SpyEye

[KraZz]

Вообщем посмотрел, что у нас тут инфы по SpyEye мало и то, что мне нужно чет не увидел (наверное, 100% плохо искал)
Короче полез гуглить, (ДЛ походу с гугла выпал, прискорбно)
Но зато куча ссылок на http://vulnes.com/showthread.php?t=867
Прочитал тему, порадовали обсуждения релизы, вопросы и т.д. чего не скажешь о ДЛ, такое ощущение, что здесь вымерло все
Решил зарелизить инфу, так сказать, чтобы о нас не забывали %))) (так чисто для ЛОЛа)
Помню когда-то, когда он у нас начинал (gribodemon), был такой прилизанный мальчег, а сейчас пипец непонятно во что превратился
Гонору много, цены поднял, Нас забыл и можно перечислять до бесконечности, короче медленно сполз в блэк...
Есть на васме некий чел с ником ziral2088 вот это, и есть aka gribodemon
Скорее всего, у многих могут появиться вопросы или даже сомнения в достоверности инфы, но я ведь никого и не заставляю верить %)))
Для тех же, кто хочет проверить истинность данной инфы, ниже "миниквЭст" с подсказками на проверку ваших истинных способностей хакера

http://www.wasm.ru/forum/viewtopic.php?id=38411 - Создать процесс от имени пользователя 1 в среде пользователя 2. Vista+
http://wasm.ru/forum/viewtopic.php?pid=440190 - UpdateDriverForPlugAndPlayDevices
http://wasm.ru/forum/viewtopic.php?id=38936 - Как заставить terminal services в XP Home принимать RDP соединения?

Но улыбнуло вот это:

ziral2088 пишет:
Клерк. я искренне рад твоему возвращению. Без тебя васм пуст, даже холиваров нет, одно житейское уныние.

из этой темы:
http://www.wasm.ru/forum/viewtopic.php?id=39236 - Отбаньте Клерка

P. S.
Когда гуглил попался price

Base Builder: $2,000 WMZ
FireFox Web Injects: $2,000 WMZ
Anti-Rapport: $500 WMZ
Socks5: $1,000 WMZ
RDP: $3,000 WMZ
FTP Back Connect: $300 WMZ
Fire Fox Certificate Grabber: $300 WMZ
Credit Card Grabber: $200 WMZ
Opera & Chrome Form Grabbers: $1,000 WMZ

Заинтересовало вот это: RDP: $3,000 WMZ
Это плагин для спая RDP и походу есть что-то в виде exe или dll предназначенное для него
Вопрос: что это такое? и если у кого-то это есть, просьба приаттачить здесь..
ЗЫ: вот так вот вначале на васме вопросы задает, а потом по 3k барыжит...

 

[Barack]

не поверишь были подобные подозрения по нику ziral2088 я даже писал был ему в личку спрашивал что-то по поводу темы о сессиях - тогда у меня закралось подозрение что данный чел участвует в команде грибодемона т.к. в то время и появился этот плуг , изучал был этот плуг подробно, но щас хоть убей не могу найти на харде - там достаточно ограничений в нем , плуг не работает на стартовых версиях винды, а также нонадмин тачках, для uac тачек юзается сисреп.

 

[Apocalypse]

Спойлер: 3 у вас 43

http://www.sendspace.com/file/3as8hp

 

[KraZz]

Apocalypse Да это же плуг, который выложил greenzy у нас здесь, походу они по всем сайтам копипастят их
Надергать плагинов с трэкеров я не вижу проблем
Здесь не все так просто, сам плуг имеет достаточно интересный потенциал в плане действительно хакерства
Короче я хочу его отвязать от спая, расширить и юзать как автономный мощный инструмент
Взять к примеру его качка, там стоит лимит на залив на дед (только exe) и exe должен быть обязательно с релоками, а я расширил и убрал ограничение и теперь можно заливать dll и запускать, да и + еще много чего сделал того что должно быть, а там нет вообще
Короче, это уже другой плагин...
Но некоторые вещи там для меня как темный лес, вот и хочу узнать у тех, кто в курсе (да и может контакты наладить)
Интересует часть клиент-сервер, так как там реализация такая уебищЪная, что все придется переписывать, или круто оптимизировать

Barack, хз может ты изучал старую версию (тестовую), там в этой, что выложил greenzy функционала нормально, я из 45kb выжал почти 200kb кода
Да и вообще хотел у тебя спросить за одно, че за трой на .Net про который ты говорил, что уже есть и сделает rdp сессию...

