TeamViewer bot [source]

Тема в разделе "Исходники вирусов", создана пользователем Антоха, 15 окт 2015.

↑ ↓
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Описание:
    Исходный код скрытого TeamViewer бота с админ панелью. Бот представляет из себя dll весом 94 кб, которая управляет TeamViewer'ом. Билдится в Visual Studio 2010.
    Файл Microsoft Excel с расширением .xls с запросом о включении макроса вес 121 кб подгружает и устанавливает бота
    Скрипт сканирующий компьютер жертвы, флешки, сетевые шары, закладки и историю браузеров на ключевые слова и ссылки например "bank.ru, bitcoin, wallet.dat, webmoney" - результаты поиска высылает на почту в текстовом файле c путями к вкуснятине, вместе с ID бота в заголовке письма для удобства идентификации жертв.
    Кейлогер на основе Punto Switcher

    Возможности TeamViewer бота:

    + Админ панель c GeoIP, с информацией о системе - микрофон, вебкамера, отправка команд ботам, возможность сортировки ботов, показ всех ботов - время онлайн, оффлайн, время заражения
    + Загрузка и запуск dll из памяти TeamViewer, автозагрузка с ними
    + Шифрованая конфигурация, файлы бота скрытые и системные
    + Хорошие новости для новичка! Больше не нужно мучатся с хостингом, динамическим dns и тп. Бот отправляет свой ID на email и работает через сервера TeamViewer очень стабильно и быстро (обход NAT, BackConnect)
    + Скрытая загрузка бота после рестарта компьютера
    + Скрытая установка TeamViewer VPN (если права позволяют)
    + RDP через TeamViewer VPN. Работает без патчинга termsrv.dll - это очень стабильно можно не боятся обновлений Windows
    + Создает скрытый RDP аккаунт в системе
    + Создает возможность скрытой RDP сессии в одной учетке с жертвой
    + Скрытый TeamViewer бот не конфликтует с ранее установленной TeamViewer
    + Просмотр экрана, управление, файл менеджер, cmd, возможность запуска файлов прямо из файл менеджера (скрытый и обычный)
    + Отправка команд из TeamViewer чата
    + Стабильно работает на всех win32 / x64 в том числе Windows 10
    + Оригинальные файлы TeamViewer не изменены цифровые подписи не тронуты, что дает лояльность АВ и проактивок
    + Просмотр вебкамеры, прослушка микрофона
    + Бот работает даже в гостевой учетке, UAC молчит
    + многие другие фишки по мелочи

    Видео обзор старой версии без GeoIP в админке, скрипта и других плюшек


    Продажник:чел продаёт за 500 баксов

    Пароль на архив:111
     

    Вложения:

    • Мне нравится Мне нравится x 4
    • Согласен(а) Согласен(а) x 1
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Интересная штука...
     
  3. dobaa Житель форума
    dobaa
    Ответить в чате

    Форумчанин

    Регистрация:
    18.07.2014
    Сообщения:
    28
    Симпатии:
    12
    Пол:
    Мужской
    Репа:
    +16 / 0 / -0
    давайте за 400 подгоню
     
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Вы лучше 400$ подгоните, гы-гы !Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 1
    • Согласен(а) Согласен(а) x 1
  5. ason Уважаемый пользователь
    ason
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    213
    Симпатии:
    243
    Пол:
    Мужской
    Репа:
    +259 / 1 / -4
    Извиняюсь за оффтоп,но когда читаю подобные вещи,сознаю себя древним мамонтом или человеком который вылез из пещеры погреться на солнышке.
    Интересно а аверы ограждают от подобных вещей?
     
