Вернуться   GraBBerZ.CoM - ICQ | Proxy | Бруты | Дедики | Эксплоиты > Underground > Virology

Ответ
 
Опции темы Опции просмотра

ZeuS
Старый 22.03.2008, 15:38   #1
l
e
m
 
Аватар для flem
 
flem вне форума
Регистрация: 06.10.2006
Сообщений: 2,344
Респекты: 3,820

ZeuS

Описалово

ZeuS - Шпионское ПО (Spyware, далее "бот") для 32-х разрядной MS Windows 2000/XP+ служит для управления компьютерами жертв и получения с них информации при помощи ведения логов.

ZeuS состоит из трех частей:
Панель управления, которая устанавливается на сервер(а).
Билдер, является приложением для Windows, служит для задания конфигурации бота.
Бот, является приложением для Windows, но уже запускается на компьютере жертвы.
Внимание! В зависимости от количества активных ботов, сборки, и настройки, вам понадобится от обычного хостинга до мощного сервера или серверов.

ZeuS имеет следующие основные возможности и свойства (здесь приведен полный список, в вашей сборке часть этого списка может отсутствовать):
Бот:
Написан на VC++ 8.0, без использования RTL и т.д., на чистом WinAPI, за счет этого достигается маленький размер (10-25Кб, зависит от сборки).
Не имеет собственного процесса, за счет этого нельзя обнаружить в списке процессов.
Обход большинства фаерволов (включая популярный Outpost Firewall версий 3, 4, но сущетвует временная небольшая проблема с антишпионом). Не дает гарантии беспрепятственного приема входящих соединений.
Сложно обнаружить поиском/анализом, бот устанавливается жертве и создает файл с временем системных файлов и произвольным размером.
Работает в лимитированных учетных записях Windows (работа в гостевой учетной записи в настоящее время не поддерживается).
Невидим для экваристики антивирусов, тело бота зашифровано.
Некоем образом не создает подозрения на свое присутствие, если вы это не захотите. Здесь имеется ввиду то, что любят делать многие авторы spyware: выгрузка фаерволов, антивирусов, запрет на их обновление, блокировка Ctrl+Alt+Del и т.д.
Блокировка Windows Firewall (данная функция требуется только для беспрепятственного приема входящих соединений).
Все свои настройки/логи/команды бот хранит/принимает/передает в зашифрованном виде по HTTP(S) протоколу. (т.е. в текстовом виде данные будете видеть только вы, все остальное бот<->сервер будет выглядеть как мусор).
Обнаружение NAT при помощи проверки своего IP через указанный вами сайт.
Отдельный файл конфигурации, что позволяет себя защитить от потери ботнета в случаи недоступности основного сервера. Плюс дополнительные (резервные) файлы конфигурации, к которым бот будет обращаться, когда не будет доступен основной файл конфигурации. Эта система гарантирует выживание вашей ботнета в 90% случаях.
Возможность работать с любыми браузерами/программами работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.):
Перехват POST-данных + перехват нажатых клавиш (включая вставленные данные из буфера обмена).
Прозрачный URL-редирект (на фейк-сайты и т.д.) c заданием простейших условий редиректа (например: только при GET или POST запросе, при наличии или отсутствии определенных данных в POST-запросе).
Прозрачная HTTP(S) подмена содержимого (Веб-инжект, который позволяет подменять не только HTML страницы, но и любой другой тип данных). Подмена задается при помощи указания масок подмены.
Получение содержимого нужной страницы с исключением HTML-тегов. Основано на Веб-инжекте.
Настраиваемый TAN-граббер для любых стран.
Получения списка вопросов и ответов в банке "Bank Of America" после успешной авторизации.
Удаление нужных POST-данных на нужных URL.
ИДЕАЛЬНОЕ РЕШЕНИЕ ДЛЯ ВИРТУАЛЬНЫХ КЛАВИАТУР: После захода на нужную URL, происходит получение скриншота в области экрана, где была нажата левая кнопка мыши.
Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка. После это любой импортируемый сертификат будет сохранен на сервер.
Перехват логина/пароля протоколов POP3 и FTP в независимости от порта и запись его в лог только при удачной авторизации.
Изменение локального DNS, удаление/добавление записей в файл %system32%\drivers\etc\hosts, т.е. сопоставление указанного домена с указанным IP для WinSocket.
Сохраняет содержимое Protected Storage при первом запуске на компьютере.
Удаляет Сookies из кэша Internet Explorer при первом запуске на компьютере.
Поиск на логических дисках файлов по маске или загрузка конкретного файла.
Запись только что посещенных страницы при первом запуске на компьютере. Полезен при установки через сплойты, если вы покупаете загрузки у подозрительного сервиса, можно узнать что грузится еще параллельно.
Получение скриншота с компьютера жертвы в реальном времени, компьютер должен находится вне NAT.
Прием команд от серверной части и отправка отчета назад об успешном выполнении. (В настоящее время запуск локального/удаленного файла, немедленное обновление файла конфигурации, уничтожение ОС).
Socks4-сервер.
HTTP(S) PROXY-сервер.
Обновление бота до последней версии (URL новой версии прописывается в файле конфигурации).