 

[Barack]

хм не понимаю смысла - зачем тебе понадобилось выводить это все в паблик и делать на радость :clap_1: школярам :beby: "автономный мощный инструмент" ? :shades: Всем кому нужно сами разберуться или сделают на заказ :hi:, тем более через ida+hexrays все красиво обрабатывается и вразумительный С исходник снимается :wizard: - немного теории + реализация бэкконекта в любом виде, бери манипулируй тем же mstsc и создавай на здоровье.

 

[KraZz]

Barack пишет:
хм не понимаю смысла - зачем тебе понадобилось выводить это все в паблик

А мну вообще трудно понять :P
Да и какой же это приват, это скорее аццкий баян
Я даже больше скажу: - я понять этих ахтунгов не могу, покупать за 10к это удручающее убожество, когда оно в паблике валяется
Пипец, этож каким деревянным надо быть %)))

Barack пишет:
тем более через ida+hexrays все красиво обрабатывается и вразумительный С исходник снимается

Эт НЕ серьезно, с каких это пор стало так просто снимать декомпиль с бинарей
Я лично сильно сомневаюсь, что ты сможешь вот так легко как пишешь показать, к примеру, структуру передаваемую RDP-демону по команде с id 0
100041F6 -> 1000564A -> 1000550F -> 10004868

Barack пишет:
бери манипулируй тем же mstsc и создавай на здоровье.

Ну, вот mstsc как раз «на радость школярам»© %)))

Barack пишет:
не понимаю смысла

Че тут непонятного, есть форум, есть "вопрос" – давайте обсудим
ЗЫ: давай лучше ближе к теме!
==========================================================================

Barack пишет:
немного теории + реализация бэкконекта в любом виде

В любом эт когда на "локалке" тестишь – эт да можно и в любом, но когда речь заходит о 5к и выше
Вот в принципе что-то похожее, чтобы понятнее было
RTFM: http://ru.wikipedia.org/wiki/Бэкдop

djmans пишет:
Машина за NAT(боты) соединяются со шлюзом(порт A) и ждут от него команд. Приходит клиент на порт шлюза(порт B), в этот момент шлюз отправляет боту команду которая содержит в себе уникальный индефикатор(элементарно i++ для каждого нового клиент-подключения) для нового клиента, после чего шлюз ожидает нового подключения от бота на тотже порт A, когда бот вновь подключается он сообщает шлюзу - id клиент-подключения, ну и дальше ставим тунель между клиентом и ботом. Т.е. бот постоянно держит одно соединение для приема команд на создание новых соединений, ну а другие создает для организации тунеля. Понятно?)

http://www.wasm.ru/forum/viewtopic.php?id=36770 - backconnect

 

[Barack]

покупать за 10к это удручающее убожество, когда оно в паблике валяется
Пипец, этож каким деревянным надо быть %)))

такие деньги он не стоит однозначно , хотя бы исходить из тех ограничений , что я привел выше, плюс сложность реализации и кучи "подозрительных" действий, которые нужно выполнить для нужного эффекта. Серьезный игрок не станет заморачиваться с поиском паблика, декомпиляцией и пр. хрени.

