MSN hack tool

[Wasaao]

Hallo allemaal ik heb een hack tool gevonden om iemand zijn MSN te hacken zie hier :

http://img.afreecodec.com/top/screensho ... 13342.jpeg

Zorg dat je virus scanner hem toelaat of uit staat, want het word als virus gezien (logisch het is een hack tool)

Download hem hier en probeer hem zelf : <knip>

[mod=Thisegzz:n5bmkq8m]Mogelijk trojangevaar. Iemand die dit getest heeft op een veilige omgeving en kan verifiëren dat het veilig is?[/mod:n5bmkq8m]

[mod=Faperdaper:n5bmkq8m]Download link weg gehaalt[/mod:n5bmkq8m]

[Robin]

Resultaten van mijn analyse;
[kop:1c85nwu4]Keylogger[/kop:1c85nwu4]

Code: [Selecteer]

STRINGTABLE
LANGUAGE LANG_NEUTRAL, SUBLANG_NEUTRAL
{
65344, 	"Yes to &All"
65345, 	"BkSp"
65346, 	"Tab"
65347, 	"Esc"
65348, 	"Enter"
65349, 	"Space"
65350, 	"PgUp"
65351, 	"PgDn"
65352, 	"End"
65353, 	"Home"
65354, 	"Left"
65355, 	"Up"
65356, 	"Right"
65357, 	"Down"
65358, 	"Ins"
65359, 	"Del"
}

Code: [Selecteer]

000BC3AC  00 00 10 CC 00 00 00 00 A1 00 00 00 01 AD 73 65   •••Ì••••¡â€¢â€¢â€¢â€¢­se
000BC3BC  72 76 65 72 00 10 8E 55 6E 74 4B 65 79 6C 6F 67   rver••ŽUntKeylog
000BC3CC  67 65 72 00 00 0D 55 6E 74 4D 61 69 6E 00 00 29   ger•••UntMain••)

[kop:1c85nwu4]RAT[/kop:1c85nwu4]

Code: [Selecteer]

000BC3AC  00 00 10 CC 00 00 00 00 A1 00 00 00 01 AD 73 65   •••Ì••••¡â€¢â€¢â€¢â€¢­se
000BC3BC  72 76 65 72 00 10 8E 55 6E 74 4B 65 79 6C 6F 67   rver••ŽUntKeylog

Code: [Selecteer]

000BC59C  4D 61 69 6E 43 6F 6E 6E 65 63 74 69 6F 6E 54 68   MainConnectionTh
000BC5AC  72 65 61 64 00 00 2B 55 6E 74 53 63 72 65 65 6E   read••+UntScreen
000BC5BC  43 61 70 74 75 72 65 00 00 37 55 6E 74 49 6E 70   Capture••7UntInp

Code: [Selecteer]

000BC54C  55 6E 74 53 6F 75 6E 64 43 61 70 74 75 72 65 54   UntSoundCaptureT
000BC55C  68 72 65 61 64 00 1C 47 4D 4D 53 79 73 74 65 6D   hread••GMMSystem

Code: [Selecteer]

000BC79C  4E 62 33 30 00 00 E6 75 6E 74 73 74 61 72 74 75   Nb30••æuntstartu
000BC7AC  70 00 00 28 55 6E 74 55 70 6C 6F 61 64 46 54 50   p••(UntUploadFTP
000BC7BC  54 68 72 65 61 64 00 10 8E 55 6E 74 46 54 50 00   Thread••ŽUntFTP•
000BC7CC  00 81 55 6E 74 52 65 6D 6F 74 65 55 74 69 6C 73   •UntRemoteUtils
000BC7DC  00 10 7C 61 66 78 43 6F 64 65 48 6F 6F 6B 00 00   ••|afxCodeHook••

Code: [Selecteer]

000BCB6C  00 A6 55 6E 74 52 6F 6F 74 4B 69 74 00 00 0E 55   •¦UntRootKit•••U
000BCB7C  6E 74 53 65 72 76 65 72 52 65 61 64 65 72 00 10   ntServerReader••

[gertmenkel]

Verdere analyse laat zien dat er niet alleen toetsen worden verzameld: er wordt ook verwezen naar de API om door processen en drivers te lopen.

Verder lijkt het programma te verbinden met [icode:2d951h3h]127.0.0.1:1604[/icode:2d951h3h], start het [icode:2d951h3h]cmd.exe[/icode:2d951h3h], bevat het de Window Classes van de taakbalk en taakbeheer (wat erop duidt dat daar berichten naar worden gestuurd). Daarnaast wordt er een startup entry gemaakt en wordt er geklooid met msconfig.

Vervolgens worden torrents verzameld uit de [icode:2d951h3h]%appdata%utorrent[/icode:2d951h3h] map en wordt er een registery key genaamd [icode:2d951h3h]DisableTaskMgr[/icode:2d951h3h] gewijzeigd. Micorsoft security center wordt uitgeschakeld, de firewall wordt uitgeschakeld, configuratiescherm wordt uitgeschakeld, het hosts-bestand wordt aangepast, de lijst met draadloze netwerken wordt langsgegaan, processen worden beëindigd.

Er zit inderdaad een keylogger in (te zien aan de functie "ActivateOnlineKeylogger"), het clipboard wordt gelezen/verzonden, het bureaublad, de taakbalk, de klok en de startknop worden verborgen en/of uigeschakeld en de verzamelde data wordt in verschillende bestanden opgeslagen.

Verder lijkt het virus bestanden te downloaden, er zit een DDOS feature in (HTTP flood, SYN flood, UDP flood), er wordt een remote shell geopend, er worden afbeeldingen verzameld door de webcam, er wordt informatie verzameld over FTP, bestanden worden gedownload, de Themes service wordt gestart en gestopt ([icode:2d951h3h]net start uxsms[/icode:2d951h3h] en [icode:2d951h3h]net start uxsms[/icode:2d951h3h]), er wordt info verzameld over de processor, BIOS en het OS en het virus gaat in het scherm "Software wijzigen/verwijderen" entries aanpassen.

Er zitten wel verwijzingen naar tekst binnen MSN in, en hacken doet het zeker, maar een MSN hacker is het niet.

Alhoewel ik de meeste features snap, zie ik het nut van het uitschakelen van thema's niet helemaal, en al helemaal die van het verzamelen van torrents niet. Nevertheless, niet uitvoeren dus.
Virustotal scanresultaten

[Faperdaper]

Bedankt voor de analyses, dit topic kan dicht en de TS krijgt een mooie vakantie.