Множественная правка hosts
 

Статья первая, будете вы пинать или нет, меня абсолютно не волнует, так что вам полная свобода. Просто захотелось рассказать про метод взлома с множественной правкой hosts.

Просто я заметил что в сети каждый трой меняет хостс только один раз, то есть запустила жертва трой и все, больше она в почту не попадет пока не догадается очистить хостс. Это весьма неприятная процедура для взломщика, так как палится его выделенный айпи, да и база пополняется ненужными повторами паролей. Тогда и пришло в голову что мне нужен трой который меняет хостс столько раз, сколько мне нужно. Трой был написан (отдельное спасибо hacknick ) и полгода я от случая к случаю троем пользовался. Щас потребность давно отпала и решил скинуть его на паблик. Пусть пасется.


Трой состоит из двух частей
Основная часть:
hoster_bulder.exe - билдер
hoster.exe - сам пустой трой без настроек
helper.cab - файл настроек, создается билдером

командная часть (заливается на сервер для управления троем):
base.bsd - тут записывается база компов, зараженных троем
cmd - тут записываются команды для троя
hosts - сам файл хостс, на который мы и заменим файл hosts, находящийся на компе жертвы
log.txt - логи подключения троя к серверу за командами
killer.exe - убивает трой на машине жертвы, когда мы посчитаем, что он там больше не нужен

Итак начнем, для начала берем hosts и прописываем в нем свой айпи и домен
1.1.1.1 mail.ru

Далее заливаем на сервер с выделенным айпи командную часть файлов (base.bsd, cmd, hosts, log.txt, killer.exe ), например в папку hoster и в итоге наша командная часть находится по следующему адресу http://site.ru/hoster/

На короткое время мы закончили с командной частью, позже вернемся к ней еще, но щас мы будем настраивать трой.

Открываем hoster_bulder.exe и видим следующее окно

http://s13.radikal.ru/i186/0912/e5/f680ef196d8a.jpg

FTP address:- указываем полный фтп путь до папки hoster/ где у нас лежит файл cmd
User:- указываем логин
Password: - указываем фтп пароль (у некоторых фтп пароль и пароль в админку разные)
E-mail: - указываем почту человека, которому мы собираемся трой всучить, это будет идентификатор(имя) троя, например siski@mail.ru


Нажимаем Configure и билдер создает файл настроек троя helper.cab

Далее выделяем мышкой helper.cab и hoster.exe , выбираем Добавить в архив

http://s42.radikal.ru/i098/0912/a4/e3fc8ce1b91b.jpg

1. вкладка Общее - ставим галочку на пункт Создать SFX архив
2. вкладка Дополнительно - нажимаем на Параметры SFX

http://i080.radikal.ru/0912/ac/6498833fd6be.jpg

В открывшемся окне настраиваем следующие параметры:
1. вкладка Общее - в поле Выполнить после распаковки указываем hoster.exe
2. вкладка Режимы - ставим галочку в Скрыть все
3. вкладка Текст и графика - выбираем Загрузить значок из файла, берем отсюда иконки и выбираем иконку для нашего троя.

Нажимаем дважды Ок. Трой готов.

Далее идем на сервер и в файле cmd прописываем следующую команду
Эту команду трой выполнит, как только будет запущен. То есть он возьмет hosts с нашего сервера и закачает его жертве в папку C:\WINDOWS\system32\drivers\etc\ заменив тот, который находится там.

Теперь создаем на сервере в папке hoster следующий файл change.php cо следующим содержимым
и проставляем файлу cmd права 777

Закачиваем фейк на сервер и прописываем в теле фейка следующий фрейм
То есть как только жертва запустит трой. он выполнит команду из файла cmd и сменит hosts. Как только мы увидим что команда выполнена (файл cmd будет пустым, а в log.txt будет время последнего подключения троя к серверу), мы очищаем hosts на сервере от нашего айпи и идем спать.

Жертва набирает майл.ру например и попадает на наш фейк в котором мы прописали фрейм
Фрейм запустится и запишет для троя команду в cmd снова сменить hosts, но уже на наш очищенный от айпишников. Время выполнения троем команды 6 минут. Этого времени достаточно чтоб жертва ввела на нашем фейке свой пароль. Через 6 минут hosts сменится на чистый и жертва как обычно будет юзать майл.ру и hosts будет чистым.

