Pony 2.0 Help.txt

1. https://protectyournet.blogspot.com
2.  
3. -=- Система сбора паролей "Pony" -=-
4.  
5. Билдер "PonyBuilder.exe"
6. ========================
7.  
8. Задача билдера - настроить и скомпилировать клиент "Pony.exe", который необходимо прогружать на зараженные компьютеры.
9.  
10. Комплект поставки:
11.  
12. * Папка "masm32" - компилятор Microsoft Macro Assembler (MASM).
13. * Папка "PonySrc" - исходный код на языке MASM программы-клиента (граббера) "Pony.exe".
14. * Папка "BuilderSrc" - исходный код на языке Delphi 7 вспомогательной программы-билдера "PonyBuilder.exe".
15. * Файл "PonyBuilder.exe" - программа-билдер для клиента "Pony.exe".
16. * Файл "Help.txt" - файл помощи.
17. * Файл "build.bat" - скрипт используемый билдером для компиляции билда из исходников "PonySrc".
18. * Файл "Pony.ico" - иконка прикрепляемая к "Pony.exe" при компиляции, если в билдере выбрана соответсвующая опция.
19.  
20. Интерфейс разделен на 4 закладки:
21.  
22. 1. Билдер
23. Текстовое поле "Список URL для отправки паролей" - здесь можно прописать список URL гейтов для отправки паролей.
24. Каждая строка - отдельный URL, к примеру: http://somedomain.com/dir/gate.php
25. Можно добавить неограниченное количество строк (URL), один и тот же URL можно добавить несколько раз.
26. Домен может содержать информацию о порте подключения, к примеру: http://privatedomain.com:8080/gate.php
27. Протокол https:// на данный момент не поддерживается.
28. "Pony.exe" будет пытаться подключиться и отправить отчет с паролями по списку, если данные будет успешно доставлены,
29. программа немедленно завершит работу без попыток подключения к остальным URL.
30.  
31. Кнопка "Выбрать иконку" позволяет установить иконку для компилируемого файла, поддерживается только формат *.ico.
32. Кнопка "Создать билд" компилирует файл "Pony.exe" с заданными настройками.
33.  
34. 2. Лоадер
35. Простой лоадер (загрузчик файлов). После сбора паролей с указанных линков (URL) будут загружены и запущены файлы.
36. URL задаются таким же образом, как и список доменов для отправки паролей.
37. В нижней части закладки можно задать следующие опции:
38. * Активировать лоадер - включить работу лоадера, иначе файлы загружаться не будут.
39. * Не запускать одинаковые файлы дважды - после успешного запуска скачанного файла в реестр будет добавлено контрольное значение
40. (хеш) данных файла, после чего, при повторной загрузке, дубликат запущен не будет.
41.  
42. 3. Настройки
43. Для того, чтобы увидеть все настройки, нужно активировать опцию "Показать продвинутые настройки" в главном меню.
44. * Сжимать - сжимать отчеты с помощью библиотеки aPLib, прибавляет около 5Кб к размеру исполняемого файла,
45. хорошо пакует текстовые данные перед отправкой, настоятельно рекомендуется использовать, сильно снижает трафик
46. к серверу.
47. * Шифровать - шифровать отчеты алгоритмом RC4.
48. * Пароль шифрования - пароль, которым шифруются отчеты, аналогичный пароль необходимо установить в настройках сервера.
49. * Сохранять отчеты на диск (для отладки) - при запуске "Pony.exe", после того как были собраны пароли, в той же папке
50. где был запущен исполняемый файл, будет создан файл "out.bin", это контейнер с паролями в таком виде, в каком он отправляется
51. на сервер для последующей обработки (дешифровки).
52. * Отсылать пустые отчеты (для статистики) - обычно, если ни одного пароля не найдено, клиент "Pony.exe" ничего отправлять
53. серверу не будет, но иногда полезно включение данной опции для получения статистики о количестве успешных запусков "Pony.exe".
54. * Режим отладки - снимает перехватчик исключений, убирает код затрудняющий отладку и дизассемблирование программы, использовать исключительно в целях отладки.
55. * Отсылать только новые отчеты - если опция не активирована, тогда дублирующие отчеты с паролями отправляться не будут.
56. * Самоудаление - запущенный файл "Pony.exe" будет удален после того как завершит свою работу.
57. * Добавить иконку - прикрепить выбранную иконку к компилируемому файлу.
58. * Паковать билд с помощью UPX - сжать исполняемый файл "Pony.exe" после компиляции.
