [ djmaki @ 19.03.2005. 22:51 ] @
Sta je bilo???
Al ne znate da zamenite xx sa tt ili vas mrzi da pisete. Samo pogledajte trojana!!! Strava je!!! [ deroko @ 19.03.2005. 23:02 ] @
850kb :) haha odlcan ti je trojanac, a mogo bi da razmislis o prelasku na C ??
[ deroko @ 20.03.2005. 13:34 ] @
Pa ti onda okaci samo server koji ce mi klijent, cu ja da gledam u pasulj da li je server u okrviru tih 850 100kb ili zauzima svih 850kb...
[ djmaki @ 20.03.2005. 16:18 ] @
Pa ovo nije mesto za sirenje trojanca(servera), vec da pogledaju ljudi kako to radi, mislim i server i klijent. Bilo bi malo glupo da samo ja imam klijenta, i sta vi da radite sa serverom?
[ deroko @ 20.03.2005. 18:07 ] @
Pa ti stvarno mislis da neko ima vremena da reversa taj server i vidi sta sve on zaista radi?
Ako oces ocene kritike onda das source, u suprotnom ne vidim kakve komentare ocekujes? mali update : Dzaba da izbacujes nove i nove verzije kad NOD32 detektuje, prvo resi taj problem pa pravi nove verzije. [ djmaki @ 22.03.2005. 21:40 ] @
Sto si ti pametan, pa napisi ti source, a ne ja da dam source, a posle vi kopirate i kurcite se da ste vi napisali (svaka cast izuzecima, znaju oni ko su). Cilj je kako on radi, ako ti se Deroko ne svidja, nemoj vise da posecujes ovaj forum!
[ deroko @ 23.03.2005. 13:17 ] @
dobro trazio si deo source pa evo ti na :
Code: __give_me: pop edi lea esi, au_str call RtlInitUnicodeString, esi, edi push 0 lea esi, au_str push esi push 1 push 3 push 256*2 lea esi, path push esi lea esi, ioblock push esi push null push null push null push dir_handle @sysenter NtQueryDirectoryFile, 11 lea esi, path mov eax, [esi.FileNameLength] lea edi, [esi.FileName] mov word ptr[edi+eax], null call OpenAndInfect, edi, dir_handle __next_file_search: push null push null push 1 push 3 push 256*2 lea esi, path push esi lea esi, ioblock push esi push null push null push null push dir_handle @sysenter NtQueryDirectoryFile, 11 na evo ti kod iz prc-ko.xp pa ne smaraj vise sa tim da ja pojma nemam... A ti se pitaj sta ovaj kod radi, a za vise poseti phearless #2 zine za vise objasnjenja i full source... Mislim ako uopste i shvatis o cemu je ovde rec... I da, upravu si, hocu da kopiram tvoj super kod, zivot mi je bas pust bez novih VB trojana. ps. nemoj da mi ukrades kod plz, jer sam se stvarno pomucio citajuci NT internale... Nemoj molimte da ovo stavis u svoj trojan ili u neki virus, jer stvarno nije u redu da ceo moj rad uzmes za sebe.. Jel zvuci smesno, daaaaaa :))) [ djmaki @ 23.03.2005. 22:11 ] @
Ma opasni ste vi:
#ugs @ irc.krstarica.com:6661  [ deroko @ 23.03.2005. 22:42 ] @
clap clap clap znas copy/past clap clap clap
[ djmaki @ 24.03.2005. 16:40 ] @
Sta sam kopirao? Ne razumem zasto ne bih znao to .
To sto se skupljate na irc serveru krstarice je lepo, ali ne moj da potdcenjujes tudje radove, ako hoces lepo komentarisi kao sto si pisao, ili ne moj da pises. [ Sundance @ 25.03.2005. 00:15 ] @
Da, moraš postati kod ako misliš imalo kvalitetnih komentara. Nemaš se šta sramiti, i puno pametniji ljudi i od mene i od tebe su pablikalizirali svoje kreacije :)
[ deroko @ 25.03.2005. 00:45 ] @
Lopov : sada su ti u modi rootkitovi, a oni se ne pisu u vb :) c/c++ i asm...
