Jump to content
gordex

Program do przechwytywania domen

By gordex, in Narzędzia

Recommended Posts

gordex    1

gordex
Posted

Witam,

 

Po testowaniu skryptów innych autorów udało mi się stworzyć własny, który posiada skuteczność przechwytywania domen do dropped.pl

 

UWAGA! Zalecane łącze minimum 512kbps.

 

Proszę w tym temacie chwalić się perełkami które przechwyciliście. Plik readme w paczce.

 

Link: usuniety przez admina

 

Pozdrawiam

  • Like 1

Share this post

Link to post
Share on other sites

ryskadow    143

ryskadow
Posted
Nie wiedzieć czemu, ale czuję tutaj jakiś przekręt...

Kto by oferował skrypt do łapania za free?

 

autor programu nie napisal ze trzeba na klucz autoryzacji z az.pl

a nie kazdy go dostanie

 

a w programie trzeba wpisac usera i haslo do logowania w az...

 

cyt "

 

2. Po wykonaniu tego zadania otwieramy program, przechodzimy na zakładkę "Profil" i wpisujemy:

- ID w AZ.pl

- Hasło w AZ.pl"

Share this post

Link to post
Share on other sites

DawPi    0

DawPi
Posted
Link: http://mydir.eu/file/3415/BRDomen-rar.html

 

DZIWNE SKOJARZENIE...................

 

2. Po wykonaniu tego zadania otwieramy program, przechodzimy na zakładkę "Profil" i wpisujemy:

- ID w AZ.pl

- Hasło w AZ.pl"

Nowy sposób na zdobycie hasełek do AZ ?!

 

Hmm, czyżby nowy sposób kradzieży ? :>

 

EDIT:

1_f8012.png

ah, te teorie..

Share this post

Link to post
Share on other sites

Dropped.pl    209

Dropped.pl
Posted

"Wystąpił problem z aplikacją BRD.exe i zostanie ona zamknięta."

 

Poza tym, co to za strona http://bocik.bee.pl/panel i jakie dane z mojego komputera są na nią przesyłane??? Mam bardzo brzydkie podejrzenie, że ten plik to jakieś spyware...

Share this post

Link to post
Share on other sites

apze    1,062

apze
Posted

Jak cos to jestem z Bytomia i mogę zapukać do Agnieszki wraz z kilkoma osiłkami :)

 

Ja nie mam ochoty pobierać, też widzę w tym przekręt. Pomyślę co zrobić z wątkiem.

Share this post

Link to post
Share on other sites

sparks    0

sparks
Posted
Nieźle... a potem ludzie się dziwią, że im domeny z panelu znikają. :)

Jeżeli mówisz o temacie z tego forum o 'znikających domenach' - to on był też stworzony przez hodunia.

Share this post

Link to post
Share on other sites

mikolaj    16

mikolaj
Posted

toć to Skandal, ten ktoś - Hoduń ciągle wchodzi z tego samego IP, że wiecie że to on? Jeżeli tak to zablokujcie to IP na stałe, bo tylko krew innym psuje!

Share this post

Link to post
Share on other sites

guardiola    0

guardiola
Posted
toć to Skandal, ten ktoś - Hoduń ciągle wchodzi z tego samego IP, że wiecie że to on? Jeżeli tak to zablokujcie to IP na stałe, bo tylko krew innym psuje!

Tez jestem za trzeba tepic takich jak on

 

Skoro juz tylu oszukal to czemu odpowiednie sluzby sie nim nie zajma?

 

Pozdro

Share this post

Link to post
Share on other sites

pb    2,626

pb
Posted
Jeżeli mówisz o temacie z tego forum o 'znikających domenach' - to on był też stworzony przez hodunia.

 

Piszę o tych, którzy z tego programu skorzystali/ją.

Share this post

Link to post
Share on other sites

Puzek    0

Puzek
Posted

Nawet gdyby ten ktoś wszedł do panelu i przetransferował sobie domenki to i tak nie staje się ich właścicielem, jedyne co zyska to kilkudniowa uciecha skradzioną domeną, gorzej jakby w tym rarku siedział keylogger ;/

Share this post

Link to post
Share on other sites

koper    1

koper
Posted

Zawartość tego pliku to trojan TsunamiOverHost.

Na pierwszy rzut oka jedną z objaw istnienia zainstalowanego trojana w systemie jest pojawienie się pliku autostart.exe w Start->Programy->Autostart wielkości około 22kB.

Pod adresem wymienionym przez Dropped.pl znajduje się panel do zarządzania DDoS netem.