59. * Количество попыток отправить отчет - сколько раз пытаться отправить отчет при неуспешной передаче, рекомендуется указать минимум 2 попытки
60. * Вариант сборки:
61. * Exe-файл - обычный исполняемый файл Windows (*.exe)
62. * Dll-файл - вариант сборки в виде .dll библиотеки, она абсолютно автономна, для отработки необходимо вызвать из вашего проекта лишь API-функцию LoadLibrary(), т.е. URL для отправки паролей
63. и все настройки вшиваются в сам .dll файл. В папке DllTest лежит простой пример использования-тестирования, в эту же папку необходимо положить файл Pony.dll, после чего запустить файл DllTest.exe,
64. который в свою очередь вызывает LoadLibrary() для .dll библиотеки.
65.  
66. В списке "Доступные модули дешифровки" можно исключить из билда ненужные дешифровщики паролей, это уменьшит размер билда.
67.  
68. 4. Скин
69. На этой закладке можно выбрать понравившийся скин (шкурку) билдера.
70.  
71. Запуск билдера с командной строки
72. =================================
73.  
74. Доступны следующие аргументы командной строки билдера:
75. -PACK_REPORT - сжимать отчеты
76. -ENCRYPT_REPORT - шифровать отчеты, если пароль шифрования не задан, то по умолчанию будет указан "Mesoamerica"
77. -REPORT_PASSWORD= - пароль шифрования, к примеру: -REPORT_PASSWORD=Mesoamerica
78. -SAVE_REPORT - сохранять отчеты на диск (для отладки)
79. -ENABLE_DEBUG_MODE - режим отладки
80. -SEND_MODIFIED_ONLY - отсылать только новые отчеты
81. -SELF_DELETE - активировать самоудаление
82. -SEND_EMPTY_REPORTS - отсылать пустые отчеты
83. -ADD_ICON - прикрепить иконку из файла Pony.ico
84. -UPX - паковать билд с помощью UPX
85. -DOMAIN_LIST= - список доменов, каждый домен должен быть разделен с помощью спец. символа \n, к примеру: -DOMAIN_LIST=http://host.com/gate.php\nhttp://host2.com/x/gate.php
86. -LOADER_LIST= - список URL для лоадера (будет активирован автоматически при наличии URL), каждый URL должен быть разделен аналогично DOMAIN_LIST
87. -LOADER_EXECUTE_NEW_FILES_ONLY - не запускать одинаковые файлы дважды
88. -DISABLE_MODULE= - исключить из билда определенный модуль дешифровки (все названия модулей можно увидеть в файле PonySrc\FTPClients.asm), к примеру: -DISABLE_MODULE=MODULE_OPERA
89. -DLL_MODE - использовать вариант сборки в виде Dll-библиотеки
90. -COLLECT_HTTP - дополнительно собирать и HTTP/HTTPS пароли
91. -COLLECT_EMAIL - дополнительно собирать и E-mail пароли (POP3, IMAP, SMTP)
92. -UPLOAD_RETRIES=N - количество (N) попыток отправить отчет, если значение не указано, то по умолчанию используются 2 попытки
93. -EXE_RELOCS - добавить таблицу релоков (Relocation table) при сборке в виде exe-файла
94. -LOADER_RESERVE_MODE - включить резервный режим загрузки: если успешно загружен первый файл - остальные будут пропущены
95. -DISABLE_GRABBER - отключить сбор паролей, оставить функционал лоадера
96. -LOAD_FROM_MEMORY - запускать файлы (DLL) из памяти, без сброса на диск. Настоятельно рекомендуется проверить работоспособность Вашей .DLL с данным параметром.
97. -RESIDENT_MODE - включить резидентный режим, программа остается в системе и продолжит работу после перезагрузки компьютера
98. -RESIDENT_LOADER_TIMEOUT= - частота обращения к серверу в минутах (по умолчанию: 5 мин), используется в резидентном режиме
99. -PERIODIC_PASSWORD_SCAN - раз в сутки собирать и отправлять пароли (если не отключен сбор паролей), необходима активация резидентного режима
100. -DELETE_PREV_VERSION - при первом запуске лоадера удалить прошлую копию (даже если процесс активен), необходима активация резидентного режима
101. -ID= - уникальный индентификатор билда; используется в резидентном режиме, когда в системе должно присутствовать несколько различных копий Pony. Можно задать параметр как -ID=random, тогда для каждого билда будет автоматически сгенерирован уникальный ID. По умолчанию ID не задан.
102.  
103. Клиент "Pony.exe"
104. =================
105.  
106. Задача "Pony.exe" - собрать пароли с компьютера и отправить их на сервер для последующей обработки.
107.  
