50 Antworten in diesem Thema

[Aaron]

Wenn dein Stealer detected wird hat es keinen Sinn den zu spreaden.
Man crypted Ihn oder eben wie ich schon geschrieben habe, man Obfuscated das Ganze.
Vorausgesetzt wurde es in NET geschrieben, was hier der Fall ist.

[Hekzla]

Der Tipp war an Cube gerichtet, nicht an dich, Du kannst da nichts machen @ Aaron .

Edit: Sry viel viel zu spät

Bearbeitet von Hekzla, 08 May 2014 - 18:15 Uhr.

[most_uniQue]

Naja mal sehen. Ich möcht mal von Cube hören, wie er es schafft, seinen Fully Detected Stealer zu spreaden .png' class='bbc_emoticon' alt='^^' />

[Aaron]

@Hekzla
OK, das habe ich anders gesehen, ist aber kein Problem oder?

[Cube]

Ich hab Ihn mir jetzt nicht angeschaut, aber droppst du die NirSoft-Files auf die HDD oder lädst du sie zur Laufzeit in den Arbeitsspeicher?
Zur Scantime wäre extrem ineffizient, da selbst bei einem "crypt" die NirSoft-Files mögliche Detections aufrufen können, egal wie detected die Stub ist.

Nur als kleiner Denkanstoß.

Gruß, Rastajan.

Ja die Nirsoft Tools werden gedroppt.
Scantime mäßig weis ich dass es ineffizient ist, vorallem weil die Nirsoft Tools paar Detections mehr haben als die Stub ansich.
Wurden mit Mpress komprimiert. Dadurch hab ich nicht nur deutlich kleine Stubs hinbekommen, sondern auch ein Haufen Detections weggekriegt

Wurde ihm nun auch schon mehrmals gesagt/empfohlen
Bzw. ja er droppt die Nirsoft Tools.

Ich weis. Es hacken ein paar Leute drauf rum.
Aber ist ein Freetool
Soll jetzt nicht heißen, dass ich mir diesbezüglich noch nicht darüber den kopf zerbrichen habe

Wär echt nice, wenn die Nirsoft in den RAM droppt.

@ Cube : Wie spreadest du denn eine fast Fully Detected File?

Ich execute diese im RAM. Und was dann?.png' class='bbc_emoticon' alt='^^' />
Mehr als ne Idee nen Stringbuilder zu nutzen und damit die Passwörter auszulesen bin ich noch nicht gekommen.
Und das find ich persönlich mal extrem mühsam .png' class='bbc_emoticon' alt='xD' />
Wenns andere Ideen gibt klatscht sie her.

Zu dem Fully detected spreaden: Einfach spreaden.
Fertig..png' class='bbc_emoticon' alt='^^' />
Kaspersky-Nutzer wirst damit nicht fangen, da anscheinend Kasperksy sofort löscht.
Avira und Microsoft Security Essentials bietet die Option an die detected Files dennoch auszuführen.
Was folglich auch die meisten den Nutzer tun.
Du spreadest genauso wie FUD files.
Mehr brauchst du nicht tun^^
Du wirst sehn, dass man auch hiermit recht erfolgreich sein kann

@most_uniQue
Danke für den Tip.
Ich halte zwar wenig von droppen, so könnte man aber auch versuchen.
Nirsoft verschlüsseln, in RAM entschlüsseln. Den Loader an sich gut obfuscaten.
So bekommt man ganz schnell UD.

Siehe oben.
Nachdem ich die Nirsoft Tools im RAM execute, wie soll ich dann an die Passwörter rankommen?
Ich mach das ganze nämlich deppen sicher und nutze die Konsolenbefehle der Nirsoft Tools :"/stext <Filename>"
Und den Prozess selbst kann ich dafür nicht angeben.
Benötigt als Parameter nen Pfad.
Belehrt mich aber gerne eines Besseren

Hört sich einfacher an, als gemacht. Ich persönlich habe mich noch nie wirklich mit dem Cube Stealer auseinandergesetzt. Mich würde nurnoch interessieren, wie man Fully Detected Files spreadet, wenn zB Kaspersky sie sofort löscht. Also meins zB ( Hab Kaspersky Anti-Virus 2014 ).

Siehe oben.
Habs beantwortet

[most_uniQue]

Cube würde es dir was ausmachen, mir eine PM zu schicken, mit einer kleinen Zusammenfassung, wie du spreadest? Wär echt nice =)

[Cube]

Cube würde es dir was ausmachen, mir eine PM zu schicken, mit einer kleinen Zusammenfassung, wie du spreadest? Wär echt nice =)

Macht mir was aus ja.
Wenn du dich dafür interessiert meldest DU dich bei mir.
Und bitte bei PM und nicht hier.
Durch Offtopic wird der Thread zugemüllt.