Панель управления:
Для работы требуется PHP + MySQL.
Простой инсталлятор (обычно хватает ввода данных юзера MySQL и нажатия кнопки 'Install').
Многопользовательский режим, каждому пользователю можно задать определенные права доступа.
Статистика установок(инсталлов, заражений).
Статистика ботов находящихся в онлайн.
Разделение ботнета на сабботнеты.
Обзор онлайновых ботов (так же возможен фильтр)
Просмотр скриншота в реальном времени.
Просмотр и проверка Sock4.
Время нахождения бота в онлайн.
Скорость соединения (только для ботов вне NAT).
Хранении логов в базе данных. Это дает следующие преимущества:
Поиск логов по фильтру содержимого.
Поиск логов по шаблонам с выделением нужных POST данных (например позволяет выделять на сайте http://rambler.ru/ только логи и пароль, отбрасывая при поиски все остальные данные).
Хранение логов в зашифрованных файлах, в структуре директорий ботнет\страна\ID компьютера.
Отдача команд ботам (так же возможен фильтр).
При знании PHP вы можете самостоятельно перенастроить панель управления по вашем вкусу.


Билдер:
Написан на VC++ 8.0, без использования RTL и т.д. на чистом WinAPI, за счет этого достигается маленький размер (зависит от сборки, в сборке с декодером логов размер будет более 400кб, т.к. будет включена база стран по IP).
Просмотр статуса текущей системы, в качестве теста бота вы можете запустить его на своем компьютере, а потом нажатием одной кнопки удалить его.
Декодер логов, с распределением по странам.
Билдер файла конфигурации (шифрованного) и самого бота.
Полиморфный криптор BETA. В настоящее время находится на стадии тестирования, и не гарантирует сто процентную защиту от антивурсов. Но гарантировано доведение данной функции до ума в ближайшее время.

Выкладываю пока запароленный архив, пароль тем у кого репы выше 100.

Справка в архиве прилагаестя, на русском)


Скачать
пасс xfg7u7)(!@3

Добавлено через 13 минут
zeus v1.0.3.7 + админка и мануал (на вирус не проверял)
Держите http://webfile.ru/1644296 пасс 123


Version: 2.0.8.9

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


пас grabberz.com
  Ответить с цитированием
Респектов за этот пост: 6

Старый 10.04.2010, 14:16   #31
bit
 
Аватар для CsBr
 
CsBr вне форума
Регистрация: 30.06.2009
Сообщений: 35
Респекты: 54
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 50 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
  Ответить с цитированием

Старый 15.04.2010, 07:59   #32
GraBBerZ.CoM
 
Аватар для mironich
 
mironich вне форума
Регистрация: 09.12.2009
Сообщений: 1,792
Респекты: 671
Цитата:
Сообщение от CsBr Посмотреть сообщение
*** скрытый текст ***
Запустил на виртуалке файл лицензии поврежден написало запушено в лайт режиме +при попытке сконфигурировать бота выдало несколько ошибок(
  Ответить с цитированием

Старый 15.04.2010, 11:26   #33
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
Цитата:
Сообщение от mironich Посмотреть сообщение
Запустил на виртуалке файл лицензии поврежден написало запушено в лайт режиме +при попытке сконфигурировать бота выдало несколько ошибок(
написано же, что не крякнутая версия.
__________________
onthar@fuckav.in
  Ответить с цитированием

Старый 15.04.2010, 11:50   #34
GraBBerZ.CoM
 
Аватар для mironich
 
mironich вне форума
Регистрация: 09.12.2009
Сообщений: 1,792
Респекты: 671
Цитата:
Сообщение от onthar Посмотреть сообщение
написано же, что не крякнутая версия.
Onthar Я слепой походу ну чот не вижу где написано что не крякнутая.
А есть у когонить кряк?
  Ответить с цитированием

Старый 15.04.2010, 11:56   #35
ModeratoR
 
Аватар для Frenzy
 
Frenzy вне форума
Регистрация: 12.07.2008
Адрес: FOA
Сообщений: 559
Респекты: 789
Цитата:
Сообщение от CsBr Посмотреть сообщение
не отвязанный
Это и означает что не крякнутая.


