Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- https://protectyournet.blogspot.com
- -=- Система сбора паролей "Pony" -=-
- Билдер "PonyBuilder.exe"
- ========================
- Задача билдера - настроить и скомпилировать клиент "Pony.exe", который необходимо прогружать на зараженные компьютеры.
- Комплект поставки:
- * Папка "masm32" - компилятор Microsoft Macro Assembler (MASM).
- * Папка "PonySrc" - исходный код на языке MASM программы-клиента (граббера) "Pony.exe".
- * Папка "BuilderSrc" - исходный код на языке Delphi 7 вспомогательной программы-билдера "PonyBuilder.exe".
- * Файл "PonyBuilder.exe" - программа-билдер для клиента "Pony.exe".
- * Файл "Help.txt" - файл помощи.
- * Файл "build.bat" - скрипт используемый билдером для компиляции билда из исходников "PonySrc".
- * Файл "Pony.ico" - иконка прикрепляемая к "Pony.exe" при компиляции, если в билдере выбрана соответсвующая опция.
- Интерфейс разделен на 4 закладки:
- 1. Билдер
- Текстовое поле "Список URL для отправки паролей" - здесь можно прописать список URL гейтов для отправки паролей.
- Каждая строка - отдельный URL, к примеру: http://somedomain.com/dir/gate.php
- Можно добавить неограниченное количество строк (URL), один и тот же URL можно добавить несколько раз.
- Домен может содержать информацию о порте подключения, к примеру: http://privatedomain.com:8080/gate.php
- Протокол https:// на данный момент не поддерживается.
- "Pony.exe" будет пытаться подключиться и отправить отчет с паролями по списку, если данные будет успешно доставлены,
- программа немедленно завершит работу без попыток подключения к остальным URL.
- Кнопка "Выбрать иконку" позволяет установить иконку для компилируемого файла, поддерживается только формат *.ico.
- Кнопка "Создать билд" компилирует файл "Pony.exe" с заданными настройками.
- 2. Лоадер
- Простой лоадер (загрузчик файлов). После сбора паролей с указанных линков (URL) будут загружены и запущены файлы.
- URL задаются таким же образом, как и список доменов для отправки паролей.
- В нижней части закладки можно задать следующие опции:
- * Активировать лоадер - включить работу лоадера, иначе файлы загружаться не будут.
- * Не запускать одинаковые файлы дважды - после успешного запуска скачанного файла в реестр будет добавлено контрольное значение
- (хеш) данных файла, после чего, при повторной загрузке, дубликат запущен не будет.
- 3. Настройки
- Для того, чтобы увидеть все настройки, нужно активировать опцию "Показать продвинутые настройки" в главном меню.
- * Сжимать - сжимать отчеты с помощью библиотеки aPLib, прибавляет около 5Кб к размеру исполняемого файла,
- хорошо пакует текстовые данные перед отправкой, настоятельно рекомендуется использовать, сильно снижает трафик
- к серверу.
- * Шифровать - шифровать отчеты алгоритмом RC4.
- * Пароль шифрования - пароль, которым шифруются отчеты, аналогичный пароль необходимо установить в настройках сервера.
- * Сохранять отчеты на диск (для отладки) - при запуске "Pony.exe", после того как были собраны пароли, в той же папке
- где был запущен исполняемый файл, будет создан файл "out.bin", это контейнер с паролями в таком виде, в каком он отправляется
- на сервер для последующей обработки (дешифровки).
- * Отсылать пустые отчеты (для статистики) - обычно, если ни одного пароля не найдено, клиент "Pony.exe" ничего отправлять
- серверу не будет, но иногда полезно включение данной опции для получения статистики о количестве успешных запусков "Pony.exe".
- * Режим отладки - снимает перехватчик исключений, убирает код затрудняющий отладку и дизассемблирование программы, использовать исключительно в целях отладки.
- * Отсылать только новые отчеты - если опция не активирована, тогда дублирующие отчеты с паролями отправляться не будут.
- * Самоудаление - запущенный файл "Pony.exe" будет удален после того как завершит свою работу.
- * Добавить иконку - прикрепить выбранную иконку к компилируемому файлу.
- * Паковать билд с помощью UPX - сжать исполняемый файл "Pony.exe" после компиляции.
