Acid Shiver

Acid Shiver — троян, который каждый раз использует разный порт, для управления серверной частью, используется телнет.

Троян состоит из двух файлов:

ACiD Setup.exe — конфигуратор трояна,

ACiD Shivers.exe — сам троян.

Конфигуратор: Используется для установки почтового ящика куда посылать информацию о запущенном сервере.

Клиент: Клиентом для данного трояна является телнет
(telnet).

Deep Throat 1.0 

Обладает малым количеством функций по сравнению с аналогичными программами.

УСТАНОВКА СЕРВЕРА: Все как всегда, но есть одна маленькая особенность: он не копируется в директорию
Windows, а остается там, откуда его запустили, этот путь он и прописывает в реестре в разделе HKEY_LOCAL_MACHINE

\SOFTWARE\Microsoft\Windows\CurrentVersion\Run в параметре SystemDLL32.

Deep Throat 2.0 

Сервер — должен быть запущен на компьютере жертвы. После запуска сервер создает файл systray.exe в каталоге Windows и в реестре в разделе HKEY_LOCAL_MACHINE 

Software\Microsoft\Windows\CurrentVersion\Run у ключа Systemtray значение меняется с SystTray.Exe на
[WinPath]\systray.exe, где WinPath путь к Вашему каталогу Windows (например
c:\Windows\)

EXECUTER 2 

Имеет мало функций управления, большинство из которых предназначены для того чтобы навредить жертве.
Сервер не конфигурируется, в автозапуск дописывается только в том случае, если послана соответствующая команда из клиента.

Действия: запретить двойные щелчки мыши, сменить все системные цвета на желтый, отключить
CTRL+ALT+DEL, перезагрузить компьютер, «бешеная» мышь (мышь прыгает по экрану), удаление файла
C:\Logo.sys и т.д.

FATAL NETWORK ERROR 



Основной смысл этой программы в том, что она выдает окно подозрительного вида с сообщением об ошибке сети и предложением ввести заново логин и пароль (я бы в такое окно никогда
ничего не ввел кроме ругательств) и далее независимо от того, чего ввел пользователь (или не ввел) сохраняет это на диске, а компьютер продолжает спокойно работать.

GirlFriend (подружка) 



Выдержки из оригинальной инструкции.

Подруга является программой, которая позволяет Вам получать информацию о приложениях работающих на удаленном компьютере. Это означает, что если компьютер подключенный к сети заражается ПОДРУГОЙ — Вы можете подключиться к этому PC и украсть с него такие вещи как: текст, который «зараженный» юзер вводит в любое окно, содержащее области пароля (телефон, login и т.д.); пароли, которые «инфицированный» пользователь вводит в поле для пароля. 

Также Вы можете: Посылать системные сообщения
(«system» messages) на удаленный компьютер; Проигрывать звуковые файлы; Показывать
рисунки (в формате BMP); Запускать ехе файлы; Посылать зараженного пользователя на любую страничку; Изменить порт сервера; Спрятать GF Client с помощью
BOSSKEY=F12; Сканировать подсеть на предмет зараженных компьютеров; Сохранять список окон с паролями (включая пароли); Работать с файлами и подкаталогами (включая
CD-Rom) используя GF файл менеджер. 

NetMonitor

Состоит из двух частей:

NetMonitor.exe — клиент 

NetSpy.exe — сервер

Сервер стандартно запускается на компьютере жертвы.

PRIORITY



Эта программа напоминает собой SK Silencer. 

Сервер — должен быть запущен на машине жертвы, после чего создается файл
C:\Windows\System\PServer.exe и в реестре HKEY_LOCAL_MACHINE

Software\Microsoft\Windows\CurrentVersion\RunServices создается ключ PServer с указанием на этот файл. Сервер по умолчанию использует ТСР порт 16969.

Remote Windows Shutdown 



Remote Windows Shutdown — это не троян — утилита выключения/перезагрузки удаленного компьютера.
Состоит из сервера и клиента. Сервер: На сервере выставляется порт и пароль, а также режим: включен или выключен. Пароль обязателен. Серверная часть всегда видна.
Клиент: На клиенте выставляется IP-адрес, порт и пароль, а затем выбирается действие:

— Shutdown — выключить удаленный компьютер

— Reboot — перезагрузить удаленный компьютер

— Test — проверить работает ли сервер на удаленном компьютере

SK Silencer 1.0.0 

SK Silencer — троян. Нет возможности скачивать/закачивать файлы и программа сама не дописывается в автозапуск Сервер видно в листе задач.
Сервер — стандартно запускается на удаленной машине, но он не дописывается в автозапуск. Этот троян больше предназначен для шуток над жертвой и не служит как средство воровства паролей или файлов.

Senna Spy Trojan / BackDoor Generator 



Senna Spy Trojan/BackDoor Generator ver. 2.0 — генератор троянов. Он создает трояны с выбранными параметрами и сохраняет их в формате Visual Basic версий 4, 5 или 6, после этого остается только откомпилировать файлы и троян готов.

SubSeven 1.1

Запускается на машине жертвы и копируется в
C:\WINDOWS\SysTrayIcon.Exe и добавляет запись в реестр: HKEY_LOCAL_MACHINE 

Software\Microsoft\Windows\CurrentVersion\Run ключ SystemTrayIcon.

P.S.: Завтра мы постараемся найти троянов
и указать вам точное место их нахождения.
Следите за информацией!

Оставить мнение

Check Also

Скрытая сила пробела. Эксплуатируем критическую уязвимость в Apache Tomcat

В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на…