PDA

Просмотр полной версии : Zeus. настройка и описание


timonsyz
17.06.2010, 03:41
Zeus. настройка и описание


ZeuS - Вирус(далее "бот") для MS Windows служит для управления компьютерами жертв и получения с них информации при помощи ведения логов.Вообщем то говоря просто это вирус,крадущий историю переходов по страницам инета,запоминающий и передающий своему "хозяину" Всю эту информацию,не включающую в себя пароли от почтовых программ,асек и всего прочего,что не имеет контакт с браузером.

В простонародье вирусмейкеров этот вирус называют Зеусом или Зевсем.

ZeuS состоит из трех частей:
Панель управления, которая устанавливается на сервер(а).
Билдер, является приложением для Windows, служит для задания конфигурации бота.
Бот, является приложением для Windows, но уже запускается на компьютере жертвы.
Внимание! В зависимости от количества активных ботов, сборки, и настройки, вам понадобится от обычного хостинга до мощного сервера или серверов.

ZeuS имеет следующие основные возможности и свойства (здесь приведен полный список, в вашей сборке часть этого списка может отсутствовать):
Бот:
Написан на VC++ 8.0, без использования RTL и т.д., на чистом WinAPI, за счет этого достигается маленький размер (10-25Кб, зависит от сборки).
Не имеет собственного процесса, за счет этого нельзя обнаружить в списке процессов.
Обход большинства фаерволов (включая популярный Outpost Firewall версий 3, 4, но сущетвует временная небольшая проблема с антишпионом). Не дает гарантии беспрепятственного приема входящих соединений.
Сложно обнаружить поиском/анализом, бот устанавливается жертве и создает файл с временем системных файлов и произвольным размером.
Работает в лимитированных учетных записях Windows (работа в гостевой учетной записи в настоящее время не поддерживается).
Невидим для экваристики антивирусов, тело бота зашифровано.
Некоем образом не создает подозрения на свое присутствие, если вы это не захотите. Здесь имеется ввиду то, что любят делать многие авторы spyware: выгрузка фаерволов, антивирусов, запрет на их обновление, блокировка Ctrl+Alt+Del и т.д.
Блокировка Windows Firewall (данная функция требуется только для беспрепятственного приема входящих соединений).
Все свои настройки/логи/команды бот хранит/принимает/передает в зашифрованном виде по HTTP(S) протоколу. (т.е. в текстовом виде данные будете видеть только вы, все остальное бот<->сервер будет выглядеть как мусор).
Обнаружение NAT при помощи проверки своего IP через указанный вами сайт.
Отдельный файл конфигурации, что позволяет себя защитить от потери ботнета в случаи недоступности основного сервера. Плюс дополнительные (резервные) файлы конфигурации, к которым бот будет обращаться, когда не будет доступен основной файл конфигурации. Эта система гарантирует выживание вашей ботнета в 90% случаях.
Возможность работать с любыми браузерами/программами работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.):
Перехват POST-данных + перехват нажатых клавиш (включая вставленные данные из буфера обмена).
Прозрачный URL-редирект (на фейк-сайты и т.д.) c заданием простейших условий редиректа (например: только при GET или POST запросе, при наличии или отсутствии определенных данных в POST-запросе).
Прозрачная HTTP(S) подмена содержимого (Веб-инжект, который позволяет подменять не только HTML страницы, но и любой другой тип данных). Подмена задается при помощи указания масок подмены.
Получение содержимого нужной страницы с исключением HTML-тегов. Основано на Веб-инжекте.
Настраиваемый TAN-граббер для любых стран.
Получения списка вопросов и ответов в банке "Bank Of America" после успешной авторизации.
Удаление нужных POST-данных на нужных URL.
Идеальное решение для виртуальных клав-ур: После захода на нужную URL, происходит получение скриншота в области экрана, где была нажата левая кнопка мыши.
Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка. После это любой импортируемый сертификат будет сохранен на сервер.
Перехват логина/пароля протоколов POP3 и FTP в независимости от порта и запись его в лог только при удачной авторизации.
Изменение локального DNS, удаление/добавление записей в файл %system32%\drivers\etc\hosts, т.е. сопоставление указанного домена с указанным IP для WinSocket.
Сохраняет содержимое Protected Storage при первом запуске на компьютере.
Удаляет Сookies из кэша Internet Explorer при первом запуске на компьютере.
Поиск на логических дисках файлов по маске или загрузка конкретного файла.
Запись только что посещенных страницы при первом запуске на компьютере. Полезен при установки через сплойты, если вы покупаете загрузки у подозрительного сервиса, можно узнать что грузится еще параллельно.
Получение скриншота с компьютера жертвы в реальном времени, компьютер должен находится вне NAT.
Прием команд от серверной части и отправка отчета назад об успешном выполнении. (В настоящее время запуск локального/удаленного файла, немедленное обновление файла конфигурации, уничтожение ОС).
Socks4-сервер.
HTTP(S) PROXY-сервер.
Обновление бота до последней версии (URL новой версии прописывается в файле конфигурации).


