Help - Search - Members - Calendar
Full Version: [rel]Poison Ivy 2
SweRAT > SweRAT > SweRAT regler, nyheter och information
shapeless
2006-06-19 02:21
Äntligen är det dax för public release biggrin.gif

jag pejstar direkt från chasenet-inlägget:
QUOTE
Developer: shapeless
Compiler: Delphi and MASM
Date Released: 18th June 2006
Package Size: 715,529 bytes
Server File Size: 8kb (unpacked) ~4kb (packed).
Compatibility: Windows NT/2000(most features)/XP
Last Version Released: 2.0.0
MD5 Checksum :

PoisonIvy2.0.0.rar = 86f5a79ce4a6d4b1494e9ebee008b20f
PoisonIvy2.exe = d27045acbd0e9796c937ce042c9fabcb

Poison Ivy Remote Administrator is the second generation of software to come from ShapeLeSS at ChaseNET. This Remote Administration Tool has been tested endlessly by our software team and uses the very latest in remote admin technology to give the user a greater amount of control then that seen in previous versions. Have a network of computers on your network that you wish to keep control of? Or maybe you work away from home, but you left an important document on your home computer which you need to retreive? Poison Ivy will sit on you computer and allow you to connect to it from another computer anywhere else in the world that has an internet connection.

Poison Ivy 2 features fwb+ technology that can bypass even the trickiest of Firewalls, and can also be used to bypass DEP settings on your remote computer and enables system administrators to install the software without the need to configure thier hardware/software firewalls in order to get the connection to work. A great help when you own 50+ computers and wish to install on the fly.

Features :

Server Functions:

[*] Space for DNS: 255 bytes. (25 ports).
[*] Space for Socks4 DNS: 255 bytes. (25 ports).
[*] Connect through a socks4 proxy
[*] Encryption: ARC4.
[*] Startup: Active-x.
[*] CopyTo: System32 or Windows.
[*] Melt
[*] Key logger
[*] Persistence

Main :

[*] Share servers
[*] Persistence: Protects the server file, regentries and process.
[*] Docking
[*] "Away system": The connection-icon will change if the mouse hasn't moved between pings.
[*] Info: OS, Edition, Service Pack, Build, Logged on user, Account type, Computer name, Uptime, Processor, CPU-speed, memory. Server settings.
[*] Key logger: Optional colors on Window name, Time stamp and Key name. Search. Save to file.
[*] File manager: Optional Cache system. Browse network drives. New folder, delete folder (deletes the whole tree), rename folder. Upload/download. Download Folder. Rename file, delete file, Secure delete file, execute file. Show thumbnails.
[*] File search: Search for files. Search in files. Include subdirectories. Case sensitive. Fuzzy (= *word*).
[*] Regeditor: Optional Cache system. Create/Modify: Key, reg_sz, reg_binary, reg_dword, reg_multi_sz, reg_expand_sz. Delete key (deletes the whole tree).
[*] Regedit Search: Search for Keys, Values, Data (all types). Include subkeys. Case sensitive. Fuzzy (= *word*).
[*] Windows List: Capture window. Show/hide/Minimize/maximize/close window. Send keys. Shows area of each window + % of the whole screen.
[*] Process Manager: Save to file. Kill process. Shows Threads, CPU-usage, Mem-usage, Create-time, handle count.
[*] Service Manager: Lists all services + drivers. Start/stop/uninstall/install/edit services. Shows Path, Description, Type, Status, Startup type. Save to file.
[*] Password List: MSN (version <7) passwords. Firefox passwords.
[*] Relay: Socks4 server. Socks5 server. Gateway server. Kill connection. Shows UserID, Password (socks5), SourceIP, Dest. IP, Dest. Port, Traffic, Session time.
[*] Active Ports: Show all active ports and processes. Kill process. Kill connection. Resolve DNS.
[*] Packet analyzer: Choose which interface to sniff. More filter-options.
[*] Remote shell capability
[*] Screen capture: Only sends the updated parts of the screen.
[*] Webcam capture
* + More


Download: Poison Ivy 2
mirror: http://forums.chasenet.org//index.php?download=9
ksv
2006-06-19 02:28
Imponerande!