108. Работает на всех NT версиях Windows, начиная с Win98, включая серверные. Поддерживается работа в режиме x86 и x64.
109. Программа нормально отрабатывает при запуске с правами администратора или пользователя.
110.  
111. Перед распространением файл желательно почистить и криптануть.
112.  
113. Реализована мгновенная дешифровка сохраненных паролей для следующих программ:
114. * FAR Manager
115. * Total Commander
116. * WS_FTP
117. * CuteFTP
118. * FlashFXP
119. * FileZilla
120. * FTP Commander
121. * BulletProof FTP
122. * SmartFTP
123. * TurboFTP
124. * FFFTP
125. * CoffeeCup FTP
126. * CoreFTP
127. * FTP Explorer
128. * Frigate3 FTP
129. * SecureFX
130. * UltraFXP
131. * FTPRush
132. * WebSitePublisher
133. * BitKinex
134. * ExpanDrive
135. * ClassicFTP
136. * Fling
137. * SoftX
138. * Directory Opus
139. * FreeFTP
140. * DirectFTP (определяется как FreeFTP)
141. * LeapFTP
142. * WinSCP
143. * 32bit FTP
144. * NetDrive
145. * WebDrive
146. * FTP Control
147. * Opera
148. * WiseFTP
149. * FTP Voyager
150. * Firefox
151. * FireFTP
152. * SeaMonkey
153. * Flock
154. * Mozilla Suite Browser
155. * LeechFTP
156. * Odin Secure FTP Expert
157. * WinFTP
158. * FTP Surfer
159. * FTPGetter
160. * ALFTP
161. * Internet Explorer
162. * Dreamweaver
163. * DeluxeFTP
164. * Google Chrome
165. * Chromium
166. * SRWare Iron (определяется как Chromium)
167. * ChromePlus
168. * Bromium (Yandex Chrome)
169. * Nichrome
170. * Comodo Dragon
171. * RockMelt
172. * K-Meleon
173. * Epic
174. * Staff-FTP
175. * AceFTP
176. * Global Downloader
177. * FreshFTP
178. * BlazeFTP
179. * NETFile
180. * GoFTP
181. * 3D-FTP
182. * Easy FTP
183. * Xftp
184. * FTP Now
185. * Robo-FTP
186. * LinasFTP
187. * Cyberduck
188. * Putty
189. * Notepad++ (NppFTP)
190. * CoffeeCup Visual Site Designer
191. * CoffeeCup Sitemapper (определяется как CoffeeCup FTP)
192. * FTPShell
193. * FTPInfo
194. * NexusFile
195. * FastStone Browser
196. * CoolNovo
197. * WinZip
198. * Yandex.Internet
199. * MyFTP
200. * sherrod FTP
201. * NovaFTP
202. * Windows Mail
203. * Windows Live Mail
204. * Pocomail
205. * Becky!
206. * IncrediMail
207. * The Bat!
208. * Outlook
209. * Thunderbird
210. * FastTrackFTP
211. * Я.Браузер
212. * Bitcoin
213. * Electrum
214. * MultiBit
215. * FTP Disk
216.  
217.  
218.  
219. ----------------------------------------------------------------------------------------
220. GOOGLE TRANSLATION
221. ----------------------------------------------------------------------------------------
222.  
223.  
224.  
225. - = - Collection system passwords "Pony" - = -
226.  
227. Builder "PonyBuilder.exe"
228. ========================
229.  
230. Task Builder - configure and compile the client "Pony.exe", which must progruzhat on infected computers.
231.  
232. Package Includes:
233.  
234. * Folder "masm32" - compiler Microsoft Macro Assembler (MASM).
235. * Folder "PonySrc" - source code in MASM client program (grabber) "Pony.exe".
236. * Folder "BuilderSrc" - source code in Delphi 7 auxiliary program-Builder "PonyBuilder.exe".
237. * File "PonyBuilder.exe" - program-builder for the client "Pony.exe".
238. * File "Help.txt" - help file.
239. * File "build.bat" - script used to compile the Builder build from source "PonySrc".
240. * File "Pony.ico" - icon is attached to "Pony.exe" when compiling if bildere select the corresponding option.
241.  
242. Interface is divided into four tabs:
243.  
244. 1. Builder
245.   Text field "URL list to send the password" - here you can assign a list of URL gates to send the password.
246.   Each line - separate URL, for example: http://somedomain.com/dir/gate.php
247.   You can add an unlimited number of rows (URL), the same URL, you can add a few times.
248.   Domain can contain information about the port connection, for example: http://privatedomain.com:8080/gate.php
249.   Https:// protocol is not currently supported.
250.   "Pony.exe" will attempt to connect and send the report to the passwords on the list, if the data is successfully delivered,
251.   program quits immediately without attempting to connect to the rest of the URL.