Панель управления:
Для работы требуется PHP + MySQL.
Простой инсталлятор (обычно хватает ввода данных юзера MySQL и нажатия кнопки 'Install').
Многопользовательский режим, каждому пользователю можно задать определенные права доступа.
Статистика установок(инсталлов, заражений).
Статистика ботов находящихся в онлайн.
Разделение ботнета на сабботнеты.
Обзор онлайновых ботов (так же возможен фильтр)
Просмотр скриншота в реальном времени.
Просмотр и проверка Sock4.
Время нахождения бота в онлайн.
Скорость соединения (только для ботов вне NAT).
Хранении логов в базе данных. Это дает следующие преимущества:
Поиск логов по фильтру содержимого.
Поиск логов по шаблонам с выделением нужных POST данных (например позволяет выделять на сайте [Ссылки доступны только зарегистрированным пользователям] только логи и пароль, отбрасывая при поиски все остальные данные).
Хранение логов в зашифрованных файлах, в структуре директорий ботнет\страна\ID компьютера.
Отдача команд ботам (так же возможен фильтр).
При знании PHP вы можете самостоятельно перенастроить панель управления по вашем вкусу.


Билдер:
Написан на VC++ 8.0, без использования RTL и т.д. на чистом WinAPI, за счет этого достигается маленький размер (зависит от сборки, в сборке с декодером логов размер будет более 400кб, т.к. будет включена база стран по IP).
Просмотр статуса текущей системы, в качестве теста бота вы можете запустить его на своем компьютере, а потом нажатием одной кнопки удалить его.
Декодер логов, с распределением по странам.
Билдер файла конфигурации (шифрованного) и самого бота.
Полиморфный криптор BETA. В настоящее время находится на стадии тестирования, и не гарантирует сто процентную защиту от антивурсов. Но гарантировано доведение данной функции до ума в ближайшее время.


После скачивания программы ZeuS настоятельно рекомендуется проверить её антивирусом. Файлы, которые вы загружаете никем не проверены и вы скачиваете их на свой страх и риск. Некоторые программы, которые вы можете найти на сайте, могут определяться антивирусами как hack tools (хакерская программа). Такие программы не наносят вреда вашему компьютеру, однако, стоит учитывать, что в некоторых случаях их использование может попасть под 272-273 статью УК РФ.

Настройка бота

Пошаговая установка:
1)Из имеющегося у вас пакета сборки, запустите файл 'local\cp.exe', это билдер файла конифгурации и бота
2)Откройте раздел 'Builder'. Нажмите кнопку 'Browse' и укажите там файл конфигурации, имя котрого 'local\config.txt'.
3)Нажмите кнопку 'Edit config', в результате должен запуститься текстовый редактор. Перенастройте файл вот так:

Исходный файл конфигурации представляет собой текстовый файл в кодировки Windows, и нужен только для создания конечного файла конфигурации (который представляет собой бинарный файл для загрузки ботом) и самого бота. В вашем пакете сборки пример файла конфигурации должен находится в папке 'local' и иметь имя config.txt. Откройте файл можно в любом текстовом редакторе, например 'Блокнот'(Notepad).