Iskren da budem ne znam koji su VB fajlovi u pitanju jer vb ne koristim, ali sam u zipu video gomilu za kopiranje sto nikad neces videti uz trojan pisan u C ili jos gore u cistom asm(nize od ove "dlake" moze samo ako si mazohista:)) [ Sundance @ 25.03.2005. 01:45 ] @
Citat: l0P0v: vremena od kada je pisan tekst, novi rekord za broj servera spojenih na jedan klijent = 788 Jučer sam bio na IRC kanalu na kojem je bilo ~ 30 000 botova. Klijent je IRC-based, botovi su napisani u C/asm. Minimo se čini ima par dobrih featurez, ali sve od toga je već viđeno ili nije uopće teško implementirati. Citat: 2. Once run, the server cannot be scanned by any anti-virus application. Baš me zanima kako je ovo riješio u VB-u majketi? AV skeneri koriste filesystem hookove u ring0, nema teoretske šanse da je ovo napravio u čistom VB-u. Citat: 3. Screw AV killing, MiniMo servers can prevent any app from ever starting again. All programs need to ask your server for permission before they can run. Niti ovo se ne može teoretski bez asm-a i ring0 koda. Nadalje, VB trojanci imaju vrlo ograničene mogućnosti morfiranja za sakrivanje od AV. Koliko znaš VB trojana koji koriste externi polimorfni engine? Ili se mogu bindati sa proizvoljnim programima? Pošto VB programi ne mogu biti offset-independent, vrlo je ograničeno i morfiranje sa nekim popularnijim pakerima/kripterima. [ l0P0v @ 25.03.2005. 02:12 ] @
Citat: Sundance: Jučer sam bio na IRC kanalu na kojem je bilo ~ 30 000 botova. Klijent je IRC-based, botovi su napisani u C/asm. Ok ali ima bitne razlike u svemu ovome. Trojanac je, i klijent i server u vb6. Znas li sta je 788 servera zakacenih na klijentu napisanom u vb6? +Mega sporost samog vb6 jezika... Sve bi teoretski trebalo da se srusi na 10+ servera :) jer je vb6 bedan za takve stvari ali evo dokaza da je moguce. Citat: 2. Once run, the server cannot be scanned by any anti-virus application. Baš me zanima kako je ovo riješio u VB-u majketi? AV skeneri koriste filesystem hookove u ring0, nema teoretske šanse da je ovo napravio u čistom VB-u. Nisi jedini koga ovo zanima :) Ja sam se smarao nedelju dana i uspeo pomocu eksternog fajla da uradim da mi fajl bude 'inscanable' i zaista, skeniran sa KAVom, kav pokazuje da je skeniranje zavrseno a scanned files = 0 Citat: Nadalje, VB trojanci imaju vrlo ograničene mogućnosti morfiranja za sakrivanje od AV. Koliko znaš VB trojana koji koriste externi polimorfni engine? Ili se mogu bindati sa proizvoljnim programima? Pošto VB programi ne mogu biti offset-independent, vrlo je ograničeno i morfiranje sa nekim popularnijim pakerima/kripterima. Ja se slazem da je vb6 inferioran i ogranicen jezik u poredjenju sa drugim jezicima ali opet, to ne znaci da se u vb6 ne moze uraditi dobar trojanac. Ljudi se uglavnom odlucuju za bolje jezike od vb6 (->delphi) zbog injectiona ali i to je vec uradjeno u vb6 (CIA trojanac). Nema razloga za toliko skrivanje od AV-a. Kad napises program, on nije detektovan kao virii. Kad ga dograbe, malo promenis kod i eto te na pocetku. Da ti iskreno kazem, niko ustvari i ne razmislja o AV-ima. Uglavnom su se FWi smatrali za problem pa je napisan injection. [ Sundance @ 25.03.2005. 09:19 ] @
Citat: l0P0v: Ja sam se smarao nedelju dana i uspeo pomocu eksternog fajla da uradim da mi fajl bude 'inscanable' i zaista, skeniran sa KAVom, kav pokazuje da je skeniranje zavrseno a scanned files = 0 Samo za KAV ili za sve AV na svijetu (kako piše tamo u opisu onog trojana)? Jel se može znat što si točno radio da prodiskutiramo malo o teoriji? Citat: Ja se slazem da je vb6 inferioran i ogranicen jezik u poredjenju sa drugim jezicima ali opet, to ne znaci da se u vb6 ne moze uraditi dobar trojanac. Ljudi se uglavnom odlucuju za bolje jezike od vb6 (->delphi) zbog injectiona ali i to je vec uradjeno u vb6 (CIA trojanac). Istina. Ne kažem ja da su svi VB programeri loši niti da se u njemu ne može napraviti relativno kvalitetan trojan, samo kažem gdje mu je mjesto u "hijerarhiji" :P Nego, DLL injection je stari trik i danas tona sw FW-ova detektira ubacivanje DLL-a u tuđi adresni prostor i tona HIDS alata hookira CreateRemoteThread. Sad je l33t iz ring0 šetanje EPROCESS strukturama, kreiranje APC, kopiranje trojana u SharedUserData i patchanje userland niti sistemskih procesa u letu da izvrše tvoj kod pod svojim kontekstom :) Citat: Kad napises program, on nije detektovan kao virii. Kad ga dograbe, malo promenis kod i eto te na pocetku Pa ono, za konkretno trojanac na ovoj temi to baš i nije slučaj :)))) [ EArthquake @ 25.03.2005. 12:07 ] @
ne bih da flejmam vise vec da konkretno pojasnim djmakiju sta treaba da se radi da bi taj trojan lepo radio a sto se tice reverseovanja samog trojana mislim da nije ni potrebno jer sam sto posto siguran da bi mogao da vidim sve stringove i dll-ove i funkcije koje koristi ako ga samo otvorim u notepadu sto znaci djmaki ulozi malo vise rada na protiv RE | deroko ovde je napisao veoma jak tekst za ph02 na tu temu ako se nevaram (Runtime Decription Engine )
umesto da postas neve verzije trojana sa vecim brojem opcija bolje poradi na tome da ga AV ne detektuje a to je vec posao [ deroko @ 25.03.2005. 17:18 ] @
:)
Upravo to, moras izbeci detekciju AV software, kad to izbegnes pravis nove verzije do mile volje jer znas da imas stealth trojanac koji je upotrebljiv, mislim, ja mogu da isklucim NOD32 da ga ne detektuje ali sta ces kad se obican korisnik kune u AV software :) [ djmaki @ 25.03.2005. 20:26 ] @
Slazem se sa Jimijem.
