Leaderboard

Am resscris codul de la inceput in cateva zile, este un Remote Administration Tool. Este orientat numai pe pluginuri, se pot scrie foarte usor pluginuri, cine va incerca sa creeze plugin-uri ma poate sa ma intrebe de API-ul prezentat de mine, si cum lucreaza(care este foarte foarte banal). Pluginurile trebuie in dll, pe viitor vor face si o extensie pt pluginuri sub forma de exe. Ocupa 400 de kb, din care 350 de kb sunt librarile folosite din IDE-ul, 20 de kb sunt la RAT, si restul sunt junk-uri introduse direct in cod, am scris un plugin pentru metamorfism... pur si simplu am facut un mic interpretor de pascal si dupa aceea introduce functii, variabile. Din cauza aceasta unele functii ruleaza mai incet, le si ruleaza, de exemplu poate intr-o functie e un for de face 10.000 de inmultiri. Edit: Am sesizat ca versiunea cu metamorfism la unele functi aloca pana la 800 de mb ram Daca va fi detectat teoretic va fi foarte usor sa il fac iara nedetectat, intrucat tot voi adauga cod junk prin cod diferit, intrucat este foarte mult random, si teoretic cei de la AV-uri nu pot creea un fingerprint foarte bun pentru metamorfism, si o sa incerc sa scot problema cu multi mega alocati degeaba. Este reverse connection adica se configureaza client.exe, dupa aceea se va trimite client.exe la cealalta persoana si automat client.exe incearca sa se conecteze la IP-ul setat. Fara metamorfism: Client.exe a-squared 5.1.0.3 20110820050419 2011-08-20 Trojan.Win32.Cosmu!IK 0.52 //Ikarius are o amprenta foarte proasta pentru virusul ala, si a-squared o importa AhnLab V3 2011.08.21.00 2011.08.21 2011-08-21 - 1.583 AntiVir 8.2.6.32 7.11.13.154 2011-08-19 TR/Dldr.Delphi.Gen 0.291 //Analiza lui spune ca am functii de download files, as putea sa o scot, dau dupa aceea nu mai exista feature-ul sa poti descarca pluginuri de pe internet, fara se le uploadezi. Antiy 2.0.18 20110804.11725727 2011-08-04 - 0.018 Arcavir 2011 201107140423 2011-07-14 - 2.297 Authentium 5.1.1 201108200744 2011-08-20 - 4.091 AVAST! 4.7.4 110821-0 2011-08-21 - 0.044 AVG 8.5.850 271.1.1/3847 2011-08-21 - 0.254 BitDefender 7.90123.8951711 7.38701 2011-08-21 - 4.541 ClamAV 0.97.1 13462 2011-08-21 - 0.096 Comodo 5.1 9819 2011-08-21 - 1.859 CP Secure 1.3.0.5 2011.08.19 2011-08-19 - 0.098 Dr.Web 5.0.2.3300 2011.08.21 2011-08-21 - 15.591 F-Prot 4.6.2.117 20110821 2011-08-21 - 3.123 F-Secure 7.02.73807 2011.08.21.01 2011-08-21 - 7.659 Fortinet 4.2.257 13.564 2011-08-20 - 0.214 GData 22.1725 20110821 2011-08-21 - 0.177 Ikarus T3.1.32.20.0 2011.08.21.79143 2011-08-21 Trojan.Win32.Cosmu 5.318 //o recuaste din cauza unui fingerprint prost pentru Cosmu. JiangMin 13.0.900 2011.08.20 2011-08-20 - 1.599 Kaspersky 5.5.10 2011.08.21 2011-08-21 - 0.358 KingSoft 2009.2.5.15 2011.8.21.9 2011-08-21 - 0.860 McAfee 5400.1158 6444 2011-08-20 - 9.702 Microsoft 1.7604 2011.08.20 2011-08-20 - 12.017 NOD32 3.0.21 6397 2011-08-21 - 1.005 Norman 6.07.10 6.07.00 2011-08-20 - 18.021 nProtect 20110821.01 12475755 2011-08-21 - 1.378 Panda 9.05.01 2011.08.20 2011-08-20 - 2.404 Quick Heal 11.00 2011.08.20 2011-08-20 - 1.134 Rising 20.0 23.71.03.03 2011-08-18 - 2.355 Sophos 3.22.0 4.68 2011-08-21 - 3.937 Sunbelt 3.9.2497.2 10230 2011-08-21 - 9.119 Symantec 1.3.0.24 20110820.005 2011-08-20 - 0.059 The Hacker 6.7.0.1 v00282 2011-08-19 - 0.496 Trend Micro 9.200-1012 8.360.11 2011-08-17 - 0.051 VBA32 3.12.16.4 20110818.2040 2011-08-18 - 5.224 ViRobot 20110820 2011.08.20 2011-08-20 - 0.410 VirusBuster 5.3.0.4 14.0.178.2/5943991 2011-08-20 - 0.002 Plugins Chat.dll 0/37 ComputerInformations.dll 0/37 Control.dll 0/37 Keylogger.dll 4/37 am folosit metamorfism pentru clasa de keylogger a-squared 5.1.0.3 20110820050419 2011-08-20 Trojan-Dropper.Delf!IK 0.491 Ikarus T3.1.32.20.0 2011.08.21.79143 2011-08-21 Trojan-Dropper.Delf 7.772 //Nici macat nu folosesc functii de a scrie/citi fisiere, registri etc in pluginul acela de keylogging. NOD32 3.0.21 6397 2011-08-21 a variant of Win32/Spy.KeyLogger.NJW trojan 0.050 VBA32 3.12.16.4 20110818.2040 2011-08-18 Malware.Delf.46 (paranoid heuristics) (suspicious) 6.273 MonitorTime.dll 0/37 PrintScreen.dll 0/37 Webcam.dll 1/37 AntiVir 8.2.6.32 7.11.13.154 2011-08-19 BDS/Backdoor.Gen2 0.283 //Numai backdoor nu e, e un plugin banal pentru webcam. YahooScam.dll 0/37 Metamorfism: Client.exe 1/37 Panda 9.05.01 2011.08.20 2011-08-20 Suspicous file 2.404 Chat.dll 0/37 ComputerInformations.dll 0/37 Control.dll 0/37 Keylogger.dll 1/37 NOD32 3.0.21 6397 2011-08-21 a variant of Win32/Spy.KeyLogger.NJW MonitorTime.dll 0/37 PrintScreen.dll 0/37 Webcam.dll 0/37 YahooScam.dll 0/37 Host.exe 5633d27097619edd10a1c0448f22cadfe 0/37 Unele din functii de la metamorfism ar putea sa dea crash deoarece sunt introduse lini inutile care teoretic nu ar face nimic, dar daca pui prea multe ori ocupa prea mult din memorie, ori prea mult din processor, asa ca ar fi de recomandat sa se testeze. Bug report: Am sesizat ca threaduri nu functioneaza asincron in pluginuri, astfel chat-ul ca era un thread asincron intrucat faceam ceva gen matrix nu mai functioneaza, asa ca nu am thread-ul e suspended. Info: Port scanner este multi-paralel si asincron, prioritatile threadurilor sunt diferite astfel unele scaneaza mai repede decat altele. Tot codul este orientat pe threaduri, si cred ca am sincronizat totul. Care e ideea: Se deschide clientul, se conecteaza la tine si apoi pui pluginurile pe care le vrei in _sProgramPath+"Plugins\" si apoi le "instalezi" in aplicatie si le poti folosi. Cei care au rooter trebuie sa dea forward la port-ul setat, ca sa se poata conecta. Cei care au IP dinamic trebuie sa-si faca un dynamic DNS sau static DNS Download1 MEGAUPLOAD - The leading online storage and file delivery service Download2 Download geoRAT.rar Download3 Download geoRAT.rar for free on uploading.com

Romana Descriere: Dupe Remover este un program cu ajutorul caruia poti sterge duplicatele dintr-un string sau dintr-un fisier. Programul este gratuit si poate fi distribuit sub termenii GNU Public License (gnu.org/licenses/gpl-2.0.html). Autor: Grupul PHP Coder Link: pastebin.com/bj3gP8QF Twitter: twitter.com/rstphpcoder English Description: Dupe Remover is a tool designed to remove duplicates from strings and files. The tool is freeware and can be distributed under the terms of GNU Public License (gnu.org/licenses/gpl-2.0.html). Author: PHP Coder group Link: pastebin.com/bj3gP8QF Twitter: twitter.com/rstphpcoder

@Ionut Da, dar ceea ce faci tu (introducand dump code) practic modifici o parte din semnaturi dar particularitatile codului tau se pastreaza deci ar putea deveni detectabil daca un antivirus se axeaza doar pe acea latura de cod ce ramane permanent la fel. Sau am citit gresit ce ai explicat tu? La euristici cum se comporta? E prins? P.S : De cand umbli pe RST si cu ce ocazie? )

Pai, site-ul asta e un start : fii info...

In sfarsit am gasit piesa: King's Bounty OST-Under the shadow of the oak

Peste 35.000 de backlinkuri pt site-ul tau cu confirmare ! Multiupload.com - upload your files to multiple file hosting sites! http://vscan.novirusthanks.org/analysis/835506fecf5bb04afed7ac3fc891e161/d3d3LW9rYXppaS1pYXNpLXJvLWJhY2tsaW5rLXNw/ Enjoy!