    • Мне нравится Мне нравится x 2
  6. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Пытаются оградить,но вирусмейкеры тоже не дремлят.С такой же тщательностью как аверские лабы исследуют исходный код зловреда-вирусописатели ищут способы обхода антивирусной защиты.Поэтому антивирус не панацея.
    То что сливается в паб (пример выше) быстро попадает на стол аверских аналитиков и естественно придумывается "затычка" и добавление сигнатур в базы данных зловредов.Такие примеры не очень опасны.
    Но работа днём и ночью кипит с обеих сторон.
    Взять одно исследование "той стороны"
    https://damagelab.org/index.php?showtopic=25170&hl=
     
    • Мне нравится Мне нравится x 2
    • Информативный пост Информативный пост x 1
  7. UserOK Уважаемый пользователь
    UserOK
    Ответить в чате

    Форумчанин

    Регистрация:
    04.11.2014
    Сообщения:
    221
    Симпатии:
    299
    Пол:
    Мужской
    Репа:
    +348 / 5 / -0
    Забавная штука.Рабочая.На факаве увидел ее сначала.Долго не проживет.Как и все в паблике.Уже палится бот не кисло. Можно конечно доработать напильником,но для этого надо обладать определенными знаниями в области коддинга,принципами работы и детекта АВ.А таких людей думаю не так уж и много. И я не отношусь к их числу :)
     
    Последнее редактирование: 31 окт 2015
    • Мне нравится Мне нравится x 1
    • Согласен(а) Согласен(а) x 1
  8. ason Уважаемый пользователь
    ason
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    213
    Симпатии:
    243
    Пол:
    Мужской
    Репа:
    +259 / 1 / -4
    Антоха а разве возможно расшифровать закриптованный исходник,не помню где именно читал о способах,но по моему они все аналоговые и не дают 100%.Ну и как бы выходит,что исследуют по вторичным признакам деятельности вируса.Но там же могут быть и латентные функции которые запускаются только в определенных условиях или сроках?Короче 100% имеем только в одном:"Мы все умрем"girl_angel2
     
    • Мне нравится Мне нравится x 2
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    А вообще "Прожженые" реверсеры советуют исследовать программы на отдельной специально подготовленной системе, т.к. некоторые программы при попытки в них "залесть" начинают делать всякие гадости, вплоть до "удаления" системы и т.д. !смех-смех!!!

    Про закладки, есть вирусы которые для отвода глаз в начале ничего не делают, но запускаются при возникновении каких-то действий, нпример "Закрытие программы", или ещё чего-либо, в теории такой вирус достаточно сложно обнаружить...Не въехал!!!Не въехал!!!Не въехал!!!
     
    • Мне нравится Мне нравится x 2
    • Не хорошо, не плохо Не хорошо, не плохо x 1
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Я наверное некорректно выразился..Исходный код по своей сути им и не нужен.Нужен кусок кода или функция вируса,которая в свою очередь станет сигнатурой и будет добавлена в базы аверов.
    Ну а так практически всё можно расшифровать,снять защиту протектора,пакера.Почитай exelab к примеру-тонны инструментов для дебага,анпака.
    Я не знаю тонкостей работы вирлабов,но не думаю,что с каждой вредоносной программой будут возится вручную.
    Да и антивирус состоит не только ведь из сигнатурного анализа.Эмулятор,эвристический анализ,всякого рода анализаторы кода-всё это в комплексе (по идее) должно дать положительный результат.
    Ну естественно.Счас много вирусни с антидебагом,антивиртуалкой и т.п.Но и здесь есть способы для обхода этих фишек.
    Хомячки умрут.А нормальный юзер соблюдающий хоть немного правил безопасности и имеющий каплю моска-выживет без проблем.
     
    • Мне нравится Мне нравится x 3
    • Не хорошо, не плохо Не хорошо, не плохо x 1
Похожие темы:
  1. Антоха
    Ответов:
    4
    Просмотров:
    1.308
  2. Антоха
    Ответов:
    2
    Просмотров:
    1.554
  3. rain.hf
    Ответов:
    2
    Просмотров:
    1.137
  4. Ванесса
    Ответов:
    2
    Просмотров:
    1.819
  5. X-Shar
    Ответов:
    2
    Просмотров:
    710
Загрузка...

Поделиться этой страницей