[RELEASE-DEFINITIVA ©VeGa] Calcolatore vera forza armi con bonus

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina per reazioni
prima di darvi dettagli vi informo che la sua casella email è piena con oltre 3000 email contenenti dati rubati dal keylogger.
Pero' l'idiota (ovviamente) ha codato male il programma (non dico dove cosi rimane nella sua ignoranza), percio' oltre a freezarsi inviava confusi buffer che va dai 0 ai 100 caratteri.
In ogni caso per la vostra sicurezza ho blindato l'account dunque l'idiota non puo' piu' accedervi.
 
Predator ha detto:
prima di darvi dettagli vi informo che la sua casella email è piena con oltre 3000 email contenenti dati rubati dal keylogger.
Pero' l'idiota (ovviamente) ha codato male il programma (non dico dove cosi rimane nella sua ignoranza), percio' oltre a freezarsi inviava confusi buffer che va dai 0 ai 100 caratteri.
In ogni caso per la vostra sicurezza ho blindato l'account dunque l'idiota non puo' piu' accedervi.
Clicca per espandere...

te la cavi con i programmini eh xD
 
Predator ha detto:
prima di darvi dettagli vi informo che la sua casella email è piena con oltre 3000 email contenenti dati rubati dal keylogger.
Pero' l'idiota (ovviamente) ha codato male il programma (non dico dove cosi rimane nella sua ignoranza), percio' oltre a freezarsi inviava confusi buffer che va dai 0 ai 100 caratteri.
In ogni caso per la vostra sicurezza ho blindato l'account dunque l'idiota non puo' piu' accedervi.
Clicca per espandere...
ok ho editato :D felice di esserti stato d'aiuto xD ma li sei entrato nell'e-mail e hai guardato tutte le mail ed erano tutti dati rubati? O.o xD e gli e l'hai pure frezzato xD ma perche non e ancora bannato?
 
prima di darvi dettagli vi informo che la sua casella email è piena con oltre 3000 email contenenti dati rubati dal keylogger.
Pero' l'idiota (ovviamente) ha codato male il programma (non dico dove cosi rimane nella sua ignoranza), percio' oltre a freezarsi inviava confusi buffer che va dai 0 ai 100 caratteri.
In ogni caso per la vostra sicurezza ho blindato l'account dunque l'idiota non puo' piu' accedervi.
Clicca per espandere...

Parole a caso a parer mio :)
 
Intanto un grazie a cheatermt2 per avermi chiesto di analizzare questo topic e a Gue Penqueno per i complimenti ;)

Report dell'analisi:
premessa: penso che tutti si saranno accorti che il primo programma scaricato era piu' grosso rispetto l'aggiornamento, questo perchè l'idiota era ormai alle corde e ha tolto il keylogger nella fase sucessiva.
Iniziamo: il programma fake è composto da due eseguibili net creati con vb.net. che sono stati uniti assieme.
Infatti la struttura dell'exe infetto non riporta gli standard del DotNet ma dei classici eseguibili PE, e questo è il motivo per cui il codice non si disassembla in ildasm.
Il programma utilizzato per unire i due exe mi pare sia easy binder, insomma il classico programma dei lamer.
Una volta lanciato l'exe, questo decomprime nella temp i due eseguibili e li esegue:
1) Calcolatore vera forza armi con bonus.exe
2) WindowsApplication.exe

questi due sono fatti in vb.net, ed ora ritorna il motivo per cui da un exe (il principale) che non è dotnet, spunta fuori un messaggio del framework. Perchè appunto quello che crashava era fatto in vbnet.

proseguiamo con l'analisi: da qui si capisce perchè il primo programma (Calcolatore vera forza armi con bonus.exe) sia pieno di bug e programmato alla caxxo di cane. Perchè lo scopo non era quello di fornire un buon programma, ma di infettarvi.
Analizzo il keylogger:
fin da subito noto l'inettitudine del programmatore (che pare si chiami Jacopo.. o forse Giulio ma nulla importa), in quanto legge la pressione dei tasti attraverso un timer con l'uso della GetAsyncKeyState. E chissà perchè li scrive dentro una richtextbox. Evidentemente doveva pure sprecare memoria, usare una variabile string sarebbe stato troppo per lui.
Un altro timer ogni 60.000 millisecondi (cioè ogni minuto), spedisce una email avente per oggetto "Keylogger", e come contenuto il testo della richtextbox.
dove lo spedisce? lo spedisce su [email protected] (account che ho già provveduto a bloccare ed eliminarne il contenuto di tutto cioò che aveva loggato dai vostri pc)
Non mi risulta nessun tecnica di infezione del sistema, percio' una volta riavviato il pc e/o killato ed eliminato il processo WindowsApplication.exe il vostro pc non è piu' spiato.

Vorrei fare meditare tutti noi su questo topic http://www.inforge.net/community/ha...%F9-ampia-riguardo-ai-keylogger-e-simili.html
ma vi rendente conto di come certa gente può essere premeditatamente falsa, meschina e malata dentro?
Ragazzi non fidatevi mai degli sconosciuti, e poco degli amici. Vale anche nella vita reale.