Если вы решили убить трой на машине жертвы, то прописываем в cmd следующую команду:

Надеюсь все изложил понятно. Cтатья первая. На днях будет еще одна по взлому почты на www.pochta.ru с использованием баги на сайте.
Cкачать весь архив можно тут (пароль: antichat.ru)
или тут (пароль: antichat)

Надеюсь хоть для кого то статья будет полезна.
Что непонятно, спрашивайте.

С уважением Satana-fu.

а твой трой антивирями уже палиться ?

Некоторые антивирусы палят сам факт изменения файла hosts

Напривер касперыч.
Вопрос: Почему имено хостс? Ведь гуголяшко и яндекс ответят нубу на его ламерский вопрос, не рассматривал вариант через подмену DNS ? Через изменение пути к файлу хостс (реестр) + очистка настроек DNS? - не уверен, не тестил, редирект вроде не будет работать.
Ну в общем то за свот спасибо, молодец, если не трудно, отправь в личку ссыль на сорцы, будет лично полезно. Заранеее спасибо!

месяц назад кажется трой палился только файерволом нортона, и то палится не трой, а сам путь распаковки троя, если его распаковывать их sfx архива, каспером вроде не палился, щас утверждать не берусь.





не расматривал, поищу на компе сорцы и скину как нибудь

Да нет , я писал для 7ки хостс троян и работало все , но такой какой попроще , просто дописывал в конец файла.

актуально для всех версий винды, потому что сначала хост смотрится по записям из этого файла.

Насколько я понял он не универсален, ибо надо каждому прописывать свое мыло?? верно??

Да исходничики было бы не плохо глянуть ну и для чисток само собой.
а так ++++++

нет, можно трой с айди siski скинуть, например, 10 жертвам и команда выполнится всеми 10 сразу, можно каждому отдельно скинуть с универсальным айди, и каждым троем управлять отдельно, в этом случае гемора с командами больше, но контролировать удобнее.

исходники скину позже и в личку.

не хочу спорить с "ГУРУ" но в реестре меняется, есть много сборок где хостс просто-напросто не работает ( удалены ключи из реестра

если можно кинь мне.

был бы благодарен за исходники

У меня глупый вопрос:
Что для всей это радости должен держать хостинг? (т.е. подойдет ли халявный)
И еще, когда жертва заходит на наш фэйк, в адресной строке прописан адрес фэйка (т.е. например http://lomaemvashupo4ty.com) или это предусмотренно?

1. Да
2. адрес фейка в адресной строке

Спасибо.
Но разве трудно догадаться по адресу что это фэйк и не вводить свои данные? Или тут все сложнее? ))

можно просто не заметить разницу в адресах и случайно наткуться на фейк - сравни forum.antichat.ru и forum.antlсhat.ru forum.antidnat.ru -визуально бегло очень похожи... кстате выделенный уже забили :D

Тогда я не понимаю сути трояна: перенаправить жертву на НАШУ страницу? И это по сути обычный фэйк?

Это нужно впарить жертве екзешник,да заманить его ещё на фейк?
А незя ли сделать всё в одном,подмену выдачи.Жертва запустит екзе,затем зайдёт
на нужный сайт,происходит редирикт на фейк,затем в адресной строке,адрес фейка
подменяется на настоящий,он вводит данные и они отправляются по назначению,затем
всё восстанавливается.

Это нужно впарить жертве екзешник,да заманить его ещё на фейк?
А незя ли сделать всё в одном,подмену выдачи.Жертва запустит екзе,затем зайдёт
на нужный сайт,происходит редирикт на фейк,затем в адресной строке,адрес фейка
подменяется на настоящий,он вводит данные и они отправляются по назначению,затем
всё восстанавливается.

Ну вообще-то да, это ведь в статье и написано! Только не один раз перенаправить, а управлять этим перенаправлением удалённо...

не статья. а шлак !

ты видимо не прошел проверку?
вот и решил посрать в теме?

по сабжу
статья норм)
но старая уже

Нормальная статья. И идея адекватная, только надо доработать чуток :)
Можно мне тож исходники в личку.

Геморно это, + для этого псевдоботнета советую юзать мускуль + хост можно не юзать вообще (узнал сам не давно). Могу написать

Напиши плиз