Download : Link Rapidshare
Chưa cấu hình :
Sau khi Cấu hình :
Giải thích : ftp://111:222@ftp.domain/vicspy
111 : user_ftp
222 : pass_ftp
domain : domain ( ví dụ : duconmang.net)
vicspy : thư mục chứa các file từ victim tạo ra trên host
Reconnect : tùy chỉnh thời gian update 1 lần
Icon : icon của file keylog sau khi tạo ra , khuyến cáo nên chọn Icon dễ nhìn , dễ đánh lừa victim ^^
Bind with an other file (Option) : đính kèm 1 file khác vào keylog (để trống cũng dc)
Sau khi hoàn thành , click "Creat" .
Như vậy ta đã có 1 file Keylog . Tiếp đến sử dụng Crypter để mã hóa file nhằm qua mặt 1 số trình AntiVirus .
Điều quan trọng nhất (giống TeamViewer RAT) là làm sao lừa dc victim click chạy file này (giả sử gọi file này là vicspy.exe ) . Nếu gửi trực tiếp cho victim , họ sẽ nghi ngay , vì thời buổi này bác nào cũng "cảnh giác" 3 cái vụ này hết rầu .
Vậy theo bạn chúng ta phải làm gì để file này chạy dc trên máy victim mà mình không phải gửi cho victim hay không cần victim phải click vào ???
DCM sẽ dùng 1 code JavaScript đơn giản :
Download JavaScript : Link Rapidshare
Đoạn JavaScript trên có tác dụng tự động download file vicspy.exe và thực thi trên máy của victim .
Chèn đoạn Javascript này vào file index của website (có thể blog của bạn , có thể 1 website nào đó bạn đã nắm quyền kiểm soát :D)
Như vậy chờ 1 thời gian và log vào host , kết quả rất khả quan .
Trên đây là những bước cơ bản , ngoài ra còn 1 số chi tiết nâng cao DCM ko nhắc đến .
Tuy nhiên , điểm yếu là khi chạy trên IE có hiện tượng "treo" vài giây .
Khuyến cáo nên dùng FF để duyệt web trong "thời thế" bất ổn hiện nay :D
Một số thông tin thêm về VicSpy2008 từ Megasecurity :
Server
Dropped Files:
c:\WINDOWS\system32\ftdutil.exe Size: 65,536 bytes
c:\WINDOWS\system32\ntvxdc.exe Size: 65,536 bytes
c:\WINDOWS\system32\wcsydrv.exe Size: 65,536 bytes
c:\WINDOWS\system32\wintgtsv.exe Size: 65,536 bytes
Startup:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce "Virtual Java"
Data: wintgtsv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Sys Startup"
Data: wintgtsv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Windows start"
Data: explorer.exe wintgtsv.exe
SRC : D.C.M
3 comment:
chưa dc hoàn chỉnh cho lắm
Mấy cái này khó hỉu wá
Khi nào lên nhà chỉ cho em với :D
Chài , thằng này cứ dụ mình wa nhà nó làm gì ko biết @@
Hôm nào hướng dẫn chi tiết hơn luôn
Post a Comment
Hãy đăng nhập với tài khoản google để Comment .
Nếu chưa có tài khoản google các bạn hãy chọn Name/URL hoặc Anonymous khi Comment .