A forum for reverse engineering, OS internals and malware analysis 

Forum for analysis and discussion about malware.
 #17705  by Xylitol
 Mon Jan 14, 2013 8:26 am
Some shells, including WSO, as usual server running wordpress and used for phishings.

C99:
Image
https://www.virustotal.com/file/33b015e ... 358115420/ > 39/46

Unknown:
Image
https://www.virustotal.com/file/a28b3b0 ... 358115392/ > 0/46

WSO 2.5:
Image
https://www.virustotal.com/file/5f67103 ... 358151604/ > 19/46

WSO 2.4:
Image
https://www.virustotal.com/file/69fb1ce ... 358151893/ > 14/46
Attachments
infected
(87.2 KiB) Downloaded 86 times
 #17890  by Xylitol
 Sun Jan 27, 2013 12:46 pm
Attachments
infected
(46.25 KiB) Downloaded 74 times
infected
(134.64 KiB) Downloaded 76 times
infected
(3.95 KiB) Downloaded 70 times
infected
(380.89 KiB) Downloaded 75 times
 #17896  by Xylitol
 Sun Jan 27, 2013 4:21 pm
Attachments
infected
(73.92 KiB) Downloaded 67 times
 #17907  by Xylitol
 Sun Jan 27, 2013 8:55 pm
Minimalist shell
http://www.virustotal.com/file/ec39b140 ... 359320042/
Image

And a php script used by hacker to make them download as .exe
https://www.virustotal.com/file/c989b2f ... 359320083/

how hacker break things: http://www.youtube.com/watch?v=ShhITK7mbDQ
Attachments
infected
(2.88 KiB) Downloaded 61 times
 #18024  by Xylitol
 Mon Feb 04, 2013 10:56 am
Attachments
infected
(14.46 KiB) Downloaded 81 times
infected
(125.36 KiB) Downloaded 72 times
 #18112  by Xylitol
 Sat Feb 09, 2013 10:07 am
Found a changelog of WSO
Code: Select all
Данная утилита предоставляет веб-интерфейс для удаленной работы c операционной системой и ее службами/демонами.
Описание возможностей / особенности:

* Авторизация на cookies
* Информация о сервере
* Файловый менеджер (Копирование, переименование, перемещение, удаление, чмод, тач, создание файлов и папок)
* Просмотр, hexview, редактирование, скачивание, загрузка файлов
* Работа с zip архивами (упаковка, распаковка) + сжатие в tar.gz
* Консоль
* SQL менеджер (MySql, PostgreSql)
* Выполнение PHP кода
* Работа со строками + поиск хеша в онлайн базах
* Биндпорт и бек-коннект (Perl)
* Bruteforce FTP, MySQL, PgSQL
* Поиск файлов, поиск текста в файлах
* Поддержка *nix-like и Windows систем
* Антипоисковик (проверяется User-Agent, если поисковик, тогда возвращается 404 ошибка)
* Можно использовать AJAX
* Небольшой размер. Упакованная версия занимает 22.8 Kb
* Выбор кодировки, в которой работает шелл.

Чейнджлог:
2.5

* Вместо сессий теперь используется cookies
* Исправлен поиск по exploit-db.com
* Убран раздел Safe-mode
* Шелл корректно работает при disabled_functions = scandir
* Теперь можно искать не только текст в файлах, но и просто файлы по маске
* Переработан mysql dump
* Изменен список сервисов в "Search for hash"
* Убраны изображения из phpinfo()
* "Мелкая косметика"
* Исправление других мелких багов


2.4

* добавлена переменная в конфиг, отвечающая за включение/выключения ипользования AJAX по умолчанию
* улучшен раздел Sql
* новый формат дампа (более компактный)
* возможность сохранять дамп в файл (если имя файла не указано, то дамп предлагается сразу скачать)
* gui получше, навигация по таблице теперь удобней
* добавлена возможность включить/отключить подсчет количества записей в таблицах
* Load file выводиться, если у пользователя хватает привилегий
* при неудачном коннекте к бд выводиться ошибку
* добавлена возможность смотреть ошибки в Console (перенаправление stderr в stdout)
* в Sec. Info добавлен вывод модулей Apache'а
* теперь в файловом менеджере при наведении на ссылки (я про ссылки в фс) всплывает подсказка куда ведет ссылка
* можно упаковывать в tar.gz, если доступно выполнение команд.
* можно указывать названия для архивов
* ссылка на поиск сплойта под ядро теперь ведет на exploit-db.com
* попытался выделить место куда в Console вбивать команды более заметно)
* фиксы багов