Эт НЕ серьезно, с каких это пор стало так просто снимать декомпиль с бинарей

ну вот возьми и попробуй , я не говорю что это супер-пупер декомпиль и на выходе будет один в один сорц как у автора, включая комментарии в коде , с твоими технологиями я не знаком - но верю, что м.б. они на порядок лучше хекрайза, я сам юзаю иду раз в мес, но в данном случае (т.к. код не обфусцился и даже таблица импорта не пряталась) хексрайз хоть как-то проявляет смысл и дает понимание многих базовых моментов в коде

структуру передаваемую RDP-демону по команде с id 0

честно говоря, у меня не возникало интереса к этим деталям реализации ибо все равно я всегда сделаю по-своему , а вот понять что и как глобально делается, не вникая в подробности реализации, или рипнуть часть кода, это уже другое дело.

Ну, вот mstsc как раз «на радость школярам»© %)))

ну теоретически это, наверное, самый верный способ - т.к. у rdp есть несколько версий протокола начиная с win2000 до win7 около 3 версий, хотя сам метод не тру, можно взять активХ компоненты или инициировать сессию через бэконект

В любом эт когда на "локалке" тестишь – эт да можно и в любом, но когда речь заходит о 5к и выше

в любом случае мы говорим не о написании проф. bc socks сервиса, а о проге, которая юзается преимущественно "точечно" - поэтому тут хватит даже самого неэффективного бэкконекта с дедиком pentium 3, чтобы держало 1-2 бота.

p.s. как по мне рдп это не тру, есть более изящные решения. Когда я реализовывал подобную хреноту - она оказалось довольно-таки массивной, трудоемкой и трудно тестируемой на реальных ботах, даже об этом плугине отзывы достаточно не лестные , срабатывает не сильно часто.

 

[robert112]

а есть у кого-нибудь плагин vnc? встречал упоминания но не могу найти.

 

[Apocalypse]

А был ли мальчик? :blink:

 

[KraZz]

Мини-ликбез по добыче плагинов к спаю
Вообще реверс – это как интим, кто как умеет тот, так и ебёть
Я распишу самый простой вариант, который требует минимум знаний
Идем на https://spyeyetracker.abuse.ch/monitor.php?browse=binaries (или на другой какой-нибудь трэкер, который чаще обновляется)
Увидим примерно следующее

Dateadded	SpyEye BinaryURL	Status	MD5 Hash	Filesize	Virustotal	Anubis	File download
2011-10-12	gogofuck.eu/bh/w.php?f=16&e=6	offline	665c5383160fd98f63fe7e4edbe67dcc	431'104	- 17/43 (39.50%)  Anubis report report	download
2011-10-11	wavone.us/w.php?f=16&e=6	offline	1b18b0f15960b38023d8c8a7cfd72e5d	130'960	- 13/43 (30.20%)  Anubis report report	download
2011-09-27	work-and-sex.in/w.php?f=18&e=3	offline	4ba5772da43d0892ff4423673e0358d8	164'040	- 2/43 (4.70%)  Anubis report report	download
2011-09-15	31.31.203.123/e-cards.exe	offline	22b6a5069366f9c0fddbe82aaf653b27	207'360	- 35/44 (79.50%)  Anubis report report	download
2011-09-02	91.211.119.75/files/16	offline	4727f67789537c176a5cb4c072acd03d	704'512	- 31/44 (70.50%)  Anubis report report	download

Теперь нужно подобрать сэмпл по критериям (можно слить их все, но у меня, к сожалению времени, для такой халявы вообще нет)
Первый критерий – это результат с Virustotal, смотрим и ищем результаты, которые не превышают 11/43 (25.60%)
Тут все просто, чем меньше палица, тем больше шанс, что в таком сэмпле будет что-то новенькое, интересное или даже приватное
Второй критерий – это размер сэмпла (Filesize)
Чем больше размер, тем больше плагинов там может быть
Теперь берем VM (к примеру, VMware) с чистой системой и делаем снимок, делаем копию диска и т.д. для восстановления системы
Я посоветовал бы вариант с откатом системы (в безопасном режиме), так как он наглядно демонстрирует, как можно убить спая не имея даже локально установленного AV ПО %))) ("элитный" бот, ёпт, бу-го-га)
И так Пуск->Выполнить... и в появившемся окне вбиваем %SystemRoot%\system32\restore\rstrui.exe и жмем OK
Ну а далее «Создать точку восстановления» и т.д.
Теперь запускаем бот спая, если система сразу не упала, и бот который мы запускали, исчез из "Проводника" и далее бот начал ломится в инет, которого на VM нет – стало быть, это то, что нам нужно
Запускаем на VM Олю Дебаговну (OLLYDBG) ии.. и идем в Menu->File->Attach
В появившемся окне ищем строчку примерного содержания

Process    Name           Window                       Path
000004C0   Explorer       Главное меню                 C:\WINDOWS\Explorer.EXE

Да-да, именно к Explorer.EXE мы и будем аттачится %)))
Почему же мы ищем плагины в процессе Explorer`а, да все очень просто, потому что он "ижЭктит" себя именно туда
Выбираем "главный" процесс дышла юзермода и жмем кнопку Attach
После того как мы приаттачимся, идем в Menu->View->Memory (Alt+M) в появившемся окне (Memory map) ставим курсор на первую строку (обязательно нужно сделать) карты памяти, обычно это:

Address    Size       Owner                        Section      Contains                     Type   Access    Initial   Mapped as
00010000   00001000            00010000 (itself)                                             Priv   RW        RW

Далее жмем Ctrl+B и должно появиться окно «Enter binary string to search for»
В поле ASCII вводим GetPluginId и жмем OK
Здесь, пожалуй, немного поясню, что мы ищем
Можно искать плагины в памяти по разным критериям, но самый простой это поиск по имени из экспорта в обязательном порядке используемых функций для инициализации плагина
Обычно это:

Init
Start
Stop
TakeGateToCollector
TakeGateToCollector2
TakeBotGuid
TakeBotPath
TakeBotVersion
GetState
KeepAlive
IsGlobal
Callback_OnBeforeProcessUrl
Callback_OnBeforeLoadPage3
Callback_OnAfterLoadingPage
Callback_ChangePostRequest
FreeMem
TakeGetPage
TakeGetPage2
TakeFreeMem
TakeConfigCrc32Callback
TakeBotExeMd5Callback
TakePluginsListCallback
TakeMainCpGateOutputCallback
MainCpGateInput
TakeUpdateBotExe
TakeUpdateConfig
TakeStartExe

После того как оля найдет искомое, должно появится окно с содержимым типа: (диапазон адресов будет виден на заголовке окна)

0BB0CEBB  00 02 00 03 00 73 6F 63 6B 73 35 2E 64 6C 6C 00  .....socks5.dll.
0BB0CECB  47 65 74 50 6C 75 67 69 6E 49 64 00 49 6E 69 74  GetPluginId.Init
0BB0CEDB  00 53 74 61 72 74 00 53 74 6F 70 00 00 00 00 00  .Start.Stop.....

Далее запускаем дампер (к примеру, PETools) выбираем там этот же процесс и на нем жмем правую кнопку мыши и из контекстного меню выбираем Dump Region..., появится окно Region Dump
В нем выбираем нужный нам регион памяти (такой же, как мы нашли в оле, с теми же адресами) и дампим
После того как сдампим, переименовываем Dump_0BAD0000_00044200.bin в socks5.dll и у нас готовый плуг
Стоит пояснить, что такая халява прокатывать будет не всегда, некоторые плагины могут быть уже инициализированы и у них надо будет восстанавливать импорт и т.д.
Но это не так уж и сложно, если просто почитать фак как дампить и немного практики...
Еще там могут встречаться варианты типа несколько плагинов будет в одном регионе памяти, здесь тоже ничего сложного нет, надо просто поискать сигну "MZ" и т.д. и знать немного формат PE для того чтобы "вырезать" нужный плагин
перед запуском следующего сэмпла (После того как выдернули плагины из сэмпла), не забываем очистить систему
в безопасном режиме Пуск->Выполнить... и в появившемся окне вбиваем %SystemRoot%\system32\restore\rstrui.exe и жмем OK
Ну а далее «Восстановление более раннего состояния компьютера» и т.д.
Останется только после всех этих телодвижений сравнить MD5 плагинов с теми, что выложил greenzy и если они отличаются.. не жадничать и аттачить здесь в этой теме

Barack пишет:
Серьезный игрок не станет заморачиваться с поиском паблика, декомпиляцией и пр. хрени.

Да-да, он купит этот гуано-бот, который убивается с полтыка..
ты думаешь серьезному продукт стоимостью в 10k позволительна такая роскошь как убивание после восстановления системы, о серьезности тут разговора и быть не может, он в место того чтобы в привате покупать уязвимости и внедрять их (постоянно обновляя) он ищет на форумах паблик кодес типа как выкладывает клерк и его и юзает
Могу таких кучу примеров показать, да просто искренне его жаль пока..
тот, кто пишет на форумах, что у него есть лицензия и с лицензией что-то там отличается - либо клон, либо ахтунг без мозгов (и тут без вариантов)
В любом случае вешает себе клеймо ОЛЕНЯ на лоб
Обычно покупают готовый комплект те, кто не в состоянии организовать грамотно свой ботнет, а это уже тупо юзеры которым показали как нажать эту кнопку, а потом ту
И называть их серьезным не заморачивающимся народом, гы-гы
Серьезный народ платит нереальное бабло за уязвимости и готов ждать, чтобы ее/их "нашли" и продали в "одни руки"
ЗЫ: ИМХО

Barack пишет:
в любом случае мы говорим не о написании проф. bc socks сервиса, а о проге, которая юзается преимущественно "точечно"

Ну, может для тебя это и есть "точечно"
А я затронул, если так можно сказать тему рдпнетов, и отвязывать от спая надо в обязательном порядке
Хотя бы, потому что через пару дней уже онлайн к 5% приблизится, если у аверов есть трэкеры, киляторы, этого бота зарелизили в паблик, его везде обсуждают и т.д., то строить на таком ботнет самоубийство, такой паблик (пусть, даже если купить лицензию) криптовать все равно, что деньги в воду кидать, ну так для примера, одно из "откровений", которое полностью отражает косвенно то, про что я
http://xss.pro/index.php?topic=22273 - Мой опыт создания ботнета
ТС, перед тем как "попасть" задавал вопросы здесь по этому боту
Я еще тогда подумал, что 50 на 50 процентов что попадет на бабло, но все же взял, напрягся полностью расписал ап этом боте "истену"
Но как, оказалось, зря писал. Он наверно даже и не стал читать (лишний раз убеждаюсь, что советовать кому-то что-то бесполезно)
Я еще понять могу там код осилить не в состоянии, но это

ведь если посмотреть на большинство отзывов, то можно заметить что многие пишут что это их "первый" ddos ботнет и автор адекватен в общении – вот этом и есть истЕна, когда это в первый раз происходит, они(клиенты) под воздействием "эйфории"(что он/они завалил свой первый сайт) бегут и строчат положительные отзывы, но когда они набираются "опыта" переходят на более качественное ПО, то только уже потом пишут о боте более АДЕКВАТНО..
при этом тот, кто открывает на основе данного бота свой сервис по ддосу, автор Darkness тут же кидает мазу в топике этого чела(на Мега.HackZona.Ru) за него и настоятельно рекомендует обращацца...
поэтому и создаецца ахуенно-иллюзорное впечатление что бот гуд
ЗЫ: ИМХО

здесь мы видим как с помощью AVZ(об этом "АВ" я тоже где-то уже писал) и скрипта, данного бота удаляют
сталобыть если аверы уже написали спецутилиту/скрипт(если скрипт, то это уже автоматом бот - гавно) итд. по удалению, то нам уже пытаются продать:
1. бот который был заказан и накоден на васме(к примеру) ВЫЖАТ УЖЕ КАК ЛИМОН, но еще как-то "инсталлится"(обычно 30-50% на "хорошем трафе")
2. либо бота кто-то хорошо "проинсталлил" и имеет(СКОРЕЕ ИМЕЛ) большой ботнет, впоследствии чего бот УЖЕ СТАЛ РЕЛИКТОМ
3. etc...
В любом случае вам уже продают ДЕРЬМО и пытаются с него выжать последний песок!

Поэтому тот, кто это понял, пытается по дешевке продать лицензию
Ну, примерно как здесь

kiot пишет:
Причина продажи: для меня стал не актуален сам ддос (не требуется более).

https://xss.pro/index.php?topic=22317 - Лицензия Dirt jumper - продам срочно
Причем эта мессага появилась сразу после релиза в паблик
По аналогии это касается всех паблик-ботов и спая тоже, достаточно вспомнить нищебродство от зевса какой "дЭмпЕнг" был

P. S.

Спойлер: 50

Рдпнет в отличии от ботнета, трудно убиваем, имеет очень большой процент онлайна, его можно юзать в "белых" проектах
Предоставляет удаленный доступ к машине, размножается подобно червям (из-за чего онлайн процент только множится) и т.д.
Вот примерно о чем я (скажем так, косвенно выражаясь, но думаю, суть должна быть понятна)
_http://exelab.ru/f/index.php?action=vthread&forum=6&topic=13092&page=2 - Факторизация Base 10 RSA-370

 

[DeusEx]

Большое спасибо за ликбез, очень познавательный.
Только с первого раза у меня ничего не получилось.
Потомучто вместо билда спая я скачал со спайтрекера билд карберпа !!!11

 

[Barack]

кстати а как карбыч по сравнению со спаем ? кто поверхностно/детально ковырял этого зверька - что можете сказать ?

 

[xaf0n]

ничего такого. Юзает сплоит мс09-25, ZwResumeThread, \ZwMapViewOfSection\ZwQueueApcThread. В общем ничего интересного.

 

[DeusEx]

почти все 1 в 1. но некоторые индивидуальные фишки есть.
например в спае для инжекта в новые процессы перехватывается NtClose, якобы менее палевно чем NtResumeThread.
а в карберпе хук ставится таким образом что например rku обламывается его снять.
конкретнее что тебя интересует ? функционал, какие-то техники ? если будет время и последние версии бинарников, то я не против разобрать по косточкам оба.

 

[xaf0n]

DeusEx Даешь статью. =)

 

[KraZz]

DeusEx пишет:
Только с первого раза у меня ничего не получилось.
Потомучто вместо билда спая я скачал со спайтрекера билд карберпа !!!

Ну да, я поэтому и написал

(или на другой какой-нибудь трэкер, который чаще обновляется)

А так да, там еще бывает, фэйки спая попадаются, там помню, мне даже плуг попадался с лольным названием knocker.dll
Все так серьезно пошифровано, а юзается всего несколько API (InternetOpen, InternetCloseHandle и т.д.) %)))
я просто не стал описывать всех нюансов, там к примеру, если бот не покажет два раза мессагу для подключения к инету, то в памяти уже может и не быть плагинов...
я вообще стараюсь писать так, чтобы надо было хоть чуть что-то самому сделать, просто придерживаюсь библейской "притчи"

Ибо кто имеет, тому дано будет и приумножится; а кто не имеет, у того отнимется и то, что имеет...
От Матфея. Глава 13, Стих 12

а так там самое главное чтобы первый раз все получилось, а дальше уже как по маслу будет...

mzh пишет:
ептить сколько пафоса) на кой он вам сдался?
ну барыжит и хрен с ним

Да тут как бэ пафоса и нет
Да и всем пох чем он барыжит
Но мну уверен, что тут каждого второго интересует альтернатива спаю или зевсу (монополисту так сказать)
А все как говорится, познается в сравнении и истене, вот потихоньку правду народу расскажем (кто, как умеет) и узнаем, что лучше покупать и кого финансово поддержать, а так получается, в бездну бабло выкидываем и самое главное даже и понятия не имеют некоторые как их простыми криками «бот обновился» имеют.. %))))))))

 

[robert112]

хочу сказать пару слов в защиту спая.

