Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

H
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Phanonra;8807 đã viết:
Giải thích sâu hơn về việc chiếm quyền đa sessions ...
Theo kinh nghiệm sử dụng backdoor hơn 2 năm, gài hàng gần chục nghìn server ... mình rút ra 1 bài học chung là tùy vào session là tùy vào cái privilege allowed, giả sử tạo 1 lỗ hổng trong registry để lần xâm nhập sau nếu backdoor bị detected ... thậm chí bạn còn không thể bật regedit nếu như privilege bị giới hạn một mức độ nào đó (cái này mình ko rành ... thực sự hehe) . Nếu chiếm quyền rộng ở tất cả các user và các sessions ... mình vừa có thể dễ dàng thu thập hash login pass , vừa tha hồ thay đổi cấu trúc windows mà không bị limit bất cứ files nào :) còn chạy session kiểu cứ bật máy là backdoor chạy thì rõ không ổn, giả sử muốn edit files trong thư mục SYS32 mà bị limit quyền thì còn mần ăn gì đc nữa ^^! nói chung là dòng backdoor mình làm không hướng tới theo dõi đối tượng ng dùng ... hầu như chỉ hướng tới target là các servers !
Nhấn để mở rộng...

hichic cậu cho cái info để contac cái nào , thấy cái kinh nghiệm là thích roài nhưng không biết thực hư thế nào.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phanonra
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

phuoctrung;8856 đã viết:
đã xác định, bác này chém gió rồi ;););)
Nhấn để mở rộng...

Bạn nói chí phải ... ngoài kỹ năng code, ăn chơi ... thì kỹ năng chém gió của mình cũng đạt tầm "Cảnh giới" rồi :)

Ma8HJja.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phanonra
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

hacker_us_visa;8903 đã viết:
hichic cậu cho cái info để contac cái nào , thấy cái kinh nghiệm là thích roài nhưng không biết thực hư thế nào.
Nhấn để mở rộng...

Nó cũng bèo bèo thôi, vẫn đang tiếp tục nghiên cứu phát triển ^_^!
add mình học hỏi trao đổi kinh nghiệm bạn nhé ! Y!H: [email protected]
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
M
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Khâm phục bác quá. Nói chung chờ khi nào antivirus diệt được rồi em thử luôn. Xem có thêm tính năng gì hay ko .
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phanonra
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

mrlangtudoncoi;9064 đã viết:
Khâm phục bác quá. Nói chung chờ khi nào antivirus diệt được rồi em thử luôn. Xem có thêm tính năng gì hay ko .
Nhấn để mở rộng...

Chưa bạn ơi ! :) hiện tại ngồi fix bug :D code ẩu nhiều quá Y_Y!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phanonra
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

sự thật ... thật là cay đắng ... ngồi search icon từng cái quốc kỳ của các quốc gia ... mục đích cho đẹp interface ~,~
Để thay thế cho cái icon "IP"
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
2
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

cho test thử vs bạn ơi :3
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
N
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Open source có từ nhiều nguồn trên các forum coding của nước ngoài
bạn không thể đặt tên theo bạn được vì đây không phải là 1 loại mới mà chỉ là source được sử dụng loại encryption string priv8 hoặc runpe fud :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phanonra
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

NoNs;9110 đã viết:
Open source có từ nhiều nguồn trên các forum coding của nước ngoài
bạn không thể đặt tên theo bạn được vì đây không phải là 1 loại mới mà chỉ là source được sử dụng loại encryption string priv8 hoặc runpe fud :)
Nhấn để mở rộng...

Đúng là có lượm lặt linh tinh những thứ chưa biết bao giờ để hoàn thiện, nhưng coi kỹ video đi bạn :D
[video=youtube;pIQCEvp79mU]http://www.youtube.com/watch?v=pIQCEvp79mU[/video]

Mình vừa build xong cho chạy ngay, chưa fud hay encrypt hay ... abc xyz gì hết. Ngay cả packet giao tiếp C-S mình còn không buồn ngồi crypt lại nữa mà :D

Còn về cơ chế hoạt động thì sư phụ mình có nói về cách cơ chế hoạt động sao cho thật "Ẩn" ở một mức độ nào đó.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Rất mong là có gì mới ở trong này... có thể là không mới (vì có ai đó dùng rồi nhưng chưa được công bố) nhưng sẽ giúp ích được nhiều.
Do bạn không share code, và đợi thỏa thuận với Bkav (nếu không đạt được thỏa thuận thì không biết bạn dùng nó để làm gì???) nên thực tình nhiều anh em muốn tham gia project này của bạn cũng không được....
Có thể thấy mục đích của bạn không phải là xấu vì vậy mong bạn đạt được mục đích của mình.... và khi nào có thể hãy share cho mọi người cùng nghiên cứu học tập.
Thanks bạn!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
N
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