252.  
253.   The "Select Icon" allows you to set an icon for the source file is only supported format *. Ico.
254.   The "Create build" file compiles "Pony.exe" with the specified settings.
255.  
256. 2. Loader
257.   Simple loader (boot files). After collecting passwords with these links (URL) will be loaded and running files.
258.   URL specified in the same way as the list of domains to send the password.
259.   In the lower part of the tab, you can specify the following options:
260.   * Activate loader - enable loader work, otherwise the files will not be loaded.
261.   * Do not run the same files twice - after the successful launch of the downloaded file in the registry will be added to the reference value
262.   (Hash) of the data file, and then, when reloading, the duplicate will not run.
263.  
264. 3. Settings
265.   To see all the settings, you must activate the option "Show advanced settings" in the main menu.
266.   * Compress - compress reports using library aPLib, adds about 5Kb to the size of the executable file
267.   well pack the text data before sending, it is strongly recommended to use, greatly reduces traffic
268.   server.
269.   * Encrypt - encrypt reports algorithm RC4.
270.   * Encryption Password - the password that encrypts reports, you must install the same password in the server configuration.
271.   * Maintain records on disk (for debugging) - When you run "Pony.exe", after the passwords were collected in the same folder
272.   where he was running the executable file will be created "out.bin", a container with passwords in a form in which it is sent
273.   a server for further processing (decryption).
274.   * Notify blank reports (for statistics) - usually, if no password is found, the client "Pony.exe" nothing to send
275.   server will not, but it is sometimes useful checking this option to get statistics on the number of successful launches "Pony.exe".
276.   * Debug mode - removes interceptor exceptions removes the code difficult to debug and disassemble the program, use only for debugging purposes.
277.   * Notify new reports only - if this option is not enabled, then the duplicate records with passwords will be sent.
278.   * Samoudalenie - running file "Pony.exe" will be removed after complete its work.
279.   * Add icon - selected icon to attach a file to be compiled.
280.   * Packing build using UPX - compress executable "Pony.exe" after compilation.
281.   * Number of attempts to send the report - how many times to try to send a report when an unsuccessful transmission, it is recommended to specify at least two attempts
282.   * Option to build:
283.     * Exe-file - a regular executable file Windows (*. Exe)
284.     * Dll-file - version of the assembly in the form. Dll library, it is autonomous, for testing, you must call from your project only API-function LoadLibrary (), ie URL to send the password
285.       and all the settings are sewed in itself. dll file. In the folder DllTest is a simple example of testing in the same folder, you must put the file Pony.dll, then run the file DllTest.exe,
286.       which in turn calls LoadLibrary () for. dll library.
287.  
288.   In the "Available modules decryption" can be excluded from the build unnecessary decipherers passwords, it will reduce the size of the build.
289.  
290. 4. Skin
291.   On this tab, you can choose a favorite skin (peel) Builder.
292.  
293. Running Builder from the command line
294. =================================
295.  
296. The following command-line arguments Builder:
297. -PACK_REPORT - compress reports
298. -ENCRYPT_REPORT - encrypt reports if the encryption password is not specified, the default is Set "Mesoamerica"
299. -REPORT_PASSWORD = - password encryption, for example:-REPORT_PASSWORD = Mesoamerica
300. -SAVE_REPORT - save reports to disk (for debugging)
301. -ENABLE_DEBUG_MODE - debug mode
302. -SEND_MODIFIED_ONLY - send only new reports
303. -SELF_DELETE - activate samoudalenie
304. -SEND_EMPTY_REPORTS - send blank reports
305. -ADD_ICON - attach file icon from Pony.ico
306. -UPX - pack build with UPX
307. -DOMAIN_LIST = - list of domains, each domain must be divided using the spec. character \ n, for example:-DOMAIN_LIST = http://host.com/gate.php \ nhttp :/ / host2.com/x/gate.php
308. -LOADER_LIST = - URL list for the loader (will be activated automatically if there is URL), each URL should be divided similarly DOMAIN_LIST
309. -LOADER_EXECUTE_NEW_FILES_ONLY - do not run the same files twice
310. -DISABLE_MODULE = - excluding specific module build decryption (all module names can be seen in the file PonySrc \ FTPClients.asm), for example:-DISABLE_MODULE = MODULE_OPERA
311. -DLL_MODE - use a variant of the assembly in the form of Dll-library
312. -COLLECT_HTTP - additionally collect and HTTP / HTTPS passwords
313. -COLLECT_EMAIL - collect additional and E-mail passwords (POP3, IMAP, SMTP)
314. -UPLOAD_RETRIES = N - the number (N) of attempts to send a report if no value is specified, the default is 2 attempts
315. -EXE_RELOCS - add table relocations (Relocation table) during assembly as the exe-file
316. -LOADER_RESERVE_MODE - including backup boot mode: if successfully loaded the first file - the rest will be skipped
317. -DISABLE_GRABBER - disable collecting passwords, leave the functional loader
318. -LOAD_FROM_MEMORY - launch files (DLL) from memory without resetting the disk. It is strongly recommended that you check your performance. DLL with this parameter.