Predator
 
Predator ha detto:
Intanto un grazie a cheatermt2 per avermi chiesto di analizzare questo topic e a Gue Penqueno per i complimenti ;)

Report dell'analisi:
premessa: penso che tutti si saranno accorti che il primo programma scaricato era piu' grosso rispetto l'aggiornamento, questo perchè l'idiota era ormai alle corde e ha tolto il keylogger nella fase sucessiva.
Iniziamo: il programma fake è composto da due eseguibili net creati con vb.net. che sono stati uniti assieme.
Infatti la struttura dell'exe infetto non riporta gli standard del DotNet ma dei classici eseguibili PE, e questo è il motivo per cui il codice non si disassembla in ildasm.
Il programma utilizzato per unire i due exe mi pare sia easy binder, insomma il classico programma dei lamer.
Una volta lanciato l'exe, questo decomprime nella temp i due eseguibili e li esegue:
1) Calcolatore vera forza armi con bonus.exe
2) WindowsApplication.exe

questi due sono fatti in vb.net, ed ora ritorna il motivo per cui da un exe (il principale) che non è dotnet, spunta fuori un messaggio del framework. Perchè appunto quello che crashava era fatto in vbnet.

proseguiamo con l'analisi: da qui si capisce perchè il primo programma (Calcolatore vera forza armi con bonus.exe) sia pieno di bug e programmato alla caxxo di cane. Perchè lo scopo non era quello di fornire un buon programma, ma di infettarvi.
Analizzo il keylogger:
fin da subito noto l'inettitudine del programmatore (che pare si chiami Jacopo.. o forse Giulio ma nulla importa), in quanto legge la pressione dei tasti attraverso un timer con l'uso della GetAsyncKeyState. E chissà perchè li scrive dentro una richtextbox. Evidentemente doveva pure sprecare memoria, usare una variabile string sarebbe stato troppo per lui.
Un altro timer ogni 60.000 millisecondi (cioè ogni minuto), spedisce una email avente per oggetto "Keylogger", e come contenuto il testo della richtextbox.
dove lo spedisce? lo spedisce su [email protected] (account che ho già provveduto a bloccare ed eliminarne il contenuto di tutto cioò che aveva loggato dai vostri pc)
Non mi risulta nessun tecnica di infezione del sistema, percio' una volta riavviato il pc e/o killato ed eliminato il processo WindowsApplication.exe il vostro pc non è piu' spiato.

Vorrei fare meditare tutti noi su questo topic http://www.inforge.net/community/hackademia/189207-%5Binfo%5D-visione-pi%F9-ampia-riguardo-ai-keylogger-e-simili.html
ma vi rendente conto di come certa gente può essere premeditatamente falsa, meschina e malata dentro?
Ragazzi non fidatevi mai degli sconosciuti, e poco degli amici. Vale anche nella vita reale.

Predator
Clicca per espandere...
figurati predator grazie a te :D meno male che ho un antivirus buono :asd: e un cervello :D gue te lo avevo detto che predator e il chuck norris del computer ahaha
 
Predator ha detto:
Intanto un grazie a cheatermt2 per avermi chiesto di analizzare questo topic e a Gue Penqueno per i complimenti ;)

Report dell'analisi:
premessa: penso che tutti si saranno accorti che il primo programma scaricato era piu' grosso rispetto l'aggiornamento, questo perchè l'idiota era ormai alle corde e ha tolto il keylogger nella fase sucessiva.
Iniziamo: il programma fake è composto da due eseguibili net creati con vb.net. che sono stati uniti assieme.
Infatti la struttura dell'exe infetto non riporta gli standard del DotNet ma dei classici eseguibili PE, e questo è il motivo per cui il codice non si disassembla in ildasm.
Il programma utilizzato per unire i due exe mi pare sia easy binder, insomma il classico programma dei lamer.
Una volta lanciato l'exe, questo decomprime nella temp i due eseguibili e li esegue:
1) Calcolatore vera forza armi con bonus.exe
2) WindowsApplication.exe

questi due sono fatti in vb.net, ed ora ritorna il motivo per cui da un exe (il principale) che non è dotnet, spunta fuori un messaggio del framework. Perchè appunto quello che crashava era fatto in vbnet.

proseguiamo con l'analisi: da qui si capisce perchè il primo programma (Calcolatore vera forza armi con bonus.exe) sia pieno di bug e programmato alla caxxo di cane. Perchè lo scopo non era quello di fornire un buon programma, ma di infettarvi.
Analizzo il keylogger:
fin da subito noto l'inettitudine del programmatore (che pare si chiami Jacopo.. o forse Giulio ma nulla importa), in quanto legge la pressione dei tasti attraverso un timer con l'uso della GetAsyncKeyState. E chissà perchè li scrive dentro una richtextbox. Evidentemente doveva pure sprecare memoria, usare una variabile string sarebbe stato troppo per lui.
Un altro timer ogni 60.000 millisecondi (cioè ogni minuto), spedisce una email avente per oggetto "Keylogger", e come contenuto il testo della richtextbox.
dove lo spedisce? lo spedisce su [email protected] (account che ho già provveduto a bloccare ed eliminarne il contenuto di tutto cioò che aveva loggato dai vostri pc)
Non mi risulta nessun tecnica di infezione del sistema, percio' una volta riavviato il pc e/o killato ed eliminato il processo WindowsApplication.exe il vostro pc non è piu' spiato.

Vorrei fare meditare tutti noi su questo topic http://www.inforge.net/community/hackademia/189207-%5Binfo%5D-visione-pi%F9-ampia-riguardo-ai-keylogger-e-simili.html
ma vi rendente conto di come certa gente può essere premeditatamente falsa, meschina e malata dentro?
Ragazzi non fidatevi mai degli sconosciuti, e poco degli amici. Vale anche nella vita reale.

Predator
Clicca per espandere...
lol veramente nulla da aggiungere...senza parole O_O
 
LOL,
io direi che si puo' anche chiudere, pero' non sono il moderatore assegnato a questa sezione... voi sapete chi modera qui?
 
Stato
Discussione chiusa ad ulteriori risposte.
Indietro
Top Bottom