• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

TeamViewer bot [source]


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Описание:
Исходный код скрытого TeamViewer бота с админ панелью. Бот представляет из себя dll весом 94 кб, которая управляет TeamViewer'ом. Билдится в Visual Studio 2010.
Файл Microsoft Excel с расширением .xls с запросом о включении макроса вес 121 кб подгружает и устанавливает бота
Скрипт сканирующий компьютер жертвы, флешки, сетевые шары, закладки и историю браузеров на ключевые слова и ссылки например "bank.ru, bitcoin, wallet.dat, webmoney" - результаты поиска высылает на почту в текстовом файле c путями к вкуснятине, вместе с ID бота в заголовке письма для удобства идентификации жертв.
Кейлогер на основе Punto Switcher

Возможности TeamViewer бота:

+ Админ панель c GeoIP, с информацией о системе - микрофон, вебкамера, отправка команд ботам, возможность сортировки ботов, показ всех ботов - время онлайн, оффлайн, время заражения
+ Загрузка и запуск dll из памяти TeamViewer, автозагрузка с ними
+ Шифрованая конфигурация, файлы бота скрытые и системные
+ Хорошие новости для новичка! Больше не нужно мучатся с хостингом, динамическим dns и тп. Бот отправляет свой ID на email и работает через сервера TeamViewer очень стабильно и быстро (обход NAT, BackConnect)
+ Скрытая загрузка бота после рестарта компьютера
+ Скрытая установка TeamViewer VPN (если права позволяют)
+ RDP через TeamViewer VPN. Работает без патчинга termsrv.dll - это очень стабильно можно не боятся обновлений Windows
+ Создает скрытый RDP аккаунт в системе
+ Создает возможность скрытой RDP сессии в одной учетке с жертвой
+ Скрытый TeamViewer бот не конфликтует с ранее установленной TeamViewer
+ Просмотр экрана, управление, файл менеджер, cmd, возможность запуска файлов прямо из файл менеджера (скрытый и обычный)
+ Отправка команд из TeamViewer чата
+ Стабильно работает на всех win32 / x64 в том числе Windows 10
+ Оригинальные файлы TeamViewer не изменены цифровые подписи не тронуты, что дает лояльность АВ и проактивок
+ Просмотр вебкамеры, прослушка микрофона
+ Бот работает даже в гостевой учетке, UAC молчит
+ многие другие фишки по мелочи

Видео обзор старой версии без GeoIP в админке, скрипта и других плюшек

Продажник:

Пароль на архив:111
 

Вложения

  • TV_TEST_PUB.zip
    6 МБ · Просмотры: 371

ason

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
171
Репутация
112
Интересная штука...
Извиняюсь за оффтоп,но когда читаю подобные вещи,сознаю себя древним мамонтом или человеком который вылез из пещеры погреться на солнышке.
Интересно а аверы ограждают от подобных вещей?
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Интересно а аверы ограждают от подобных вещей?
Пытаются оградить,но вирусмейкеры тоже не дремлят.С такой же тщательностью как аверские лабы исследуют исходный код зловреда-вирусописатели ищут способы обхода антивирусной защиты.Поэтому антивирус не панацея.
То что сливается в паб (пример выше) быстро попадает на стол аверских аналитиков и естественно придумывается "затычка" и добавление сигнатур в базы данных зловредов.Такие примеры не очень опасны.
Но работа днём и ночью кипит с обеих сторон.
Взять одно исследование "той стороны"
 

UserOK

Уважаемый пользователь
Форумчанин
Регистрация
04.11.2014
Сообщения
205
Репутация
104
Забавная штука.Рабочая.На факаве увидел ее сначала.Долго не проживет.Как и все в паблике.Уже палится бот не кисло. Можно конечно доработать напильником,но для этого надо обладать определенными знаниями в области коддинга,принципами работы и детекта АВ.А таких людей думаю не так уж и много. И я не отношусь к их числу :)
 
Последнее редактирование:

ason

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
171
Репутация
112
Пытаются оградить,но вирусмейкеры тоже не дремлят.С такой же тщательностью как аверские лабы исследуют исходный код
Антоха а разве возможно расшифровать закриптованный исходник,не помню где именно читал о способах,но по моему они все аналоговые и не дают 100%.Ну и как бы выходит,что исследуют по вторичным признакам деятельности вируса.Но там же могут быть и латентные функции которые запускаются только в определенных условиях или сроках?Короче 100% имеем только в одном:"Мы все умрем"girl_angel2
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
Но там же могут быть и латентные функции которые запускаются только в определенных условиях или сроках?
А вообще "Прожженые" реверсеры советуют исследовать программы на отдельной специально подготовленной системе, т.к. некоторые программы при попытки в них "залесть" начинают делать всякие гадости, вплоть до "удаления" системы и т.д. !смех-смех!!!

Про закладки, есть вирусы которые для отвода глаз в начале ничего не делают, но запускаются при возникновении каких-то действий, нпример "Закрытие программы", или ещё чего-либо, в теории такой вирус достаточно сложно обнаружить...Не въехал!!!Не въехал!!!Не въехал!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Антоха а разве возможно расшифровать закриптованный исходник
Я наверное некорректно выразился..Исходный код по своей сути им и не нужен.Нужен кусок кода или функция вируса,которая в свою очередь станет сигнатурой и будет добавлена в базы аверов.
Ну а так практически всё можно расшифровать,снять защиту протектора,пакера.Почитай exelab к примеру-тонны инструментов для дебага,анпака.
Я не знаю тонкостей работы вирлабов,но не думаю,что с каждой вредоносной программой будут возится вручную.
Да и антивирус состоит не только ведь из сигнатурного анализа.Эмулятор,эвристический анализ,всякого рода анализаторы кода-всё это в комплексе (по идее) должно дать положительный результат.
Но там же могут быть и латентные функции которые запускаются только в определенных условиях
Ну естественно.Счас много вирусни с антидебагом,антивиртуалкой и т.п.Но и здесь есть способы для обхода этих фишек.
Короче 100% имеем только в одном:"Мы все умрем"
Хомячки умрут.А нормальный юзер соблюдающий хоть немного правил безопасности и имеющий каплю моска-выживет без проблем.
 
Верх Низ