Файл состоит из записей, по одной записи в строку. Запись же состоит из параметров, первый параметр обычно определяет имя записи (но это не всегда так, например, в случаи когда идет перечисление каких либо данных, имени нет). Параметры разделяются между собой пробелами, если же в самом параметре встречается пробел, или символ табуляции, этот параметр следует заключить в двойные кавычки ("), тоже правило применятся и к имени. Количество параметров не ограничено, также если у записи есть имя, то оно читается без учета регистра
Примеры:


Также существуют специальные имена записей, которые позволяет делить файл конфигурации насколько угодно подразделов, которые могут содержать внутри себя сколько угодно подразделов и записей. Они называются разделами и состоят из имени entry и параметра определяющего название раздела (регистр также не учитывается в данном параметре), окончание же раздела обозначается записью end. Далее в документации, вложенность записи относительно подразделов, будут обозначатся через ->. Т.е. записиь с именем username принадлежащая разделу userdata, будет обозначена как userdata->username и т.д.

Примеры:


Также существует возможность вставки комментариев, комментарий должен находиться в отдельной строке, и начинаться с символа ';'. Если получается, что первый параметр в записи тоже начинается с ';', то этот параметр следует заключить в кавычки.

Примеры:


Записи файла конфигурации
Файл состоит из двух разделов StaticConfig и DynamicConfig.

StaticConfig, значения этого раздела прописываются непосредственно в файл бота, т.е. в exe, и определяют основное поведение бота на компьютере жертвы.
В зависимости от вашей сборки, некоторые параметры могут не иметь для вас значения, все значимые параметры прописаны в примере, прилагаемом к пакету сборки.
botnet [строка] - определяет название ботнета, которому принадлежит бот.
строка - название ботнета, до 4-х символов, или 0 - для значения по умолчанию.

Рекомендуемое значение: botnet 0

timer_config [число1] [число2] - определяет промежутки времени через которое следует получить обнавление файла конфигурации.
число1 - определяет время в минутах через которое следует обновить файл конфигурации, в случаи успешной загрузки предыдущий раз.
число2 - определяет время в минутах через которое следует обновить файл конфигурации, в случаи ошибки при загрузки предыдущий раз.

Рекомендуемое значение: timer_config 60 5

timer_logs [число1] [число1] - определяет промежутки времени через которое следует отправлять накопленные логи на сервер.
число1 - определяет время в минутах через которое следует отправить логи, в случаи успешной отправки предыдущий раз.
число2 - определяет время в минутах через которое следует отправить логи, в случаи ошибки при отправки предыдущий раз.

Рекомендуемое значение: timer_logs 2 2

timer_stats [число1] [число2] - определяет промежутки времени через которое следует отправлять статистику на сервер. (сюда входят инасталлы, нахождение в онлайн, открытые порты сервисов socks, скриншоты и т.д.)
число1 - определяет время в минутах через которое следует отправить статистику, в случаи успешной отправки предыдущий раз.
число2 - определяет время в минутах через которое следует отправить статистику, в случаи ошибки при отправки предидущий раз.

Рекомендуемое значение: timer_logs 20 10

url_config [url] - URL по который расположен основной файл конфигурации, этот параметор является самым важным, если при заражении компьюетра жертвы по указаной URL не будет доступен данный конфиг, то заражение не имеет смысла.


url_compip [url] [число] - определяет сайт на котором можно проверить свой IP, служит для определения NAT.
url - определяет URL сайта
число - определяет количетсво байт, которые достаточно с качать с сайта чтобы увидет в скаченом свой IP.


blacklist_languages [число1] [число2]...[числоX] - определяет список кодов языков Windows, для которых бот будет всегда находится в спяшем режими, т.е. он не будет высылать логи и статистику, но будет обращаться к файлу конфигурации.
числоX - код языка, например для RU - 1049, EN - 1033.