ý mình nói là nó không phải là loại virus mới mà chỉ là biến thể -_-
còn nói là chọn giờ để connect sau đấy tự tắt
cái này là không khả thi mà chỉ là chạy ngầm
tắt rồi thì còn lâu mới tự bật lại được -_-
còn về khả năng code nếu đây là toàn bộ tự nghiên cứu làm thì mình thấy bạn khá là có tài
còn mấy ông cứ bảo ngồi share mình ghét mấy ông này lắm chẳng có cái vẹo gì cứ toàn đòi share , nói là học chứ thực chất là share xong dùng ,nếu share source thì ngày mai sẽ có 1 bản y hết chỉ khác tên :v
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
N
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Phanonra;8272 đã viết:
Hiện tại 100% antivirus chưa detect ra được các bác ạ ...


Dung lượng chuẩn chưa pack:
---> Target: 1,883 kb
---> Host: 6,426 kb


Thể loại:
---> Hard code backdoor, multi script.


Tính năng:
---> Anti-vir không phát hiện.
---> Không chụp được gói tin.
---> Tự động patch water-mark nếu bị phát hiện và gửi water-mark key mới về server.
---> Keylogger , gửi nhận file, chỉnh sửa registry, process view, xem màn hình, remote cmd, update.
---> Tự động chạy theo thời gian định. Giả sử giờ "Hack của bạn" là 1:00 sáng đến 5:00 sáng, virus sẽ tự chạy vào lúc 1->5h sáng, thời gian còn lại thì tự động delete và không hoạt động, đến giờ làm việc tự động "Xuất hiện" và "Chạy"
---> Kiểm tra server trước khi kết nối. nghĩa là server đang hoạt động thì mới tạo connection, nếu server không chạy thì thôi ko chạy :D
---> Trong thời gian hoạt động, virus sẽ tự động tắt nghỉ 15 phút / lần để thay đổi process name liên tục để tránh bị truy quét.
............... nhiều tính năng nữa đang tiếp tục code .


Thiết lập cấu hình chạy đa quyền với quyền cao nhất là System tự động loại bỏ khỏi taskmanager và kiểm tra các user nào đang chạy virus:


nKwhNcI.png



Định nghĩa: Nếu virus đang chạy ở 1 user tên là user1 trong group policy là USERS , thì giả sử bạn gửi lệnh CMD đến virus chỉ có thể thực thi dưới quyền USERS, Update này mình sẽ làm thêm virus chạy ở quyền SYSTEM và tự động chạy ở các quyền khác nếu logon phòng trường hợp bảo mật ko thực thi đc lệnh vì thiếu quyền --> "Access denined."


Vài hình ảnh test :


8yVNyW8.png



a6so5KG.png



fwu0aKQ.png



qHeKodI.png



DD/MM/YYYY


10/11/2013 :
+ Hiện tại xử lý thành công lỗi kết nối , phân chia lại packets rõ ràng, mỗi chức năng mỗi packet gửi đi tương ứng với 1 cấu hình mã hóa riêng, mỗi chức năng mỗi packet trả về tương ứng tiếp với 1 cấu hình mã hóa khác, nói chung là tất cả đều mã hóa riêng :D cái này đơn giản nhưng chán ở chỗ nó hơi bị phức tạp bù lại nếu chụp đc data transfer để đọc đc packets trong plain text thì có vẻ là một cực hình haha :D
+ Chắc phải sắm thêm cái winlicense để pack thôi ^^
+ Sau một hồi làm phép , bị SYMANTEC phát hiện ra kết nối lạ, tại hạ đã nghĩ ra một mẹo đơn giản nên SYMANTEC không thèm đụng vô luôn ^_^ đó là chạy kèm cùng windows update ... packets y chang windows update A (đầu) B (thân) C (đuôi) | A&C y chang windows update , B đc đính kèm theo trao đổi client server :D


14/11/2013
[video=youtube;tJYOSe-XqOg]http://www.youtube.com/watch?v=tJYOSe-XqOg[/video]