319. -RESIDENT_MODE - include resident mode, the program remains in the system and will continue to work after the computer restarts
320. -RESIDENT_LOADER_TIMEOUT = - conversion rate to the server in minutes (default is 5 minutes), used in resident mode
321. -PERIODIC_PASSWORD_SCAN - once a day to collect and send passwords (if not disabled collect passwords), activation is necessary for the resident mode
322. -DELETE_PREV_VERSION - when you first start the loader to remove last copy (even if the process is active), activation is necessary for the resident mode
323. -ID = - unique identifier build; resident mode is used when the system needs to be several different copies of Pony. You can set the parameter as-ID = random, then for each build will be automatically generated unique ID. By default, the ID is not specified.
324.  
325. Client "Pony.exe"
326. =================
327.  
328. Problem "Pony.exe" - collect passwords from your computer and send them to the server for processing.
329.  
330. Runs on all Windows NT versions of Windows, from Win98, including server. Support operation in x86 and x64.
331. The program normally fulfills startup administrator or user.
332.  
333. Before distributing the file, it is desirable to clean and kriptanut.
334.  
335. Implemented instantaneous decoding saved passwords for the following programs:
336. * FAR Manager
337. * Total Commander
338. * WS_FTP
339. * CuteFTP
340. * FlashFXP
341. * FileZilla
342. * FTP Commander
343. * BulletProof FTP
344. * SmartFTP
345. * TurboFTP
346. * FFFTP
347. * CoffeeCup FTP
348. * CoreFTP
349. * FTP Explorer
350. * Frigate3 FTP
351. * SecureFX
352. * UltraFXP
353. * FTPRush
354. * WebSitePublisher
355. * BitKinex
356. * ExpanDrive
357. * ClassicFTP
358. * Fling
359. * SoftX
360. * Directory Opus
361. * FreeFTP
362. * DirectFTP (defined as FreeFTP)
363. * LeapFTP
364. * WinSCP
365. * 32bit FTP
366. * NetDrive
367. * WebDrive
368. * FTP Control
369. * Opera
370. * WiseFTP
371. * FTP Voyager
372. * Firefox
373. * FireFTP
374. * SeaMonkey
375. * Flock
376. * Mozilla Suite Browser
377. * LeechFTP
378. * Odin Secure FTP Expert
379. * WinFTP
380. * FTP Surfer
381. * FTPGetter
382. * ALFTP
383. * Internet Explorer
384. * Dreamweaver
385. * DeluxeFTP
386. * Google Chrome
387. * Chromium
388. * SRWare Iron (defined as Chromium)
389. * ChromePlus
390. * Bromium (Yandex Chrome)
391. * Nichrome
392. * Comodo Dragon
393. * RockMelt
394. * K-Meleon
395. * Epic
396. * Staff-FTP
397. * AceFTP
398. * Global Downloader
399. * FreshFTP
400. * BlazeFTP
401. * NETFile
402. * GoFTP
403. * 3D-FTP
404. * Easy FTP
405. * Xftp
406. * FTP Now
407. * Robo-FTP
408. * LinasFTP
409. * Cyberduck
410. * Putty
411. * Notepad + + (NppFTP)
412. * CoffeeCup Visual Site Designer
413. * CoffeeCup Sitemapper (defined as CoffeeCup FTP)
414. * FTPShell
415. * FTPInfo
416. * NexusFile
417. * FastStone Browser
418. * CoolNovo
419. * WinZip
420. * Yandex.Internet
421. * MyFTP
422. * Sherrod FTP
423. * NovaFTP
424. * Windows Mail
425. * Windows Live Mail
426. * Pocomail
427. * Becky!
428. * IncrediMail
429. * The Bat!
430. * Outlook
431. * Thunderbird
432. * FastTrackFTP
433. * Ya.Brauzer
434. * Bitcoin
435. * Electrum
436. * MultiBit
437. * FTP Disk