DynamicConfig, значения этого раздела прописываются в конечный файл конфигурации.
В зависимости от вашей сборки, некоторые параметры могут не иметь для вас значения, все значимые параметры прописаны в примере, прилагаемом к пакету сборки.
url_loader [url] - определяет URL, по которой можно скачать обновление бота. Данный параметр актуален, только если вы запустили в ботнете новую версию бота и прописали конфигурацию от него по той же URL, что и старая конфигурация, в таком случаи старые версии бота начнут обновиться, скачивая файл, указанный в этой записи.


url_server [url] - определяет URL, по которой будут отправляться статистика, файлы, логи и т.д. с компьютеров жертв.


file_webinjects - определяет локальный файл, в котором располагается список веб-ижектов. Описание формата данного файла вы найдете здесь


Подраздел AdvancedConfigs - перечисляет список URL, по которым можно скачать резервный файл конфигурации, в случаи не доступности основного файла. Рекомендуется заполнить этот подраздел 1-3 URL, что позволит спасти ботнет от гибели в случаи недоступности основного файла конфигурации, и в результате спокойно перевести его на другой сервер. Обязательное наличие файлов по этим URL не требуется, главное потом иметь возможность разместить файлы по этим URL. Файлы следует размешать там только после обнаружения недоступности основного файла конфигурации, если же вы всегда хотите располагать файлы по этим URL, то следует обновлять их все синхронно вместе с основным файлом конфигурации. Резервные файлы не чем не отличаются от основного, и создаются таким же образом.

Пример:


Подраздел WebFilters - Имеет два назначения:
перечисляет список масок URL, которые должны обязательно записаны или исключены из лога, в независимости от типа запроса (GET, POST). Если первым символом маски является '!', то при совпадении URL с этой маской, запись в лог не будет производится (например маска "!*" запретит запись всех URL, кроме тех которые перечислены перед ней).
Задает маску URL, при начале обращения к которой будут создаватся скриншоты экрана в области нажатия левой кнопки мыши (полезен для обхода виртуальных клавиатур). Такая маска URL должна начинаться с символа '@'.
Примечание: для URL перечисленных в этом подразделе игнорируется значение параметра StaticConfig.ignore_http

Пример:


Подраздел WebFakes - перечисляет список прозрачных URL-редиректов (фейк-сайты), подробное описание этого раздела находится здесь

Подраздел TanGrabber - определят правила для TAN-граббера, подробное описание этого раздела находится здесь


Подраздел DnsMap - список DNS изменений, которые необходимо произвести в файле %system32%\drivers\etc\hosts.
Формат записи: [IP] [домен].
IP - новый IP домена.
домен - имя домена для которого изменяется IP. Если домен начинается с символа '!', то этот домен будет у дален из файла, естественно если он будет там найден. Значение параметра IP игнорируется и может быть любым.

Пример:

Затем сохраните файл.

Установка бота

Как минимум сервер должен иметь следующее предустановленное ПО: Apahce любой версии, PHP от версии 4 и выше, и MySQL от версии 4 и выше. Обычно данное ПО уже всегда уставлено на серверах, если это не так, то обратитесь в службу поддержки сервера.
Из имеющегося у вас пакета сборки, скопируйте содержимое папки 'web' на сервер в любую директорию (желательно отдельную) по вашему выбору, к который есть доступ через HTTP протокол.
Если сервер работает на *nix системе (Linux, FreeBSD и т.д.), то установите на директорию 'system' права 777 (chmod).
Через HTTP запустите скрипт '.install/index.php' (например [Ссылки доступны только зарегистрированным пользователям]), в результате у вас должен запуститься скрипт установки. Если этого не произошло, то возможно не правильно настроен сервер.
Укажите все запрашиваемые данные скриптом.
Root login: Логин и пароль для создаваемого администратора панели управления.
MySQL server: Данные для использования MySQL. Указываемый пользователь уже должен существовать, но если указанная БД не существует, то она будет создана автоматически (должны быть привилегии на создание БД).
MySQL tables: Названия таблиц в MySQL БД. Стоит менять в случаи маскировки.
Local paths: Локальные пути на диске относительно директории установки.
Options: Дополнительные опции (можно поменять после установки в панели управления).
Enable log write to database: Писать ли логи с зараженных компьютеров в БД, данный способ позволяет производить поиск непосредственно через панель управления, но требует больше ресурсов от сервера.
Enable log write to local path: Писать ли логи с зараженных компьютеров в файлы, файлы будут находиться в зашифрованном виде, и их просмотр возможен только после расшифровки через билдер.
Online bot timeout: Таймаут онлайн-ботов, в зависимости от сервера должен быть от 0-5 минут больше значения TIMER_STATS в конфигурации бота. Рекомендуемое значение TIMER_STATS плюс 5 минут.
Нажмите кнопку 'Install', установка может занять до минуты (заполняется база стран по IP).
В случаи успешной установки, вы можете удалить директорию '.install', и можете уже зайти непосредственно в панель управления. Или в случаи возникновения ошибки при установки, проверьте правильность ввода данных, возможно стоит проверить настройки PHP и MySQL, также можете обратится в техническую поддержку ZeuS.

