TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy

[tabac]

Уже не впервой начинающие вирмейкеры используют для удаленного управления готовые программы, которые модернизируют для своих задач, раньше да и сейчас это: Radmin, DameWare, Omniquad Instant Remote Control, Remote Desktop Control, Remote Desktop Professional, Hidden Administrator, Activity Monitor, Ideal Administrator, Atelier Web Remote Commander, Удаленный рабочий стол Chrome, RDP Wrapper, RMS, AeroAdmin, AnyDesk, Supremo Remote Desktop, Splashtop Streamer, RemotePC, Access Remote PC, Remote Utilities, RealVNC, UltraVnc, TightVNC for Windows, Ammyy Admin, TeamViewer и т.д

В данном софте уже предусмотрены и VPN подключения, им остается только направить соединения своих детищ к C&C servers.

Вопрос возникает как можно увидеть в программе удаленного доступа конфигурацию для соединения с сервером C&C (командным).

Рассмотрим TeamViewer(TeamSpy), в нём несут эту информацию файлы:

• tv.cfg - чаще можно встретить с malware и просто так его голыми руками не взять, с такими малварями разобрался насколько мне известно Румынский центр Касперского - но мне не повезло и за два месяца общения они не смогли выделить времени для совместного исследования, ну или просто не захотели делиться опытом. Подробнее TeamSpy (28 стр.);
• tvr.cfg - вот это чаще используют "хакеры". Подробнее Team Spy (пункт: Файл конфигурации).

C:\Python37-32>python.exe TWR.py tvr.cfg

import sys

fdata = open(sys.argv[1], 'rb').read()
res = []

password = 'TeamViewer'

res = ""
for cnt1 in range(0, len(fdata)):
    val = 0
    for cnt2 in range(0, len(password)):
        val ^= ord(password[cnt2]) + cnt1 * cnt2
    res += chr(ord(chr(fdata[cnt1])) ^ (val& 0xff) )
print (res)

В прикрепленном файле TeamViewer encryption tvr.cfg.zip:
tvr_decrypt.py - старая версия Python;
TWR.py - новая версия Python;
TWR2.py - новая версия Python с возможностью ввода пути.


автор @Sunnych

 

[inAttack]

TW - хорошо что он за NAT прыгает