- * Количество попыток отправить отчет - сколько раз пытаться отправить отчет при неуспешной передаче, рекомендуется указать минимум 2 попытки
- * Вариант сборки:
- * Exe-файл - обычный исполняемый файл Windows (*.exe)
- * Dll-файл - вариант сборки в виде .dll библиотеки, она абсолютно автономна, для отработки необходимо вызвать из вашего проекта лишь API-функцию LoadLibrary(), т.е. URL для отправки паролей
- и все настройки вшиваются в сам .dll файл. В папке DllTest лежит простой пример использования-тестирования, в эту же папку необходимо положить файл Pony.dll, после чего запустить файл DllTest.exe,
- который в свою очередь вызывает LoadLibrary() для .dll библиотеки.
- В списке "Доступные модули дешифровки" можно исключить из билда ненужные дешифровщики паролей, это уменьшит размер билда.
- 4. Скин
- На этой закладке можно выбрать понравившийся скин (шкурку) билдера.
- Запуск билдера с командной строки
- =================================
- Доступны следующие аргументы командной строки билдера:
- -PACK_REPORT - сжимать отчеты
- -ENCRYPT_REPORT - шифровать отчеты, если пароль шифрования не задан, то по умолчанию будет указан "Mesoamerica"
- -REPORT_PASSWORD= - пароль шифрования, к примеру: -REPORT_PASSWORD=Mesoamerica
- -SAVE_REPORT - сохранять отчеты на диск (для отладки)
- -ENABLE_DEBUG_MODE - режим отладки
- -SEND_MODIFIED_ONLY - отсылать только новые отчеты
- -SELF_DELETE - активировать самоудаление
- -SEND_EMPTY_REPORTS - отсылать пустые отчеты
- -ADD_ICON - прикрепить иконку из файла Pony.ico
- -UPX - паковать билд с помощью UPX
- -DOMAIN_LIST= - список доменов, каждый домен должен быть разделен с помощью спец. символа \n, к примеру: -DOMAIN_LIST=http://host.com/gate.php\nhttp://host2.com/x/gate.php
- -LOADER_LIST= - список URL для лоадера (будет активирован автоматически при наличии URL), каждый URL должен быть разделен аналогично DOMAIN_LIST
- -LOADER_EXECUTE_NEW_FILES_ONLY - не запускать одинаковые файлы дважды
- -DISABLE_MODULE= - исключить из билда определенный модуль дешифровки (все названия модулей можно увидеть в файле PonySrc\FTPClients.asm), к примеру: -DISABLE_MODULE=MODULE_OPERA
- -DLL_MODE - использовать вариант сборки в виде Dll-библиотеки
- -COLLECT_HTTP - дополнительно собирать и HTTP/HTTPS пароли
- -COLLECT_EMAIL - дополнительно собирать и E-mail пароли (POP3, IMAP, SMTP)
- -UPLOAD_RETRIES=N - количество (N) попыток отправить отчет, если значение не указано, то по умолчанию используются 2 попытки
- -EXE_RELOCS - добавить таблицу релоков (Relocation table) при сборке в виде exe-файла
- -LOADER_RESERVE_MODE - включить резервный режим загрузки: если успешно загружен первый файл - остальные будут пропущены
- -DISABLE_GRABBER - отключить сбор паролей, оставить функционал лоадера
- -LOAD_FROM_MEMORY - запускать файлы (DLL) из памяти, без сброса на диск. Настоятельно рекомендуется проверить работоспособность Вашей .DLL с данным параметром.
- -RESIDENT_MODE - включить резидентный режим, программа остается в системе и продолжит работу после перезагрузки компьютера
- -RESIDENT_LOADER_TIMEOUT= - частота обращения к серверу в минутах (по умолчанию: 5 мин), используется в резидентном режиме
- -PERIODIC_PASSWORD_SCAN - раз в сутки собирать и отправлять пароли (если не отключен сбор паролей), необходима активация резидентного режима
- -DELETE_PREV_VERSION - при первом запуске лоадера удалить прошлую копию (даже если процесс активен), необходима активация резидентного режима
- -ID= - уникальный индентификатор билда; используется в резидентном режиме, когда в системе должно присутствовать несколько различных копий Pony. Можно задать параметр как -ID=random, тогда для каждого билда будет автоматически сгенерирован уникальный ID. По умолчанию ID не задан.
