Russian Trojans : Zimenok 9

Zimenok 9
Name: Zimenok
Version: 9
Author: Zimenkov (Зименков Алекcандр)
Language: Assembler
Packed: not packed
Server Editor
Icon
Name zimenok8.exe config.exe
Size 11776 (04.06.2002) 9216 (03.06.2002)
KAV detected Trojan.PSW.Zimenok.08 Trojan.PSW.Zimenok.08
	Server	Editor
Icon
Name	zimenok8.exe	config.exe
Size	11776 (04.06.2002)	9216 (03.06.2002)
KAV detected	Trojan.PSW.Zimenok.08	Trojan.PSW.Zimenok.08
Editor:
Features:
Инструкция  от  автора  трояна  ЗИМЕНОК версии 9 (девять).
Внимание!    Вы используете троян на свой страх и риск! Я не
несу  ответственности  за  то, что   ВЫ можете причинить им
другим  лицам.

Возможности: (это НЕ очередной троян):
1) обход ФайрВолов (аля мы типа Експлорер)
2) Невидимый Антивирусами
3) Отсылает пароли из PWL (и имя юзвера)
4) отсылает пароли НЕКЭШИРУЕМЫЕ (имя конечно тоже)
5) Отсылает ВСЕ вводимые пароли и сообщает в какой 
	программе они вводились (имя окна)
6) По мере появления новых паролей -отсылает и их
7) Отсылает пароли от всех (!) ПОЧТОВЫХ ЯЩИКОВ
8) маленький размер + простота конфигурации
9) он по прежднему не работает под NT (а оно надо?)
10) теперь он отсылает тебе Мэйлы ( е-мейл ) писем 
	которые жертва шлет на определеные серваки,
	подробнее читай раздел ПЕРЕХВАТ МЫЛЬНИЦ.
11) а чего еще надобно ??

ВНИМАНИЕ! для тех кто работает с прогой OutLook - письма,
приходящии от трояна - якобы не читаются, на самом деле
достаточно просто выбрать "свойства", затем "Подробности"
Затем "Исходное сообщение" - и вы увидите их.
  В програме BAT - все будет сразу нормально показано.
  

Сначала надо сконфигурировать троян, то есть сделать так,
чтобы  он  именно нам посылал письма с паролями.Для этого
запустите  из  архива  файл  с  эконкой  - CONFIG.exe, он
просит   ввести  мыло  (почтовый  адрес)  куда  присылать
письма.   Главное,   чтобы   этот   почтовый   адрес  был
зарегестирован  на  сервере,  где есть SMTP протокол - то
есть  возможность  отправлять  через этот сервер почту на
него,  чтобы  проверить  это  достаточно  просто послеать
через  него письма кому-нибудь, если письмо до него дошло
-  то  там есть СМТП, он есть на MAIL.RU, так что если не
поняли о чем я говорю - просто зарегестрируйте новый ящик
себе на сервере MAIL.RU - и пользуйтесь им (впишите его в
конфигуратор),  затем  нажав  на  "OK  & Save" информация
закодируется  и  запушется  в  троян, причем его название
должно  быть  именно  zimenok6.exe  -  иначе кинфигуратор
поругается,  что  не  может  найти  трояна. Итак сам файл
трояна  теперь готов к отсылке. Если его запусить - то он
начнет работать ничего не выдавая пользователю.
В строке ОТ ЖЕРТВЫ (мыло жертвы) укажите (а можете и
ничего не указывать) что показывать вам в заголовке пись-
ма, которое придет от трояна (чтобы различать разных
жертв, если например, ты рассылаешь массово трояна).
 
 СЛед.  шаг  -  отослать  его  жертве,  для  этого удобно
 воспользоваться программой ZENDER моего же производства,
 задав  ей  список пользователей - она использует дурку в
 программе  OutLook5,  так  что  троян  наш автоматически
 запуститься, (конечно надо подробнее читать инструкцию к
 программе zender).

Очень  скоро  будут  приходить  письма  от  жертв, причем
эксперименты  показали, что из 10 человек 1 - попадается,
который  кэширует  пароли  (то есть он пападется на любой
троян),  а вот 5 - не кешируют (и значит поможет тока мой
троян!),  остальные - увидели, что это троян, и один даже
хотел  что-то  предпринять по отношению ко мне (он увидел
свою  "новую" статистику). Главное не наглейте, не больше
чем минутку в день за его счет - это навеное дозволено.


А  теперь  инфа  для  тех,  кто  понимает  что-то       в
програмировании:  то  есть  я  расскажу что делает троян.
После   запуска   он  прописывает  себя  в  автозагрузку,
проверяет,  если  стоит outlook нужной версии - то потчит
его  так,  что  тот  все пароли от почтовых ящиков выдает
трояну.   Ставит  Хуки  на  клавиатуру  -  чтобы  поймать
некэшируемые  пароли,  и на мышку - чтобы отослать письма
от  других  процессов  (чтобы  перейдти  к ним в адресное
пространство).  Конечно  же  имеется и файл, где временно
хранятся  все  пароли,  которые  смог  наворовать  троян.
Причем  если паролей на 9 кило набралось, то он перестает
работать,  но  не  ликвидируется. Подробнее тока у меня в
исходниках.

ПИСЬМО ОТ ТРОЯНА: приходит в виде строчек, где каждая 
новая строчка - это:
NOT_OE5!   - значит у пользователя нету Аутглюка5, и троя
		он самолично запустил (просто справка)
!__!	     - не обращайте внимание (нужно для работы)
пароль==юзер(название окна)  - перехваченый пароль
pass пароль==(post)user юзвер  - пароль от почтового ящика
*\Rna ...  			      - пароль из PWL файла
ящик==(Sender)!   		- мыло, с которым контак-
			  тировала жертва (читай далее)

ПЕРЕХВАТ МЫЛЬНИЦ. 
 Это новая фишка. В конфигураторе можно указать название
 серваков (двух тока), если жертва будет отсылать на эти сер-
 ваки письма кому-то, то вы узнаете их почтовый ящик (мыло).
 Оно придет вам в письме от трояна. Это нужно, чтобы знать
 кому дальше рассылать трояны (составлять спам-листы ?)
 Короче, просто удобно знать с кем контактировал юзвер. Хотя
 конечно, зная его почтовый пароль - это легко сделать и через
 почтовыу программу (просто забирать почту - не стирая ее с 
 сервера).  Вообще-то эта фишка была сделана, чтобы отсылать
 прямо от жертвы (!!) наш троян (размножать его), но это будет
 доступно тока регистрированным пользователям, а цена регис-
 трации 10 баксов. Очень дорого, но оно того стоит.

ТРОЯН был протестирован мною. Пароли приходили, как от RAR
архивов, так даже и от WebMoney ,не говоря уже о удаленном 
доступе. Улучшена процедура автозагрузки.     Думаю, что все 
остальные версии будут ТОЛЬКО за деньги. Если денег будет
много, то вставлю туда и удаленный доступ, и всякие фишки.