Gott folk, passa på att ta del av den mest avancerade RAT:en till dags dato! smile.gif
hnZ^
2006-06-19 02:42
Detta är verkligen ett imponerande verk av shapeless! Underbara features, stabil (iallafall den knappa timmen jag har testat den nu biggrin.gif ), snygg, smidig osv!
redlime
2006-06-19 02:53
QUOTE(hnZ^ @ 2006-06-19 01:54) *
Detta är verkligen ett imponerande verk av shapeless! Underbara features, stabil (iallafall den knappa timmen jag har testat den nu biggrin.gif ), snygg, smidig osv!


Japp, den ska vara stabil efter allt testande, liten, många features som inte finns i andra RAT's. Ett mästerverk med andra ord!

Grattis shapeless! smile.gif
p0ke
2006-06-19 11:51
oh-wie! biggrin.gif <3<3 finaste releasen på länge
ZazzY
2006-06-19 12:35
Fantastisk nice lavet Shapeless biggrin.gif Brilliant!


Mangler dog stadig mine hax til Prison Break rolleyes.gif
Fr3dd3
2006-06-19 15:47
ok ja e lite nybörjare på de här me portar och sånt... å ja har sökt efter en poison ivy 2 guide men hittar igen. Så ja undrar om någon har en bra guide aller kan förklara lite vad man ska skriva där de står ports?
Codius
2006-06-19 16:41
Grattis shapeless.. eller vad man nu ska säga.. ;D
davve
2006-06-19 16:50
QUOTE(Fr3dd3 @ 2006-06-19 14:59) *
ok ja e lite nybörjare på de här me portar och sånt... å ja har sökt efter en poison ivy 2 guide men hittar igen. Så ja undrar om någon har en bra guide aller kan förklara lite vad man ska skriva där de står ports?

tyckte mig se en pdf i raren, kan ha fel dock...
Fr3dd3
2006-06-19 17:21
haha gud va blind jag är laugh.gif
Codius
2006-06-19 18:05
vart reportar man bugs? biggrin.gif
blind
2006-06-19 18:15
Tveka inte, det här är nog den bästa RATen hittills tror jag, lugnt RAT of the Year 2006 (fast då har vi ju inte sett årets version av Bifrost än). biggrin.gif
stenen
2006-06-19 20:00
Gött shapeless. Ser riktigt fint ut! Tack ska du ha smile.gif
marjinz
2006-06-19 20:15
Mycket fin server ShapeLess!!! Kan inte förstå hur du lyckats få en 8 kb server med så många features.
Är det servern som är skriven in NASM till största del?

Jag har testat över 200 olika RATS och den här slår allt och alla.


Fråga: Har servern har inbyggd rootkit?
blind
2006-06-19 21:04
Inget rootkit än iallafall. Lika bra, det gamla buggade lite.
stenen
2006-06-19 21:07
QUOTE(marjinz @ 2006-06-19 19:27) *
Är det servern som är skriven in NASM till största del?

Det går rykten om att servern är kodad i masm32.
syndig
2006-06-19 21:12
*edit

fick inte igång allt först men nu fungerar det som det ska =)


superbra detta
blind
2006-06-19 21:18
QUOTE(syndig @ 2006-06-19 20:24) *
meh, fått igång den och den connectar perfekt men jag får inte fram några flikar där uppe så jag kan välja vad jag ska göra =(

Jag ser hur det borde se ut på bilderna i pdf-filen men när jag startar programmet finns inte det översta flikarna.

Något jag har missat kanske?

