TeamViewer bot [source]

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
3 002
Репутация
9 272
#1
Описание:
Исходный код скрытого TeamViewer бота с админ панелью. Бот представляет из себя dll весом 94 кб, которая управляет TeamViewer'ом. Билдится в Visual Studio 2010.
Файл Microsoft Excel с расширением .xls с запросом о включении макроса вес 121 кб подгружает и устанавливает бота
Скрипт сканирующий компьютер жертвы, флешки, сетевые шары, закладки и историю браузеров на ключевые слова и ссылки например "bank.ru, bitcoin, wallet.dat, webmoney" - результаты поиска высылает на почту в текстовом файле c путями к вкуснятине, вместе с ID бота в заголовке письма для удобства идентификации жертв.
Кейлогер на основе Punto Switcher

Возможности TeamViewer бота:

+ Админ панель c GeoIP, с информацией о системе - микрофон, вебкамера, отправка команд ботам, возможность сортировки ботов, показ всех ботов - время онлайн, оффлайн, время заражения
+ Загрузка и запуск dll из памяти TeamViewer, автозагрузка с ними
+ Шифрованая конфигурация, файлы бота скрытые и системные
+ Хорошие новости для новичка! Больше не нужно мучатся с хостингом, динамическим dns и тп. Бот отправляет свой ID на email и работает через сервера TeamViewer очень стабильно и быстро (обход NAT, BackConnect)
+ Скрытая загрузка бота после рестарта компьютера
+ Скрытая установка TeamViewer VPN (если права позволяют)
+ RDP через TeamViewer VPN. Работает без патчинга termsrv.dll - это очень стабильно можно не боятся обновлений Windows
+ Создает скрытый RDP аккаунт в системе
+ Создает возможность скрытой RDP сессии в одной учетке с жертвой
+ Скрытый TeamViewer бот не конфликтует с ранее установленной TeamViewer
+ Просмотр экрана, управление, файл менеджер, cmd, возможность запуска файлов прямо из файл менеджера (скрытый и обычный)
+ Отправка команд из TeamViewer чата
+ Стабильно работает на всех win32 / x64 в том числе Windows 10
+ Оригинальные файлы TeamViewer не изменены цифровые подписи не тронуты, что дает лояльность АВ и проактивок
+ Просмотр вебкамеры, прослушка микрофона
+ Бот работает даже в гостевой учетке, UAC молчит
+ многие другие фишки по мелочи

Видео обзор старой версии без GeoIP в админке, скрипта и других плюшек

Продажник:чел продаёт за 500 баксов

Пароль на архив:111
 

Вложения

dobaa

Житель форума
Форумчанин
Регистрация
18.07.2014
Сообщения
31
Репутация
12
#3
давайте за 400 подгоню
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 701
Репутация
233
Jabber
Telegram
#4

ason

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
187
Репутация
217
#5
Извиняюсь за оффтоп,но когда читаю подобные вещи,сознаю себя древним мамонтом или человеком который вылез из пещеры погреться на солнышке.
Интересно а аверы ограждают от подобных вещей?
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
3 002
Репутация
9 272
#6
Интересно а аверы ограждают от подобных вещей?
Пытаются оградить,но вирусмейкеры тоже не дремлят.С такой же тщательностью как аверские лабы исследуют исходный код зловреда-вирусописатели ищут способы обхода антивирусной защиты.Поэтому антивирус не панацея.
То что сливается в паб (пример выше) быстро попадает на стол аверских аналитиков и естественно придумывается "затычка" и добавление сигнатур в базы данных зловредов.Такие примеры не очень опасны.
Но работа днём и ночью кипит с обеих сторон.
Взять одно исследование "той стороны"
https://damagelab.org/index.php?showtopic=25170&hl=
 

UserOK

Уважаемый пользователь
Форумчанин
Регистрация
04.11.2014
Сообщения
220
Репутация
272
#7
Забавная штука.Рабочая.На факаве увидел ее сначала.Долго не проживет.Как и все в паблике.Уже палится бот не кисло. Можно конечно доработать напильником,но для этого надо обладать определенными знаниями в области коддинга,принципами работы и детекта АВ.А таких людей думаю не так уж и много. И я не отношусь к их числу :)
 
Последнее редактирование:

ason

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
187
Репутация
217
#8
Пытаются оградить,но вирусмейкеры тоже не дремлят.С такой же тщательностью как аверские лабы исследуют исходный код
Антоха а разве возможно расшифровать закриптованный исходник,не помню где именно читал о способах,но по моему они все аналоговые и не дают 100%.Ну и как бы выходит,что исследуют по вторичным признакам деятельности вируса.Но там же могут быть и латентные функции которые запускаются только в определенных условиях или сроках?Короче 100% имеем только в одном:"Мы все умрем"girl_angel2
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 701
Репутация
233
Jabber
Telegram
#9
Но там же могут быть и латентные функции которые запускаются только в определенных условиях или сроках?
А вообще "Прожженые" реверсеры советуют исследовать программы на отдельной специально подготовленной системе, т.к. некоторые программы при попытки в них "залесть" начинают делать всякие гадости, вплоть до "удаления" системы и т.д. !смех-смех!!!

Про закладки, есть вирусы которые для отвода глаз в начале ничего не делают, но запускаются при возникновении каких-то действий, нпример "Закрытие программы", или ещё чего-либо, в теории такой вирус достаточно сложно обнаружить...Не въехал!!!Не въехал!!!Не въехал!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
3 002
Репутация
9 272
#10
Антоха а разве возможно расшифровать закриптованный исходник
Я наверное некорректно выразился..Исходный код по своей сути им и не нужен.Нужен кусок кода или функция вируса,которая в свою очередь станет сигнатурой и будет добавлена в базы аверов.
Ну а так практически всё можно расшифровать,снять защиту протектора,пакера.Почитай exelab к примеру-тонны инструментов для дебага,анпака.
Я не знаю тонкостей работы вирлабов,но не думаю,что с каждой вредоносной программой будут возится вручную.
Да и антивирус состоит не только ведь из сигнатурного анализа.Эмулятор,эвристический анализ,всякого рода анализаторы кода-всё это в комплексе (по идее) должно дать положительный результат.
Но там же могут быть и латентные функции которые запускаются только в определенных условиях
Ну естественно.Счас много вирусни с антидебагом,антивиртуалкой и т.п.Но и здесь есть способы для обхода этих фишек.
Короче 100% имеем только в одном:"Мы все умрем"
Хомячки умрут.А нормальный юзер соблюдающий хоть немного правил безопасности и имеющий каплю моска-выживет без проблем.
 
Вверх