- Клиент "Pony.exe"
- =================
- Задача "Pony.exe" - собрать пароли с компьютера и отправить их на сервер для последующей обработки.
- Работает на всех NT версиях Windows, начиная с Win98, включая серверные. Поддерживается работа в режиме x86 и x64.
- Программа нормально отрабатывает при запуске с правами администратора или пользователя.
- Перед распространением файл желательно почистить и криптануть.
- Реализована мгновенная дешифровка сохраненных паролей для следующих программ:
- * FAR Manager
- * Total Commander
- * WS_FTP
- * CuteFTP
- * FlashFXP
- * FileZilla
- * FTP Commander
- * BulletProof FTP
- * SmartFTP
- * TurboFTP
- * FFFTP
- * CoffeeCup FTP
- * CoreFTP
- * FTP Explorer
- * Frigate3 FTP
- * SecureFX
- * UltraFXP
- * FTPRush
- * WebSitePublisher
- * BitKinex
- * ExpanDrive
- * ClassicFTP
- * Fling
- * SoftX
- * Directory Opus
- * FreeFTP
- * DirectFTP (определяется как FreeFTP)
- * LeapFTP
- * WinSCP
- * 32bit FTP
- * NetDrive
- * WebDrive
- * FTP Control
- * Opera
- * WiseFTP
- * FTP Voyager
- * Firefox
- * FireFTP
- * SeaMonkey
- * Flock
- * Mozilla Suite Browser
- * LeechFTP
- * Odin Secure FTP Expert
- * WinFTP
- * FTP Surfer
- * FTPGetter
- * ALFTP
- * Internet Explorer
- * Dreamweaver
- * DeluxeFTP
- * Google Chrome
- * Chromium
- * SRWare Iron (определяется как Chromium)
- * ChromePlus
- * Bromium (Yandex Chrome)
- * Nichrome
- * Comodo Dragon
- * RockMelt
- * K-Meleon
- * Epic
- * Staff-FTP
- * AceFTP
- * Global Downloader
- * FreshFTP
- * BlazeFTP
- * NETFile
- * GoFTP
- * 3D-FTP
- * Easy FTP
- * Xftp
- * FTP Now
- * Robo-FTP
- * LinasFTP
- * Cyberduck
- * Putty
- * Notepad++ (NppFTP)
- * CoffeeCup Visual Site Designer
- * CoffeeCup Sitemapper (определяется как CoffeeCup FTP)
- * FTPShell
- * FTPInfo
- * NexusFile
- * FastStone Browser
- * CoolNovo
- * WinZip
- * Yandex.Internet
- * MyFTP
- * sherrod FTP
- * NovaFTP
- * Windows Mail
- * Windows Live Mail
- * Pocomail
- * Becky!
- * IncrediMail
- * The Bat!
- * Outlook
- * Thunderbird
- * FastTrackFTP
- * Я.Браузер
- * Bitcoin
- * Electrum
- * MultiBit
- * FTP Disk
- ----------------------------------------------------------------------------------------
- GOOGLE TRANSLATION
- ----------------------------------------------------------------------------------------
- - = - Collection system passwords "Pony" - = -
- Builder "PonyBuilder.exe"
- ========================
- Task Builder - configure and compile the client "Pony.exe", which must progruzhat on infected computers.
- Package Includes:
- * Folder "masm32" - compiler Microsoft Macro Assembler (MASM).
- * Folder "PonySrc" - source code in MASM client program (grabber) "Pony.exe".
- * Folder "BuilderSrc" - source code in Delphi 7 auxiliary program-Builder "PonyBuilder.exe".
- * File "PonyBuilder.exe" - program-builder for the client "Pony.exe".
- * File "Help.txt" - help file.
- * File "build.bat" - script used to compile the Builder build from source "PonySrc".
- * File "Pony.ico" - icon is attached to "Pony.exe" when compiling if bildere select the corresponding option.
- Interface is divided into four tabs:
- 1. Builder
- Text field "URL list to send the password" - here you can assign a list of URL gates to send the password.
- Each line - separate URL, for example: http://somedomain.com/dir/gate.php
- You can add an unlimited number of rows (URL), the same URL, you can add a few times.
- Domain can contain information about the port connection, for example: http://privatedomain.com:8080/gate.php
- Https:// protocol is not currently supported.