15/11/2013
Tự chiếm quyền các session
P6zRvKy.png

thêm param để chạy cho nhanh đỡ click vì mình remote server = iPad :D
Mã: 
var
  i : Integer;
begin
  for i := 0 to ParamCount do begin
    if ParamStr(i) = '/@/Khoi_dong_tat_ca/@/' then begin
      Starthostserver1.Click;
      Khingmychktni1.Click;
    end;
  end;
end;
chỉnh sửa lại cái phím bấm cho hợp thời đại "Hack to go" hoặc "Hack while walk" hỗ trợ sử dụng các dòng remote desktop = máy tính bảng ... (không phải click chuột phải ... tap chuột trái là đc :D )
8mpd4qD.png


Cập nhật tính năng update và tự động update :)
J4WQZoX.png


SpSBQzq.png

eO9r48J.png


17/11/2013
Chỉnh sửa lại tí ... IP ai mà IP wan (thường là server đặt ở data ... cho màu xanh lá cây), IP ADSL (máy sài mạng cà phê, nhà ...) thì cho mày xanh dương :D để phân biệt thôi (chỉ áp dụng cho IP Việt NAM .) còn IP Quốc tế thì chung hết 1 màu đỏ.
spjeNPC.png












































Mã: 
Q: Có bạn hỏi mình code = C# ?
A: Hoàn toàn không !

Q: Liệu windows thiếu thư viện, framework ... backdoor có chạy đc ko ?
A: Backdoor hoạt động cơ chế riêng hoàn toàn, dung lượng khá cao nhưng bù lại có thể chạy trên tất cả windows ver từ 98 chưa cài đặt thư viện gì hết đến win server 2012 r2 mới nhất ... tất cả đã test và kiểm chứng.

Q: Nếu bị anti phát hiện và delete ... backdoor sẽ làm gì ?
A: Sẽ tự báo lên server và cập nhật bản mới nhất để vượt anti virus (dù chưa có cơ hội kiểm chứng thử nghiệm vì backdoor hiện tại chưa bị ai phát hiện cả ^_^ vẫn đang trong giai đoạn developing toàn diện mọi mặt).

Hình ảnh ưa thích ^_^
ZDFEIqB.png


Workplace ^_^
3ALWQAe.jpg
Nhấn để mở rộng...
em tin tuong la co the diet con vi rus cua bac bang tay, ma ko can phan mem! chi dung 1 so tool ho tro!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phanonra
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

ntg87;9163 đã viết:
em tin tuong la co the diet con vi rus cua bac bang tay, ma ko can phan mem! chi dung 1 so tool ho tro!
Nhấn để mở rộng...

Mình cam đoan hứa với bạn luôn là hoàn toàn có thể "Kill" & "Delete" nó :D
Rất dễ tìm thấy nữa là đằng khác, nhưng mà sau khi "Kill" & "Delete" thành công, thì một vài phút sau thậm chí nằm yên đến khi nào đến giờ hành động của mình, nó sẽ chạy với tên 1 process khác :D tự sản sinh ra mà :D bạn hoàn toàn có thể tiêu diệt nó dễ dàng, thậm chí cần mình có thể code cho nó tự tạo ngay tại C:virus.exe luôn :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phanonra
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

NoNs;9158 đã viết:
ý mình nói là nó không phải là loại virus mới mà chỉ là biến thể -_-
còn nói là chọn giờ để connect sau đấy tự tắt
cái này là không khả thi mà chỉ là chạy ngầm
tắt rồi thì còn lâu mới tự bật lại được -_-
còn về khả năng code nếu đây là toàn bộ tự nghiên cứu làm thì mình thấy bạn khá là có tài
còn mấy ông cứ bảo ngồi share mình ghét mấy ông này lắm chẳng có cái vẹo gì cứ toàn đòi share , nói là học chứ thực chất là share xong dùng ,nếu share source thì ngày mai sẽ có 1 bản y hết chỉ khác tên :v
Nhấn để mở rộng...

Tài mọn gì bạn, tay làm hàm nhai, có công mài sắt , có ngày ... trước khi release đc bản final này mình build fail project hơn 10 lần rồi. Mỗi lần rút ra nhiều kinh nghiệm, gộp lại thì mới ra con này.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Phanonra
Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

#1 updated bypass firewall.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Hỏi về: VIRUS FILE LOG.TXT
  • Hỏi về: Vyia virus (ransomware)
  • Tổng hợp các cách kiểm tra file excel của bạn có bị virus Macro không?
  • Hỏi về: Virus ransomware
  • Virus tấn công và phát tán qua SQL Server
  • [Chuẩn bị trình làng] Ransomware PayMe. Made in Vietnam. xDDD
    • Bên trên