Цитата:
Сообщение от mironich Посмотреть сообщение
А есть у когонить кряк?
Это пять
Создатели ВМпротекта резали бы вены, узнав что кряк на их продукт свободно в паблике гуляет))
  Ответить с цитированием

Старый 15.04.2010, 13:21   #36
GraBBerZ.CoM
 
Аватар для mironich
 
mironich вне форума
Регистрация: 09.12.2009
Сообщений: 1,792
Респекты: 671
Цитата:
Сообщение от Mortal Посмотреть сообщение
Это и означает что не крякнутая.




Это пять
Создатели ВМпротекта резали бы вены, узнав что кряк на их продукт свободно в паблике гуляет))
А я думал что эт зн что склееный с чемто
  Ответить с цитированием

Старый 24.07.2010, 19:02   #37
bit
 
Аватар для alx8787
 
alx8787 вне форума
Регистрация: 01.04.2008
Сообщений: 9
Респекты: 0
А видео по настройке есть??
  Ответить с цитированием

Старый 25.07.2010, 16:49   #38
VIP
 
Аватар для NemeZz
 
NemeZz вне форума
Регистрация: 16.03.2008
Сообщений: 2,277
Респекты: 3,310
Цитата:
Сообщение от alx8787 Посмотреть сообщение
А видео по настройке есть??
тысячи их
первая же ссылочка например.
__________________
Если вас наказали ни за что - радуйтесь: вы ни в чем не виноваты.
  Ответить с цитированием

Старый 17.09.2010, 03:04   #39
kilobyte
 
Аватар для IPkiss
 
IPkiss вне форума
Регистрация: 24.12.2007
Сообщений: 163
Респекты: 121
Подскажите самую последнею версию гуляющую в полу-привате?
з.ы. поделитесь более менее актуальным
  Ответить с цитированием

Старый 19.09.2010, 02:05   #40
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
Чет давно обнов в топике не было. Не совсем прям актуально, но без троянов:
ZEUS 1.3.1.1 + Control Panel 1.2.10.1 + help_info
__________________
onthar@fuckav.in
  Ответить с цитированием
Респектов за этот пост: 2

Старый 23.09.2010, 04:58   #41
bit
 
Аватар для Holyknight
 
Holyknight вне форума
Регистрация: 23.09.2010
Сообщений: 5
Респекты: 1
это версия отвязаная? И посоветуйте плз хостинг под него, который быстро не спалит админку
  Ответить с цитированием

Старый 23.09.2010, 10:28   #42
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
Цитата:
Сообщение от Holyknight Посмотреть сообщение
это версия отвязаная?
да, рабочая, чистая версия.


Цитата:
Сообщение от Holyknight Посмотреть сообщение
хостинг под него, который быстро не спалит админку
localhost+wamp/lamp
__________________
onthar@fuckav.in
  Ответить с цитированием

Старый 23.09.2010, 12:47   #43
bit
 
Аватар для Holyknight
 
Holyknight вне форума
Регистрация: 23.09.2010
Сообщений: 5
Респекты: 1
Спасибо за совет, но мне кажется на своей локалке не стоит ставить да и инет слабенький, чтобы держать 100+ ботов) наверное оптимальный вариант чем покупать хостинг, лучше сбрутить дед, создать свою учетку с правами админа и смело ставить)
  Ответить с цитированием

Старый 23.09.2010, 13:09   #44
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
Цитата:
Сообщение от Holyknight Посмотреть сообщение
и смело ставить)
смело ставить веб-сервер на удаленную машину, надеясь, что это без палева))

Под зевса и т.д. админки специальные абузоустойчивые хостинга рекламят по всем форумам.
__________________
onthar@fuckav.in
  Ответить с цитированием

Старый 13.10.2010, 14:28   #45
bit
 
Аватар для shinshil
 
shinshil вне форума
Регистрация: 12.10.2010
Сообщений: 10
Респекты: 0
какая разница какой хостинг если вопрос в паливе, тут вопрос как ты грузишь бота , через связку -нет какой траф или тупо лодером.
  Ответить с цитированием
Ответ

Метки
backdoor, rat, spy-net, бэкдор, троян

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход



Время: 16:59



Powered by vBulletin® Version 3.7.6
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot