Worm

[BigBanMan]

Ребят если есть у кого, дайте червя сетевого кого-нибудь современного. Собираюсь склеить со своим троянцем и распространять. :diablo:

Если не затруднит в пм или в теме.

 

[shyrka]

А может сразу 1кк баксов ???
Люди блеать думайте что пишите ...

 

[BigBanMan]

А может сразу 1кк баксов ???
Люди блеать думайте что пишите ...

Блин, ну я stuxnet нашел как то. и kido но они не подходят. червь просто не билдер, ты не понял. тупо бинарник червя нужен.

 

[KraZz]

Ну, раз такой самостоятельный, то вот тебе зверек или че-то там для развлечений
http://exelab.ru/f/index.php?action=vthrea...m=5&topic=19874 (http://rghost.ru/38057085)
если конечно сможешь 0силить из под VM вытащить часть кодеса %)))))
правда че там я хз.

 

[Ar3s]

BigBanMan рспишите подробнее что вам нужно.

 

[BigBanMan]

Смотрите. Я хочу собрать червя (мне пох что он стучит кому то еще) с ботом моим. И пустить в сеть чтоб они распространялись вместе.
Для этого мне нужен подопытный зверек. Естественно если то, что я выше написал возможно

На примере вот этой статьи:

Делаем бота саморазмножающимся.
В этой статье я расскажу, как на халяву получить инсталлы вашего трояна\бота. Как то, не очень давно, я прочитал на сайте Касперского (просто кладезь полезной информации (я не шучу)), про Вирус Parite.b (с этим вирусом у меня связанны неприятные воспоминания, но не буду об этом). Чем меня заинтересовала эта информация? Тем, что было написано, что широким распространением этот Вирус обязан червям. Как так? Оказывается, что Вирус заражает черви, и они переносят его по всей сети. Появилась идея - почему бы не заразить черви не бесполезным вирусом, а полезным софтом? Сказано-сделано - берем любой джойнер, и склеиваем червь с трояном\ботом. И обламываемся . Почему? Потому что джойнеры извлекают из запущенного файла чистый червь (без трояна) и троян. Далее червь распространяется по компам без нашей полезной нагрузки. Как же быть? И тут на помощь приходит замечательная программа inPEct! Что она делает? Она позволяет внедрить в файл-жертву(червь) полезный груз (троян). При запуске, она не распаковывает оба файла в какую-нибудь папку, а распаковывает только полезный груз. Файл-жертва запускается сам (без кидания в Temp\Windir\Systemdir). То есть червь так и остается вместе с внедренным трояном. Естественно, когда червь копирует себя по сети, на флешку, и т.д., он копируется вместе с внедренным трояном. Черви можно найти на зараженных сайтах. Например на сайтах из этого списка - www.malwaredomainlist.com Итак, на хирургическом столе - 1)червь Radminer 2)троян PoisonIvy Все очень просто - открываем inPEct, в качестве жертвы выбираем червь, в качестве трояна - PoisonIvy. Убираем галку Enable "smart" feature. Нажимаем "inPEct!". В папке Output появился файл. Далее кидаем этот файл на дедики, либо распространяем другими способами. После этого червь начнет самораспространяться, и вы увидите новых ботов в клиенте PI. Червь не очень хорош, я привел его только для примера. Самораспространяется слабо, но все же результаты есть! Конечно же, вместо inPEct, вы можете применить любой другой инфектор (они встречаются на сайтах вирмейкеров). Но рекомендую использовать виртуалку (инфекторы часто заражены сами).

 

[KraZz]

гы, а ты пробовал то, на что я ссылку давал...

 

[BigBanMan]

гы, а ты пробовал то, на что я ссылку давал...

Пока что нет. Сегодня попробую поковырять

 

[Ar3s]

А не проще к торрентам цеплять?

 

[TrashGen]

Да полезной нагрузки которая отвечает за распространение в этих всех ваших червях больше/равно 3,5 байта. Все эти нагрузки юзают дыры которые уже в 99ти случаях из ста описаны хэккирами, которым заняться больше нечем, кроме как анализировать апдейты системных библиотек/дройверов. Поэтому идея (разумеется имхо) лютое гавно. Плюс в виде бонуса- возможный ав детект этого червя из которого нужной то была 1/150я часть кода. Как то так.

 

[BigBanMan]

А не проще к торрентам цеплять?

Я так делаю, но думал от червя больше отстука будет.

Да полезной нагрузки которая отвечает за распространение в этих всех ваших червях больше/равно 3,5 байта. Все эти нагрузки юзают дыры которые уже в 99ти случаях из ста описаны хэккирами, которым заняться больше нечем, кроме как анализировать апдейты системных библиотек/дройверов. Поэтому идея (разумеется имхо) лютое гавно. Плюс в виде бонуса- возможный ав детект этого червя из которого нужной то была 1/150я часть кода. Как то так.

Да, спасибо) Я уже тоже к этим мыслям пришел что это уг идея.


Последний вопрос ребят, у кого есть криптор для файлов .net? ото мне бы закриптоваться. ну или контактик человека

 

[demien]

Цеплять свой бот к каким-бы то нибыло вирусам, затея не хорошая еще и потому что вирус расчитан на распространение только своего кода, т.е. внутри вируса скорее всего забиты жесткие размеры, по которым он и определяет откуда и докуда шифровать\расшифровывать и размножать свой код, а то что вы приклеите бота, это либо коррупт виря либо он на него забъет и будет инфектить своим кодом.

А то что ван нужно это spread'ер (размножитель). Есть такие софтинки которые помещают ваш файл в свой контейнер и с помощью разных технологий (авторан, инфект винрар файлов, инфект ехе и т.д.). Ну скорее всего вам придется заказывать подобное у кодеров, т.к. все что есть в паблике или палится или уже useless...

2KraZz

Файлик запакован AsPack 2.12 (секции специально переименованны в upx1, upx0) (Quick Unpack без проблем распаковал файлик и даже с импортом все в порядке), после распаковки можно догадаться, что это Win32/Wapomi. Подробнее тут

 

[KraZz]

demien пишет:
а с какого адреса там начинается виртуализация?

00401089 6A 01                   push    1
0040108B 6A 00                   push    0
0040108D E8 4F 25 00 00          call    sub_4035E1
==================================
00405DB8 6A 02                   push    2
00405DBA 6A 00                   push    0
00405DBC E8 20 D8 FF FF          call    sub_4035E1
==================================
004035E1 68 B1 87 5F 2E          push    2E5F87B1h <==
004035E6 E8 82 81 01 00          call    sub_41B76D

Но там для начала надо снять криптор, сдампить и т.д...

 

[demien]

Но там для начала надо снять криптор, сдампить и т.д...

снял, сдампил, увидел. походу что-то самописное?

 

[KraZz]

demien пишет:
походу что-то самописное?

Да я если честно не смотрел (хочу посмотреть какой тс на деле "мастер"), там похоже на вмпрот кривенько навешанный, типа часть импорта под ним и т.д., но большую часть кода видно нормально...

 

[demien]

там похоже на вмпрот кривенько навешанный, типа часть импорта под ним и т.д., но большую часть кода видно нормально...

Да, там и доминирующая часть импорта не покоцаная, и большинство апишек через GetProcAddress\LoadLibraryA запускаются, отчетливо видно что с инетом работает, с hosts, также логирует нажатые клавиши, более того, мне кажется виртуальная часть что-то с драйвером делает, а в ресурсах как раз сам драйвер. Хотя это тоже догадки. Я как бы не реверсер, только балуюсь, но покурить его интересно было бы.

 

[KraZz]

demien пишет:
но покурить его интересно было бы.

Ну, это да (поэтому и кинул сюда линк).
В плане сабжа - "может быть" интересным. Хотя результат уже всем известен заранее и без "опытов"
Просто напрягает, что вот какие-то там "аффтары" пишут что-то там, и находятся те, кто в это верит..
Это не статья как аффтар ее назвал, а "инструкция" как юзать прогу, про которую он пишет..
Этот сэмпл простенький как раз для экспериментов может подойти (тс просил - ему дали), вот на практике пусть тс и выясняет то, что ему не дает спать спАкойнА...

 

[DarckSol]

FYI Worm v1.0 Cracked
тУт