После установки, если вы запустите скрипт установки вновь, он уже запуститься в режиме обновления, запуск обновления абсолютно безвреден и имеет реальный эффект только при переходе на новую версию панели управления, но вы можете использовать его для изменения данных введенных при первой установки или в случаи повреждения БД. Чтобы провести установку заново необходимо удалить файл 'system/config.php'


Подготовка к запуску

Ничего не надо
Честно говоря тут никогда не было ничего написано,но я всё же добавлю...
Нужен хостинг,желательно платный,сейчас много дешёвых хостингов
Также бесплатные:
phpnet.us
000webhosting.com



Команды бот-нет'у

Данный раздел позволяет отдавать различные команды ботам, с возможностью использования фильтров. Для добавления группы команд, нажмите кнопку "Добавить группу", в результате у вас откроется диалог с настройками группы:
Название - любое название группы на ваше усмотрение.
Статус - текущий статус (состояние группы).
Страны - cписок стран через запятую, для который следует выполнять эту группу команд, также поле можно оставить пустым.
CompID's: - ID ботов через запятую, для которых следует выполнять эту группу команд, также поле можно оставить пустым.
Ботнеты - названия ботнетов через запятую, для которых следует выполнять эту группу команд, также поле можно оставить пустым.
Команды - список команд, которые должен выполнить бот при получении этой группы.
Доступные команды в настоящее время:
Команда и ее параметры пишутся по правилам файла конфигурации

block_fake [URL-маска] - блокирует вызов любого URL-редиректа, URL-маска которого будет подходить под URL-маска этой команды.
unblock_fake [маска] - из списка заблокированных URL-редиректов будут удалены все URL-маски, которые будут подходить под URL-маску этой команды.
block_url - блокирует вызов любой URL, которая будет совпадать с URL-маской этой команды.
unblock_url - из списка заблокированных URL будут удалены все URL-маски, которые будут подходить под URL-маску этой команды.
rexeci - загрузить и запустить приложение с использованием интерактивного пользователя (доступны аргументы\параметры).
lexeci - исполнить локальный фаил с использованием интерактивного пользователя (доступны аргументы\параметры).
delsf - убрать маски файлов для локального поиска.
resetgrab - повторное очищение кукисов, протектедсторедж
getmff - получить солфайлы с ботов
delmff - очистить солфайлы
getcert - получить сертификаты всех хранилишь
addsff "*.doc" - получить все док файлы бота
rexec - загрузить и запустить файл с удаленного хоста.
lexec - запустить файл на локальном хосте
getfile - скачать файл с локального хоста
upcfg [url] - после получения команды, бот немедленно попытается скачать файл конфигурации по стандартной URL.
kos - выводит из строя OS, а именно затирает ветки реестра HKEY_CURRENT_USER и\или HKEY_LOCAL_MACHINE. При наличии достаточных прав - вылетает в "синий экран", в другом случаи создает тормоза. После этих действий загрузка OS будет не возможна!
____________
Статья была собрана из хелпа по зевсу,из моих знаний.
Знатокам Zeus просьба писать ,чем дополнять статью...

P.s.Для распространения этого вируса желательно использовать крипт,и распространять его через связки сплоитов,через фтп,которые продают практически везде...(в моей теме про DDos есть частично о распространении)

(с)trent