Ребята, в первую очередь - это бизнес на малваре. Конечно весьма специфичный, но бизнес. И в нем действуют все законы обычного бизнеса, в первую очередь маркетинг.

У спая потрясающаяя реклама, у него большой ценник, для многих это нечто большее чем просто покупка, это покупка мечты.

Далее, это реально работающий инструмент, коммерсанту не важно насколько он неграмотно написан или что там юзаются какие-то баянские фишки или что автор тусовался на форуме и спрашивал азы, а потом стал продавать бота за большие тыщи и забыл про своих советчиков. Это все не важно.

Важно что коммерсант может вложить бабла, купить инструмент, установить его по инструкции, докупить инжекты\плагины и начать зарабатывать деньги.

Траф прогружается, заливы заливаются = профит.

Никого не интересует есть ли для него скрипты AVZ или еще что-то. Есть четкие параметры отстук и палевность. Начал палится - криптуй, отстук хреновый - меняй криптора,

Только после того как коммерс пройдёт весь этот путь, он поймет, что отстук можно увеличить да и криптора можно приватного взять, но все это стоит килотонны бабосов.

Приватный криптор fud на неделю 1-1.5к, приватный дрон на p2p от 5к.

Не имея опыта врываться во все это не реально.
А спай (а до него зевс) это абсолютно адекватный публичный продукт на рынке, причем единственный. Эдакий вход на малваре-бизнес для неглубоко посвященных. Совсем другой разговор, что это вредит малваре бизу в целом из-за привлечения внимание, но факт остается фактом Спай - это лучший бот которого сейчас можно купить без особого гемора. Он имеет потрясающий коммерческий успех.

Возьмите виндоус - хуёвая, бажная, все ее ругают, но все юзают, а билл гейтс миллиардер. Так и со спаем.
В заключении поста, переделанный анекдот.

SpyEye как презерватив, его ругают, он никому не нравятся, но все используют

 

[DeusEx]

robert112, и какой же отстук у спая со связки на юсе нопремер ? 60% преодолевает ?

 

[robert112]

не знаю, юсу не грузил.

дело не в том что он преодолевает или нет, дело в том что альтернативы нет.

 

[Quake3]

Немного не по теме, но отпишусь.

KraZz пишет:

Мой опыт создания ботнета
ТС, перед тем как "попасть" задавал вопросы здесь по этому боту
Я еще тогда подумал, что 50 на 50 процентов что попадет на бабло, но все же взял, напрягся полностью расписал ап этом боте "истену"
Но как, оказалось, зря писал. Он наверно даже и не стал читать (лишний раз убеждаюсь, что советовать кому-то что-то бесполезно)

Почему же зря. Совсем не зря. Я читал твой обзор. Но в данном случае так сложилась ситуация.
Во-первых, бот мне достался за небольшие деньги, около 100вмз.
Во-вторых, у меня был выбор между этой оптимой и каким-то неизвестным варботом. К этому варботу были сорцы (на С++ вроде), но мне какой с них толк? Кодить то я не умею. А если этот варбот никто не смог бы закриптовать? А если он отстой полный? Я не хотел рисковать.
А во-третьих..я, конечно же, понимаю, что лучше всего - превад самописный бот, но где же его взять? Сам кодить не умею, заказывать у спецов - дорого, да еще найти надо нормального кодера (куча блеков на разных малваре кодеров подтверждают, что качественный системщик - редкий зверь). Поэтому я остановился тогда на оптиме.

KraZz , а как бы ты поступил на моем месте, если не секрет? Вот будучи полным нубом, без знаний к кодингу/реверсу и без доступа к преватам?