- "Pony.exe" will attempt to connect and send the report to the passwords on the list, if the data is successfully delivered,
- program quits immediately without attempting to connect to the rest of the URL.
- The "Select Icon" allows you to set an icon for the source file is only supported format *. Ico.
- The "Create build" file compiles "Pony.exe" with the specified settings.
- 2. Loader
- Simple loader (boot files). After collecting passwords with these links (URL) will be loaded and running files.
- URL specified in the same way as the list of domains to send the password.
- In the lower part of the tab, you can specify the following options:
- * Activate loader - enable loader work, otherwise the files will not be loaded.
- * Do not run the same files twice - after the successful launch of the downloaded file in the registry will be added to the reference value
- (Hash) of the data file, and then, when reloading, the duplicate will not run.
- 3. Settings
- To see all the settings, you must activate the option "Show advanced settings" in the main menu.
- * Compress - compress reports using library aPLib, adds about 5Kb to the size of the executable file
- well pack the text data before sending, it is strongly recommended to use, greatly reduces traffic
- server.
- * Encrypt - encrypt reports algorithm RC4.
- * Encryption Password - the password that encrypts reports, you must install the same password in the server configuration.
- * Maintain records on disk (for debugging) - When you run "Pony.exe", after the passwords were collected in the same folder
- where he was running the executable file will be created "out.bin", a container with passwords in a form in which it is sent
- a server for further processing (decryption).
- * Notify blank reports (for statistics) - usually, if no password is found, the client "Pony.exe" nothing to send
- server will not, but it is sometimes useful checking this option to get statistics on the number of successful launches "Pony.exe".
- * Debug mode - removes interceptor exceptions removes the code difficult to debug and disassemble the program, use only for debugging purposes.
- * Notify new reports only - if this option is not enabled, then the duplicate records with passwords will be sent.
- * Samoudalenie - running file "Pony.exe" will be removed after complete its work.
- * Add icon - selected icon to attach a file to be compiled.
- * Packing build using UPX - compress executable "Pony.exe" after compilation.
- * Number of attempts to send the report - how many times to try to send a report when an unsuccessful transmission, it is recommended to specify at least two attempts
- * Option to build:
- * Exe-file - a regular executable file Windows (*. Exe)
- * Dll-file - version of the assembly in the form. Dll library, it is autonomous, for testing, you must call from your project only API-function LoadLibrary (), ie URL to send the password
- and all the settings are sewed in itself. dll file. In the folder DllTest is a simple example of testing in the same folder, you must put the file Pony.dll, then run the file DllTest.exe,
- which in turn calls LoadLibrary () for. dll library.
- In the "Available modules decryption" can be excluded from the build unnecessary decipherers passwords, it will reduce the size of the build.
- 4. Skin
- On this tab, you can choose a favorite skin (peel) Builder.
- Running Builder from the command line
- =================================
- The following command-line arguments Builder:
- -PACK_REPORT - compress reports
- -ENCRYPT_REPORT - encrypt reports if the encryption password is not specified, the default is Set "Mesoamerica"
- -REPORT_PASSWORD = - password encryption, for example:-REPORT_PASSWORD = Mesoamerica
- -SAVE_REPORT - save reports to disk (for debugging)
- -ENABLE_DEBUG_MODE - debug mode
- -SEND_MODIFIED_ONLY - send only new reports
- -SELF_DELETE - activate samoudalenie
- -SEND_EMPTY_REPORTS - send blank reports
- -ADD_ICON - attach file icon from Pony.ico
- -UPX - pack build with UPX
- -DOMAIN_LIST = - list of domains, each domain must be divided using the spec. character \ n, for example:-DOMAIN_LIST = http://host.com/gate.php \ nhttp :/ / host2.com/x/gate.php
- -LOADER_LIST = - URL list for the loader (will be activated automatically if there is URL), each URL should be divided similarly DOMAIN_LIST
- -LOADER_EXECUTE_NEW_FILES_ONLY - do not run the same files twice
- -DISABLE_MODULE = - excluding specific module build decryption (all module names can be seen in the file PonySrc \ FTPClients.asm), for example:-DISABLE_MODULE = MODULE_OPERA
- -DLL_MODE - use a variant of the assembly in the form of Dll-library
- -COLLECT_HTTP - additionally collect and HTTP / HTTPS passwords
- -COLLECT_EMAIL - collect additional and E-mail passwords (POP3, IMAP, SMTP)
- -UPLOAD_RETRIES = N - the number (N) of attempts to send a report if no value is specified, the default is 2 attempts
- -EXE_RELOCS - add table relocations (Relocation table) during assembly as the exe-file
- -LOADER_RESERVE_MODE - including backup boot mode: if successfully loaded the first file - the rest will be skipped
- -DISABLE_GRABBER - disable collecting passwords, leave the functional loader
- -LOAD_FROM_MEMORY - launch files (DLL) from memory without resetting the disk. It is strongly recommended that you check your performance. DLL with this parameter.