[ l0P0v @ 25.03.2005. 20:54 ] @
Citat: Sundance: Samo za KAV ili za sve AV na svijetu (kako piše tamo u opisu onog trojana)? Jel se može znat što si tocno radio da prodiskutiramo malo o teoriji? Nisam zainteresovan za ovu diskusiju iz prostog razloga sto sam na tankom ledu tj. nisam uspeo da uradim ono sto sam nameravao. Ono sto sam ja radio nema veze sa Minimom i nacinom na koji taj trojanac pravi da mu server bude 'inscanable'. Server mora biti pokrenut da bi 'inscanable' imalo smisla. U mom slucaju, meni fajl nije skeniran ali onda ne moze ni da se pokrene dok sa druge strane, pokrenuti fajl ne mogu da uradim. Jednom kad uspem, ako ikad, onda cemo moci da pricamo o tome :) Ja ne znam kako je autor Minima to uradio a svoj fajl nisam mogao da testiram na svim AV-ima jer sam onda imao KAV instaliran. Nadam se da razumes da taj Minimo server sam po sebi nije 'inscanable' ali kad se pokrene, onda nesto uradi sam sebi i AV ne moze da mu pristupi. 'Pricalo' se nesto da se nekako 'zakljucava'. Ako zelis mogu ti dati Minimo server pa ceprkaj po njemu. Citat: Nego, DLL injection je stari trik i danas tona sw FW-ova detektira ubacivanje DLL-a u tudi adresni prostor Hm, mozes li mi navesti par FWa koji to detektuju pa da testiram? Citat: EArthquake umesto da postas neve verzije trojana sa vecim brojem opcija bolje poradi na tome da ga AV ne detektuje a to je vec posao Za AV ima vremena, kad jednom napise vise od 80% koda sam, nece imati problema sa tim. NOD32 ce morati da instalira da zaj3be heuristiku. Sa druge strane, trojanac nema file manager, nema nikakav notifikacioni sistem, nema nekih funkcija zbog kojih bi neko uzeo da ga koristi. Mislim da bi na tome trebao da poradi. Da ne ispadne da flejmujem trojanca, ne mislim ja da je los ili nesto, kad uzmemo u obzir da ogromna vecina korisnika trojanaca nisu u zivotu napisali liniju koda i da nemaju blage veze kako (bilo koji) trojanac funkcionise, mislim da je covek na dobrom putu. Citat: jer sam sto posto siguran da bi mogao da vidim sve stringove i dll-ove i funkcije koje koristi ako ga samo otvorim u notepadu Ja nesto mislim da dll-one neces videti :) Mislim da je pogresno sto trazite source, pogledajte samo kako se replicira virii tutorijal sto ga je cookie pisao, skoro me cudi kako nema 1k novih vb6 crva 'made in serbia'. [ deroko @ 25.03.2005. 21:02 ] @
pa sto odma ne rece nego smo se raspisali na 4 strane :)
[ Jimi Hex @ 25.03.2005. 22:28 ] @
Citat: l0P0v: Da ne ispadne da flejmujem trojanca, ne mislim ja da je los ili nesto, kad uzmemo u obzir da ogromna vecina korisnika trojanaca nisu u zivotu napisali liniju koda i da nemaju blage veze kako (bilo koji) trojanac funkcionise, mislim da je covek na dobrom putu. Hvala :)... Nadam se da ce 2.0 verzija biti ozbiljnija, dodacu jos gomilu opcija ( i konacno cu ga pakovati necim ;)) samo me jos zeza file manager, pokusavam da ga napravim da bude slican exploreru, pa ce zato 2.0 da izadje malo kasnije... Poz... [ Jimi Hex @ 26.03.2005. 22:17 ] @
Citat: Sundance: Hehehe :)) Moje je skromno mišljenje da vx-er prestaje biti vx-er kad svoje toolze pravi radi drugih, a ne radi sebe. Šta mene boli k**** što moj trojan ima neki CLI-alike IRC klijent pa ga neki retard koji, kao što ti kažeš :), nije u stanju koristiti? Alo bre, ja sve što radim radim za sebe (i eventualno za svoje prijatelje i one koji daju € :) :)))))) U pravu si... Ali eto,sta cu...polako ostavljam VB (samo da zavrsim jos jedan posao za neko takmicenje) i dajem se malo vise u asm i eventualno C/C++ Onda cu poceti da radim neke ozbiljnije stvari... Poz..... Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|