1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

RMS 5.3 скрытый с отправкой ID на почту и самоудалением

Тема в разделе "РАТ| Бэкдоры | РМС | Даунлоадеры", создана пользователем grs101, 23 авг 2013.

  1. TopicStarter Overlay
    grs101

    grs101

    Регистрация:
    30 сен 2012
    Сообщения:
    286
    Симпатии:
    262
    Скачиваем архив

    **Скрытый текст: Для просмотра скрытого текста Вы должны авторизоваться.**

    Пожалуйста Зарегистрируйтесь или Войдите для того чтоб увидеть текст сообщения!

    пароль на архив IFUD.WS

    Запускаем вьювер 5.3, выбираем меню Инструменты, MSI конфигуратор, открываем файл RMS хоста rms5.3.1b2.msi который находится в скачанном архиве. Выбираем Стандартный MSI дистрибутив, отмечаем генерировать новый id при отправке на почту, вводим свое мыло, ставим отключить создание ярлыков, не запрашивать подтверждения и т.д. Нажимаем Конфигурировать, отключаем: оповещение пользователя, иконку в трее, IPV6 и т.д.
    Закрываем окно конфигурации, ждем, получаем rms5.3.1b2.msi, он перезаписался на место исходного с таким же именем.
    Далее из скачанного ранее архива распаковываем папку self install.
    После полученный rms5.3.1b2.msi переименовываем в rms.msi и кладем его в распакованную папку self install, запускаем файл make_installer.cmd и ждем, на выходе получаем rms-id.exe - его и впариваем жертве.

    rms-id.exe - полностью скрытый, убран баннер о видеонаблюдении, при завершении процесса возобновляется после перезагрузки, после установки самоудаляется, из известных АВ на момент проверки не палилось Avast (но запускалось в песочнице) и DR.WEB (брандмауэр требует создать правило), Hод 32 (никак не реагирует, но отчеты почему то не приходят)
    Минусы данной сборки это размер 7mb(ну здесь можно использовать downloader),
    а также проблематично сменить иконку.

    ВСЕ ФАЙЛЫ ЗАПУСКАЕМ НА ВИРТУАЛКЕ.
     
    • Like Like x 6
    Метки:
  2. TopicStarter Overlay
    grs101

    grs101

    Регистрация:
    30 сен 2012
    Сообщения:
    286
    Симпатии:
    262
    Описание сборки мое. А сама сборка - об этом история умалчивает:D
     
  3. smihd

    smihd

    Регистрация:
    29 окт 2012
    Сообщения:
    147
    Симпатии:
    94
    всегда буду думать что рмс фигня если такой размер
     
    • Like Like x 1
  4. TopicStarter Overlay
    grs101

    grs101

    Регистрация:
    30 сен 2012
    Сообщения:
    286
    Симпатии:
    262
    Я проверял на 5 виртуалках с 5-ю АВ на момент проверки не палилось Avast (но запускалось в песочнице) и DR.WEB (брандмауэр требует создать правило), Hод 32 (никак не реагирует, но отчеты почему то не приходят), палит: Kaspersky и Avira, на chk4me.com я не проверяю. Если мне нужно какой то другой АВ, то ставлю его на виртуалку и смотрю.

    Если потенциальная жертва готова принять файл, программу, неважно что, главное чтоб ей это было нужно, то и 20 и 30mb скачает и запустит. Тем более не надо не каких белых ip, открытых портов, все в обход NAT.
     
  5. florens

    florens

    Регистрация:
    2 май 2013
    Сообщения:
    87
    Симпатии:
    98
    а каспер как всегда палит))
     
  6. Palach100

    Palach100

    Регистрация:
    27 авг 2013
    Сообщения:
    308
    Симпатии:
    150
    Все легко и быстро делается, отличное описание
    Раньше где-то читал, вроде КРАХ
     
  7. Trench

    Trench

    Регистрация:
    6 апр 2013
    Сообщения:
    27
    Симпатии:
    6
    Криптуется нормально? Не сбоит?
     
  8. barstor

    barstor

    Регистрация:
    4 янв 2013
    Сообщения:
    65
    Симпатии:
    15
    после конфигурации в настройке изминять нужно?
     
  9. Palach100

    Palach100

    Регистрация:
    27 авг 2013
    Сообщения:
    308
    Симпатии:
    150
    Когда он уже сконфигурирован то ничего изменять не надо, все описанию далее делай и все...
     

Поделиться этой страницей

Загрузка...