Grüße

[Hekzla]

Versteh mich nicht falsch, ich hacke nicht darauf rum
Ich würde dir auch gerne helfen, aber ich kann leider kein .NET wie wir bereits schon per PM geklärt haben.
Die Theorie habe ich dir soweit eig schon gesagt.
Der Parameter bleibt auch mit einem RunPE der gleiche. Du darfst nur die Nirsoft Tools nicht droppen, die Password files sind nicht sooooo schlimm.

Edit: Du kannst dich auch gerne per PN melden wenn du Fragen zur Theorie hast. Code wirst du allerdings keinen von mir bekommen, da ich echt kein Stück VB kann.

Bearbeitet von Hekzla, 08 May 2014 - 18:44 Uhr.

[Aaron]

@ Cube
Ich wollte mir das Ganze bei Gelegenheit anschauen. Wir haben schon mal daürber gesprochen.
Ich bin allerdings von NET abgekommen, daher habe ich keine Lust mir das VB Studio zu installieren um paar Sachen zu testen.
Deshalb die Frage an dich.
Kannst du es in RAM droppen, ausführen und als Parameter ein unbedeutenden Pfad angeben, danach senden und löschen?

[Crax]

Warte, der cipher jetzt 5 oder -5 ?

[Cube]

@ Cube Ich wollte mir das Ganze bei Gelegenheit anschauen. Wir haben schon mal daürber gesprochen. Ich bin allerdings von NET abgekommen, daher habe ich keine Lust mir das VB Studio zu installieren um paar Sachen zu testen. Deshalb die Frage an dich. Kannst du es in RAM droppen, ausführen und als Parameter ein unbedeutenden Pfad angeben, danach senden und löschen?

Mhhh.
Muss ich testen. Komme vlt am Wochenende dazu
Merci

Warte, der cipher jetzt 5 oder -5 ?

>5

das ">" ist ein mathematisches Zeichen und bedeuted GRÖßER
oder auch "größer als"

Bearbeitet von Cube, 08 May 2014 - 18:48 Uhr.

[Crax]

>5

das ">" ist ein mathematisches Zeichen und bedeuted GRÖßER
oder auch "größer als"

Ach Gott bin ich doof, nachdem ich 6 Stunden lang durch-programmiert hab, ist mein Gehirn nur noch im Leerlauf verfügbar...
Na dann, gucken wir uns das hübsche Teil mal an .png' class='bbc_emoticon' alt='^^' />

[GFox]

Danke dafür !

[Cube]

*NEWSUPDATE*

Version 4.1 in Arbeit.
Werden kleine Schönheitsfehler behoben inkls. Userbility Upgrade.
Außerdem wird "Bind a File" dann endlich supported.
Da ich hierfür den Code etwas vergewaltigen musste, suche ich nun 3-4 Tester der neuen Version.

Bitte nur melden, wer mir hierbei wirklich paar brauchbare Feedbacks zurückgeben kann.
PM oder Jabber: cube@abber.de

Danke

Grüße
Cube

[Veronika]

Ich bin neu hier und auch erst neu angefangen mich für sowas zu interessieren .. deswegen kann ich den code nicht knacken .. würde mir da evtl. jemand helfen ?

Bearbeitet von Veronika, 11 May 2014 - 13:44 Uhr.

[Cube]

Ich bin neu hier und auch erst neu angefangen mich für sowas zu interessieren .. deswegen kann ich den code nicht knacken .. würde mir da evtl. jemand helfen ?

Den Code? Nehme nciht an dass du an den Sourcecode willst oder?
Sondern das Passwort "knacken" für das Winrar Archiv korrekt?

Ich helfe dir nochmal:

Das VERSCHLÜSSELTE Passwort lautet

PAZ H MLHABYL UVA H IBN

Dieses musste eben noch entschlüsseln.
Der Verschlüsselungstyp/Algorithmus nennt sich "Caesar".
Der benötigte "Shift Key" ist 7

Wenn du noch immer nicht weist was zu tun ist -->

Please Login HERE or Register HERE to see this link!

Das entschlüsselte Passwort muss komplett groß geschrieben werden.
Desweiteren ergibt das Passwort einen Sinn. Sogar einen englishen Satz.
Also weis man wenn mans hat

Grüße
Cube

[Veronika]

Danke dir habe es herausgefunden , natürlich dank deiner hilfreichen Tipps.
ich werde es mal testen und einen feedback abgeben.

[Cube]

Das Push ich hier mal wieder.
Version 4.1 is praktisch fertig.
Warte aber noch etwas auf release.
Vlt gibts bei 4.0 noch Bugs die reported werden?
Feedback ist auch gerne gesehen.

Grüße

[n3wm31573r]

Schöner Stealer und die Anti Noob protection ist

[Banger109]

Warum schickt er die vics nicht zum ftp server?

Man macht ja den ftp checker an, dann muss man ja den ornder erstellen: bsp: ftp-web.funpic.de, dann schickt er die vics ja auf den computer.. aber nicht auf ftp. Also ich hab meine exe geöffnet und er hat es nicht zum ftp gebracht, sondern in den Ordner "ftp-web.funpic.de"... wtf? Hilfe....