KaZaNoVa project v0.1a - proxy trojan

[demien]

KaZaNoVa project v0.1a - proxy trojan

author : demien
icq : 414-888818

описание:
приватный прокси трой, имеющий малый размер, при попадании
на машину жертвы инициализирует прокси сервер, открывает
удаленный порт и отсылает айпи:порт на ваш парсер.

особенности трояна:
---> персональный билдер (конфигуратор)
[v] персональный парсер (parser)
[v] возможность редактирования порта для прокси сервера
[v] возможность редактирования порта для парсера
[v] возможность редактирования айпи (ip) для прокси сервера
[v] используется внутренняя технология winsock 2.0
[v] троян использует новый метод автозагрузки (*CENSORED*)
[v] троян проверяет, находится ли он под виртуальной машиной (vmware)
[v] троян проверяет, находится ли он под дебагом (IsDebuggerPresent)
[v] в коде трояна пристутствует несколько антивирусных антиэмуляторов
[v] приветливый и удобный интерфейс алля сенкс фотошоп
[v] совместимость с winXP sp1, sp2, sp3, win2k
[v] только приватные билды # ограниченное количество!
[v] чистый (непакованный) размер сервера в пределах 23 килобайт
---- после упаковки сервера upx'ом размер сервера
---- колеблется в пределах ~9.5 kb (для делфи не плохо )
[v] обходит фаеры winXP SPх (+ завершение сервиса)
[v] совместимость с Upx, PECompact, WinUpack, MEW
(лучший), PeSpin и др..

 

[demien]

ту ду (to do) - ожидается в сл. версиях
[x] сокрытие процесса в windows XP
[x] уменьшить размер сервера*
[x] добавить встроенный upx/mew модуль сжатия
[x] иньектция кода в сторонний процесс
[x] добавить несколько новых антиотладочных методов*
[x] добавить обходы фаерволов*
[x] добавить новые функции*
[x] открывает HTTP Proxy
[x] открывает socks4 Proxy
[x] склеить с файлом (настраивается в билдере!)
[x] сменить imagebase у файла (проблема с авирой!)
[x] переписать некоторые фурнкции под asm вставки кода,
обеспечив тем самым лучшее быстродействие и более
мелкий размер.
[x] лоадер (апдейтер) чтобы обновить на новую версию троя
(также есть возможность добавить дописать функции ана заказ)
---- передача сигнала на севрер из парсера!
[v] функция nt компрессии (ntDLL compression) (подробнее в MSDN)
[v] CREATE_MUTEX (запрет на повторный запуск программы)

****************************************************
скринки: (screenshots)
конфигуратор:

парсер:

File Info

Report generated: 26.3.2009 at 12.54.21 (GMT 1)
Filename: server.exe
File size: 22.8 KB
Packer detected: Borland Delphi 6.0 - 7.0
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate: 0 on 24

Detections

a-squared - Nothing found!
Avira AntiVir - Nothing found! *
Avast - Nothing found!
AVG - Nothing found!
BitDefender - Nothing found!
ClamAV - Nothing found!
Comodo - Nothing found!
Dr.Web - Nothing found!
Ewido - Nothing found!
F-PROT 6 - Nothing found!
G DATA - Nothing found!
IkarusT3 - Nothing found!
Kaspersky - Nothing found!
McAfee - Nothing found!
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Nothing found!
Norman - Nothing found!
Panda - Nothing found!
Quick Heal - Nothing found!
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - Nothing found!
Virus Buster - Nothing found!

Scan report generated by
NoVirusThanks.org

требования к покупателю:

*запрещается перепродажа троя и парсера третьим лицам!
*оплата криптора только через wm: wmz и wmr!


~ цена 1 (одного билда) 30 wmz*
~ цена конфигуратора (билдера) ОБГОВАРИВАЕТСЯ В ICQ!*

хотелось бы проводить зделки с адекватными, серьезными людьми!
всякие предложения по поводу обмена на уины, софт и т.д.
не актуальны!
просьбе типа: зделайте тестовый билд! (ОТПАДАЕТ СРАЗУ!)

ОСТЕРЕГАЙТЕСЬ ЖУЛИКОВ И ПОДДЕЛОК!
Истиный автор программы: demien

! обновил пост! (спасибо DiFor'у за наопоминание! )

 

[Mr.Di]

прокси стучат на гейт? как со скоростью конекта через зверей?

 

[demien]

прокси стучат на гейт?

нет, на парсер на компьютере (айпи и порт конфигурируется в конфигураторе)

как со скоростью конекта через зверей?

смотря кого троянить... их коннект полностью доступен для вас!

 

[Mr.Di]

возможно ли добавление получения ип адреса "гейта" через домен. к примеру через те-же dyndns, или софт более заточен на работу на деде с постоянным ипом?

 

[demien]

возможно ли добавление получения ип адреса "гейта" через домен. к примеру через те-же dyndns, или софт более заточен на работу на деде с постоянным ипом?

на данный момент софт более заточен на работу с постоянным (со сконфигурированным айпи и портом) можно работать как со свей машины так и с деда (dedicated server ) парсер собирает отчет о онайлн машинах (прокси серверах) и сразу можно сохранить в файл IP:port...

 

[ex3me0]

Делай веб-интерфейс - цены ему не будет. А так - пока слабовато...

 

[demien]

Делай веб-интерфейс - цены ему не будет. А так - пока слабовато...

вроде ты у нас шаришь в пхп) и чекер парсер радмина делал) если сможешь помочь с гейтом, то стучи в асю... поговорим!

 

[Mr.Di]

как намутите что-нибудь, дайте знать людям. кстати насчет прокси, какой именно прокси поднимает? хттп, сокс, сокс5? добавьте в описание сабж

 

[demien]

обновил пост, спасибо DiFor за напоминания

 

[Mr.Di]

да не за что, удачи в продажах

 

[lance]

Чем-то напоминает буржуйский софт, который пашет токо на дедиках =\ Сделал бы лучше действительно гейт.

 

[demien]

Чем-то напоминает буржуйский софт

парсер штоли ?

Сделал бы лучше действительно гейт.

рябят... будет гейт в скорем времени!

 

[Mr.Di]

могу помочь с логикой гейта если требуется

 

[demien]

могу помочь с логикой гейта если требуется

было бы не плохо...

 

[Mr.Di]

моя асеку всегда открыта для интересных людей