Det kan man säga att du har. wink.gif

Dubbelklicka på servern i listan så får du fram det du söker.
syndig
2006-06-19 21:20
QUOTE(blind @ 2006-06-19 20:30) *
Det kan man säga att du har. wink.gif

Dubbelklicka på servern i listan så får du fram det du söker.


hehe ja jag försökte högerklicka och allt man kan tänka sig UTAN dubbelklicka och så blev jag för ivrig och sökte hjälp innan jag tänkt igenom allt
shapeless
2006-06-19 22:04
Tack för de fina orden grabbar smile.gif Kul att ni gillar den..
Nu ska jag försöka bena ut de buggar folk har haft + lägga till något nytt kanske smile.gif
Har också uppdaterat swerat's front sida.
fajv
2006-06-19 22:51
Verkar jävligt bra, och dessutom UD i nod32 än så länge smile.gif
redlime
2006-06-19 23:34
QUOTE(fajv @ 2006-06-19 22:03) *
Verkar jävligt bra, och dessutom UD i nod32 än så länge smile.gif


Det är den mest skannade filen på virustotal just nu, så ha inte för höga förhoppningar wink.gif
fajv
2006-06-20 00:42
Äsch, då måste man börja krångla med Mr.UD igen...
Vems IP ska man skriva in på DNS/Port i buildern? Sin egen eller "användarens"?
marjinz
2006-06-20 14:19
QUOTE(fajv @ 2006-06-19 20:54) *
Äsch, då måste man börja krångla med Mr.UD igen...
Vems IP ska man skriva in på DNS/Port i buildern? Sin egen eller "användarens"?



Krångla? Den är ju redan UD (ett tag ialf), så passa på nu innan den börjar bli upptäckt.
Du skriver in din egen IP/DNS
jezper
2006-06-20 22:46
Jälka najs faktiskt. Har tänkt på en sak, kan man inte göra så att man har en lista med alla som är infekterade och sedan kan man skicka kommandon till alla de datorerna. Altså att jag skriver ett kommando så utför alla datorerna som är infekterade det. Skulle vara riktigt nice om det gick, men tack för denna laugh.gif
marjinz
2006-06-21 13:09
Fantastisk RAT! Bara en sak som skulle kunna förbättra den lite. Startup = Active X.
Active X starupen fungerar inte på gästkonton.

Skulle vara lite bättre om det fanns bredare valmöjligheter av startup metoder. Själv tycker jag att den här är bäst:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\policies\explorer\run\

PS: Jag är petig biggrin.gif
Codius
2006-06-21 15:11
marjinz: att använda LOCAL_MACHINE(Startup) betyder ju att vilket "protection" program som helst varnar och frågar om den verkligen ska ha tillåtelse för detta..
marjinz
2006-06-21 17:58
Sant! Men jag menade att det borde vara en valmöjlighet. Tex om man vill installera servern på en hemdator med gästkonton.
iller
2006-06-21 18:07
Nice!

Har testat den nu, och kan bara säga att detta måste vara bästa raten jag någonsin använt! Tummen upp!

Den har webcamcapture, vilket kan vara riktigt roligt när man ploppar upp lemonparty biggrin.gif

Om du ska lägga till en till funktion, vill jag tippsa om microphonecapture biggrin.gif


Men Shapeless, du ska ha all cred du kan få, forsätt såhär biggrin.gif
shapeless
2006-06-21 18:18
QUOTE(marjinz @ 2006-06-21 12:21) *
Fantastisk RAT! Bara en sak som skulle kunna förbättra den lite. Startup = Active X.
Active X starupen fungerar inte på gästkonton.

Skulle vara lite bättre om det fanns bredare valmöjligheter av startup metoder. Själv tycker jag att den här är bäst:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\policies\explorer\run\

PS: Jag är petig biggrin.gif

Njae, man kommer inte åt Local_machine alls när man kör på ett restricted account. Man måste lägga i hkcu. Men du har rätt, jag borde gjort något backupsystem som jag hade i pi1 (som också bifrost har).
marjinz
2006-06-21 19:15
På tal om klienten...
Är version 2.0 en fortsättning på 1.0 projektet, med tanke på att klienterna i både 1.0 och 2.0 är skrivna i Deplhi?

Servern: Persictense - funktionen älskar jag, servern injekteras i default browsern. Avslutas processen så startas den igen, irriterande kul biggrin.gif. Men det tar ju så klart stopp när explorer.exe avslutas.

Tänkte då passa på fråga: explorer.exe är ju ingen critical processe, så vad händer om man gör som dig, fast istället för explorer.exe så väljer man winlogon.exe eller svchost.exe. Är det möjligt?
shapeless
2006-06-21 19:23
QUOTE(marjinz @ 2006-06-21 18:27) *
På tal om klienten...
Är version 2.0 en fortsättning på 1.0 projektet, med tanke på att klienterna i både 1.0 och 2.0 är skrivna i Deplhi?