- -RESIDENT_MODE - include resident mode, the program remains in the system and will continue to work after the computer restarts
- -RESIDENT_LOADER_TIMEOUT = - conversion rate to the server in minutes (default is 5 minutes), used in resident mode
- -PERIODIC_PASSWORD_SCAN - once a day to collect and send passwords (if not disabled collect passwords), activation is necessary for the resident mode
- -DELETE_PREV_VERSION - when you first start the loader to remove last copy (even if the process is active), activation is necessary for the resident mode
- -ID = - unique identifier build; resident mode is used when the system needs to be several different copies of Pony. You can set the parameter as-ID = random, then for each build will be automatically generated unique ID. By default, the ID is not specified.
- Client "Pony.exe"
- =================
- Problem "Pony.exe" - collect passwords from your computer and send them to the server for processing.
- Runs on all Windows NT versions of Windows, from Win98, including server. Support operation in x86 and x64.
- The program normally fulfills startup administrator or user.
- Before distributing the file, it is desirable to clean and kriptanut.
- Implemented instantaneous decoding saved passwords for the following programs:
- * FAR Manager
- * Total Commander
- * WS_FTP
- * CuteFTP
- * FlashFXP
- * FileZilla
- * FTP Commander
- * BulletProof FTP
- * SmartFTP
- * TurboFTP
- * FFFTP
- * CoffeeCup FTP
- * CoreFTP
- * FTP Explorer
- * Frigate3 FTP
- * SecureFX
- * UltraFXP
- * FTPRush
- * WebSitePublisher
- * BitKinex
- * ExpanDrive
- * ClassicFTP
- * Fling
- * SoftX
- * Directory Opus
- * FreeFTP
- * DirectFTP (defined as FreeFTP)
- * LeapFTP
- * WinSCP
- * 32bit FTP
- * NetDrive
- * WebDrive
- * FTP Control
- * Opera
- * WiseFTP
- * FTP Voyager
- * Firefox
- * FireFTP
- * SeaMonkey
- * Flock
- * Mozilla Suite Browser
- * LeechFTP
- * Odin Secure FTP Expert
- * WinFTP
- * FTP Surfer
- * FTPGetter
- * ALFTP
- * Internet Explorer
- * Dreamweaver
- * DeluxeFTP
- * Google Chrome
- * Chromium
- * SRWare Iron (defined as Chromium)
- * ChromePlus
- * Bromium (Yandex Chrome)
- * Nichrome
- * Comodo Dragon
- * RockMelt
- * K-Meleon
- * Epic
- * Staff-FTP
- * AceFTP
- * Global Downloader
- * FreshFTP
- * BlazeFTP
- * NETFile
- * GoFTP
- * 3D-FTP
- * Easy FTP
- * Xftp
- * FTP Now
- * Robo-FTP
- * LinasFTP
- * Cyberduck
- * Putty
- * Notepad + + (NppFTP)
- * CoffeeCup Visual Site Designer
- * CoffeeCup Sitemapper (defined as CoffeeCup FTP)
- * FTPShell
- * FTPInfo
- * NexusFile
- * FastStone Browser
- * CoolNovo
- * WinZip
- * Yandex.Internet
- * MyFTP
- * Sherrod FTP
- * NovaFTP
- * Windows Mail
- * Windows Live Mail
- * Pocomail
- * Becky!
- * IncrediMail
- * The Bat!
- * Outlook
- * Thunderbird
- * FastTrackFTP
- * Ya.Brauzer
- * Bitcoin
- * Electrum
- * MultiBit
- * FTP Disk
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement