Dags för ännu en version, 2.1.2. Och denna gång är det också en ny server-version (=temporärt UD ).

Changelog:


Download: http://www.poisonivy-rat.com/
(kommer upploada imorrn på swerat, måste sova nu).

Vackert shapie \o/
Tankar, men hinner inte testa nu, testar imorgon Ser fint ut.

Åh fan, snyggt
en fråga bara, är det client eller server som kollar efter updates?

Såja!

ah, danke danke

Klienten. Ni med brandväggar kanske tror att klienten är backdoored eller något, men det är den INTE
Den ansluter till poisonivy-rat.com och laddar ner endast 4 bytes. Så ni kan vara lugna
(går att inaktivera i inställningarna).

Vilka grejor, snyggt gjort!

Wieee!
4 B porr für alle!

Ser stabilt ut med NT/LM-hashes featuren.
Har du någon "net"-bruteforcening på g också?!

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.13.2006 no virus found
BitDefender 7.2 11.13.2006 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 suspicious
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4894 11.13.2006 no virus found
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1863 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 W32/PoisonIvy.gen9
Panda 9.0.0.4 11.13.2006 no virus found
Sophos 4.11.0 11.13.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.13.2006 no virus found

Norman var snabb ....


2.1.2 funkar stabilt.

Så härligt! Längtat !! Bra jobbat shapeless

Om jag nu ska klaga efter 24h användning så verkar den köra 24 bits på screenshotsen igen som i 2.0 segt att måsta byta varje gång. Sen blir "användarrutan" större än skärmen när man inte maximerar så man inte ser överföringshastigheten. Även detta problemet fanns i 2.0

Alltid trevligt med en ny version!

Men jag fick detta fel då jag började ladda hem några filer:

http://thecopy.mine.nu/dump/pi212err.JPG

Det där är en känd bugg. Den uppstår när du börjar laddar ner saker utan att ha visat Data transfern tidigare, så när du väl visar den så får du errormeddelanden.. Har inte kommit på varför egentligen. Men en lösning är att visa data transfer innan man börjar ladda ner (behöver inte ha den synlig, bara så att den HAR varit synlig minst 1 gång innan). Konstig bugg :\

Complete scanning result of "wincon.exe" (server name) , received in VirusTotal at 11.17.2006, 04:41:21 (CET). www.virustotal.com
Antivirus Version Update Result

AntiVir 7.2.0.39 11.16.2006 no virus found
Authentium 4.93.8 11.17.2006 no virus found
Avast 4.7.892.0 11.15.2006 no virus found
AVG 386 11.16.2006 no virus found
BitDefender 7.2 11.17.2006 no virus found
CAT-QuickHeal 8.00 11.16.2006 no virus found
ClamAV devel-20060426 11.16.2006 no virus found
DrWeb 4.33 11.16.2006 no virus found
eTrust-InoculateIT 23.73.58 11.17.2006 no virus found
eTrust-Vet 30.3.3195 11.16.2006 no virus found
Ewido 4.0 11.16.2006 no virus found
Fortinet 2.82.0.0 11.16.2006 no virus found
F-Prot 3.16f 11.16.2006 no virus found
F-Prot4 4.2.1.29 11.17.2006 no virus found
Ikarus 0.2.65.0 11.16.2006 no virus found
Kaspersky 4.0.2.24 11.17.2006 no virus found
McAfee 4897 11.16.2006 no virus found
Microsoft 1.1609 11.16.2006 no virus found
NOD32v2 1869 11.16.2006 no virus found
Norman 5.80.02 11.16.2006 no virus found
Panda 9.0.0.4 11.16.2006 no virus found
Prevx1 V2 11.17.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.120 11.17.2006 no virus found
UNA 1.83 11.16.2006 no virus found
VBA32 3.11.1 11.16.2006 no virus found
VirusBuster 4.3.15:9 11.16.2006 no virus found


BUT DETECTED BY MY OWN AVG FREE EDITION " RAT Horse Dropper.Generic.HKL". ??? Can anybody explain this?

might because your own AV is more updated then virustotals

Härligt

Hur kommer auto update funktionen fungera för oss som köpt en UD version?

Det är ingen auto-update, den säger bara till om det finns en ny version att ladda hem (men då kontaktar du mig istället ).

Is it detected in scantime or in runtime?

Underbart Shapeless! Helt jäkla excellent... Saknar dock fortfarande JPG-komprimering och autoskalningsfunktion under "Screen capture", med dessa funktioner (eller endast jpg-komprimeringen...) skulle denna RAT vara helt felfri! =)

Men den inbyggda komprimeringen som servern använder, hur pass komprimerar den bitmapen som skickas?

Beror på hur pass mkt färger det är. Men en mkt enfärgad bild (tex när man bläddrar bland mappar, mestadels vitt) så blir väl det ~150-200 kb? (kommer inte ihåg, borde ligga där nånstanns).. Sen kan man ju sänka ännu mer med bits/storlek.

Vad är det för teknik du använder nu?

RtlCompressBuffer, länk: http://undocumented.ntinternals.net/UserMo...ressBuffer.html =)

Eller så skulle man kunna justera bildkvaliten manuellt.
Undrar hur det skulle bli om man kunde köra med svart-vitt

Arf....I cancel a download, and the process into which was injected PI are crasher...
And now no notif...

Escuse for my english...google translator

Norman har ju heuristic kanske därför den heter "GenX"

Norman har tillomed Sandbox emulering..
Grymt lätt att bypassa dock.

Jag undrar vad det är förskillnad på den här PI versionen och den UD PI man köper från dig shapeless?
För båda versioner verkar vara bra UD.. så är det nödvändigt att köpa en version av dig när det finns denna versionen?

Denna kommer ju förr eller senare att bli detected.. en private kommer inte bli det.