 

Dla zainteresowanych trojan ten nie jest identyfikowany przez większość antywirusów (nod32 go nie wykrywa).

Jest późno, ale mam pustą noc, jutro postaram się dostarczyć informacje co trzeba wyczyścić w rejestrze i systemie żeby pozbyć się problemu :D

 

Edit:

W rejestrze do wywalenia:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG

 

oraz:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
smss"="C:\\Program Files\\Common Files\\System\\smss.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
smss"="C:\\Program Files\\Common Files\\System\\smss.exe"

 

W tle działa proces smss.exe (mogą być dwa, chodzi o ten z uprawnieniami usera, nie systemu), skillować.

Wywalić pliki: 

C:\\Program Files\Common Files\System\smss.exe
C:\\Program Files\Common Files\System\start.bat
C:\Documents and Settings\*\Menu Start\Programy\Autostart\autostart.exe

 

Objawy: średnio co minutę odwołania do zdalnego pliku zakodowanego wewnątrz binarki servera (prawdopodobnie http://bocik.bee.pl/panel/update.php)

Poza tym, przy starcie:

GET /exceptions HTTP/1.0
Accept: */*
Accept-Language: pl,en-us;q=0.7,en;q=0.3
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: owned.name
Connection: close

HTTP/1.1 200 OK
Date: Sat, 15 Sep 2007 01:52:54 GMT
Content-Type: text/plain
Connection: close
Server: Apache
Last-Modified: Thu, 13 Sep 2007 22:08:42 GMT
ETag: "10a8b13-1d-94c78e80"
Accept-Ranges: bytes
Content-Length: 29

sjuazaumjsusp sjuazaumjruazd

wysłane na maszynę 84.252.148.80 (a.k.a heimdall.mchost.ru). Informacji o właścicielu domeny owned.name jest niewiele we whoisie...

Na moje oko to host autora samego trojana, niekoniecznie gościa który wymyślił, że sprzeda go jako program do robienia domen.

Co oznacza "sjuazaumjsusp sjuazaumjruazd" - nie wiem. :D

 

tu są url'e służące do kontroli bocianów nie tyle przez 'dostarczyciela', a raczej przez autora. Gość wymyślił sobie, że zrobi sobie duży ddosnet z małych, prywatnych ddosnetów bazujących na jego sofcie i słusznie. ;] Wychodzi na to, że w grę wchodzi nawet upgrading ;)

http://www.owned.name/online
http://www.owned.name/upgrade
http://www.owned.name/exceptions

 

 

W moim przypadku, przy starcie BRD.exe wywalał się błąd. Następowała modyfikacja rejestru, ale sam proces trojana sie nie odpalał (nie wiem jak po reboocie, wspomniany plik autostart.exe również się nie utworzył, a wiem o nim bo pobrałem to ustrojstwo w wersji 'instalacyjnej', dla zainteresowanych:

http://koper.biz/toh.zip , instrukcje w pliku readme.txt)

 

Wysyłam to laboratorium NOD'a i pewnie niedługo będzie w sygnaturach. Smutno mi się robi na myśl, że dostęp do takich zabawek mają dzieciaki po 15 lat, które instalują to na komputerach rodziny. No a najgorsi są już 16 letni kretyni, którzy wciskają to w miejscach takich jak to forum. Osobiście uważam, że powinniśmy zrobić jakieś polowanie w tej sprawie. :P Jeżeli jest stałe to wnioskuje o podanie do publicznej wiadomości odpowiedniego IP :).

 

Sam soft wyśrubowany nie jest. Prosta konstrukcja, ciekawe czy skuteczna. Usunięcie tego z systemu nie wymaga czarów. Dziwi natomiast fakt, że nie wszystkie antywirusy to wykrywają. To świadczy o tym, że to chyba 'nowość' :P

 

 

 

Idę w kime, pozdrawiam.

Share this post

Link to post
Share on other sites

DawPi    0

DawPi
Posted

Dzięki koper. Faktycznie, pewnego syfu z tego nie wyłapałem.

 

Chyba od dziś będę każdy taki soft odpalał na testowej maszynie :)

Share this post

Link to post
Share on other sites

Mev    0

Mev
Posted
Możecie podać pełne dane Hodunia? Albo przynajmniej miasto, fragment... Mam sporo osób z którymi coś handluję i może się natknę kiedyś...

 

Nazwisko sam sobie wymyśl, podpowiem, że jest w nicku hodunia :(

 

A miasto to Gdańsk.

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go To Topic Listing
×