Servern: Persictense - funktionen älskar jag, servern injekteras i default browsern. Avslutas processen så startas den igen, irriterande kul biggrin.gif. Men det tar ju så klart stopp när explorer.exe avslutas.

Tänkte då passa på fråga: explorer.exe är ju ingen critical processe, så vad händer om man gör som dig, fast istället för explorer.exe så väljer man winlogon.exe eller svchost.exe. Är det möjligt?

Jo, det är ju såklart en fortsättning, bara att jag valde att skriva om det mesta..

Ang. persist: hela tanken från början var att injicera i winlogon. Men detta blev lite problematiskt då den processen som winlogon skapar får samma privilegier som winlogon, dvs System. Detta är ju fint iof men det sätter käppar i hjulet för vissa funktioner, tex lista fönster, screencap, keylogger, etc. Så jag gick på explorer.exe istället.. kanske ändrar det senare (går ju att lösa genom att injicera kod från winlogon-> explorer när man vill starta ny process).
Caecigenus
2006-06-22 05:47
Gratulerar till releasen Shapeless! Äntligen är hon i det fria! biggrin.gif
Som alltid: Keep the good stuff comin'
forre
2006-06-22 15:21
testade PI2 på min egen dator men jag får inte password list att fungera. Jag högerclickar och trycker på refresh men inga passwords kommer upp. Vad är fel?
redlime
2006-06-22 16:08
QUOTE(forre @ 2006-06-22 14:33) *
testade PI2 på min egen dator men jag får inte password list att fungera. Jag högerclickar och trycker på refresh men inga passwords kommer upp. Vad är fel?


Kör du Internet Explorer?
För passwordlisten stjäler bara Firefox lösenord och gamla MSN Login-uppgifter.

Shapeless,
Varför har du inte Protected Storage snokare för?
forre
2006-06-22 19:45
japp kör explorer, så det är nog det
Fr3dd3
2006-06-23 16:17
Riktigt bra rat laugh.gif biggrin.gif
marjinz
2006-06-25 17:24
Efter att servern skapats... Blir inställningarna läsbara i t.ex notepad.
Password, server ID, IP/DNS och annat är enkelt läsbart, så tänk på det innan om ni tänkt skicka servern.

Kryptera servern först;)

PS: ShapleLess, forfarnade bästa RAT:en. Server inställnignarna behövde du inte kryptera, för meningen kanske var att man själv skulle kryptera/packa servern, eller? wink.gif
redlime
2006-06-25 17:44
Jo jag har tjatat på honom att slänga in en simpel xor-kryptering, men han ville inte.. Men problemet är ju löst genom att som du säger, kryptera den eller packa den.
marjinz
2006-06-27 13:28
Enkel Poison Ivy 2 tutorial för nybörjare:

hämta här: http://files.filefront.com/PI2zip/;5195412;;/fileinfo.html
iller
2006-06-29 18:16
För den som vill slippa den långa väntetiden på virustotal.com:

Antivirus Version Update Result
AntiVir 6.35.0.19 06.29.2006 BDS/PoisonIvy.20.A
Authentium 4.93.8 06.29.2006 no virus found
Avast 4.7.844.0 06.28.2006 no virus found
AVG 386 06.28.2006 no virus found
BitDefender 7.2 06.29.2006 no virus found
CAT-QuickHeal 8.00 06.29.2006 no virus found
ClamAV devel-20060426 06.29.2006 no virus found
DrWeb 4.33 06.29.2006 RAT.DownLoader.10622
eTrust-InoculateIT 23.72.52 06.29.2006 no virus found
eTrust-Vet 12.6.2282 06.29.2006 no virus found
Ewido 3.5 06.29.2006 no virus found
Fortinet 2.77.0.0 06.29.2006 suspicious
F-Prot 3.16f 06.29.2006 no virus found
Ikarus 0.2.65.0 06.29.2006 no virus found
Kaspersky 4.0.2.24 06.29.2006 Backdoor.Win32.Poison.a
McAfee 4795 06.28.2006 no virus found
Microsoft 1.1481 06.29.2006 no virus found
NOD32v2 1.1632 06.29.2006 Win32/RemoteAdmin.PoisonIvy.20
Norman 5.90.21 06.29.2006 no virus found
Panda 9.0.0.4 06.29.2006 no virus found
Sophos 4.07.0 06.29.2006 no virus found
Symantec 8.0 06.29.2006 no virus found
TheHacker 5.9.8.166 06.28.2006 no virus found
UNA 1.83 06.28.2006 no virus found
VBA32 3.11.0 06.29.2006 RAT.PWS.Lineage
VirusBuster 4.3.7:9 06.29.2006 no virus found


Kasp. och Nod32 hittar. Men huvudsaken är att inte norton hittar raten biggrin.gif
fschwa
2006-06-29 20:55
Kanon RAT!


QUOTE(iller @ 2006-06-29 16:28) *
För den som vill slippa den långa väntetiden på virustotal.com:

Antivirus Version Update Result
AntiVir 6.35.0.19 06.29.2006 BDS/PoisonIvy.20.A
Authentium 4.93.8 06.29.2006 no virus found
Avast 4.7.844.0 06.28.2006 no virus found
AVG 386 06.28.2006 no virus found

...

Sophos 4.07.0 06.29.2006 no virus found
Symantec 8.0 06.29.2006 no virus found
TheHacker 5.9.8.166 06.28.2006 no virus found
UNA 1.83 06.28.2006 no virus found
VBA32 3.11.0 06.29.2006 RAT.PWS.Lineage
VirusBuster 4.3.7:9 06.29.2006 no virus found
Kasp. och Nod32 hittar. Men huvudsaken är att inte norton hittar raten biggrin.gif



Tyvärr så hittade mitt Norton Antivirus 2002 Poison Ivy 2.0 nyss...
mNus
2006-07-01 14:18
Kolla vad jag lyckades med min PI2 sever biggrin.gif

AntiVir 6.35.0.19 07.01.2006 no virus found
Authentium 4.93.8 06.30.2006 no virus found
Avast 4.7.844.0 06.29.2006 no virus found
AVG 386 06.30.2006 no virus found
BitDefender 7.2 07.01.2006 no virus found
CAT-QuickHeal 8.00 07.01.2006 no virus found
ClamAV devel-20060426 07.01.2006 no virus found
DrWeb 4.33 06.30.2006 RAT.DownLoader.10622 <----------------
eTrust-InoculateIT 23.72.55 07.01.2006 no virus found
eTrust-Vet 12.6.2283 06.30.2006 no virus found
Ewido 3.5 07.01.2006 no virus found
Fortinet 2.77.0.0 07.01.2006 no virus found
F-Prot 3.16f 06.30.2006 no virus found
Ikarus 0.2.65.0 06.30.2006 no virus found
Kaspersky 4.0.2.24 07.01.2006 no virus found
McAfee 4797 06.30.2006 no virus found
Microsoft 1.1481 07.01.2006 no virus found
NOD32v2 1.1635 06.30.2006 no virus found
Norman 5.90.21 06.30.2006 no virus found
Panda 9.0.0.4 06.30.2006 Suspicious file <-------------------------
Sophos 4.07.0 06.30.2006 no virus found
Symantec 8.0 07.01.2006 no virus found
TheHacker 5.9.8.167 06.30.2006 no virus found
UNA 1.83 06.30.2006 no virus found
VBA32 3.11.0 06.30.2006 no virus found
VirusBuster 4.3.7:9 06.30.2006 no virus found
blurp
2006-07-04 19:24
vad använde du billigun?
mNus
2006-07-05 11:22
QUOTE(blurp @ 2006-07-04 15:36) *
vad använde du billigun?


crypters, binders och hexedit
blurp
2006-07-05 20:08
Menade mera vilka crypter&binder(s) tongue.gif
mNus
2006-07-06 17:44
QUOTE(blurp @ 2006-07-05 16:20) *
Menade mera vilka crypter&binder(s) tongue.gif


ja du wink.gif
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2012 Invision Power Services, Inc.