Недавно прославившийся супермегапранкер Lider в последнее время стал себя очень плохо вести, отписываясь на ИК от ников хороших людей. Разумеется, отлупить ремнём по его маленькой жирной заднице пранкеры не могли чисто дистанционно (Виталик живёт в Риге и чувствует себя безнаказанно)... Но за дело взялись хакеры из Тынды. Вот отчёт одного из них:

Начнем с того что наш уважаемый Карапуз известный как Lider aka Циганко Виталий Игоревич с пранки биз запустил у себя «крякер интернета», как он это сделал – в подробности вдаваться не будем.
В итоге на свой компьютер он получил последнюю версию бекдора FBSNP и веселуха началась. Апирация шла в 3 этапа, о которых я вам сейчас поведаю.

Этап № 1, для начала получили кое какие сведения о его компьютере:
Имя компа: MINIMONSTER Имя пользователя: Sasha, а логических дисков у него насчитывалось 4 штуки:
Диск C: Файловая Система: NTFS Имя Тома: WinXP Макс. Длина файла: 255 Флаг: 459007
Диск D: Файловая Система: FAT32 Имя Тома: DATA3 Макс. Длина файла: 255 Флаг: 6
Диск E: Файловая Система: NTFS Имя Тома: DATA1 Макс. Длина файла: 255 Флаг: 459007
Диск F: Файловая Система: FAT32 Имя Тома: DATA2 Макс. Длина файла: 255 Флаг: 6
В процессах крутился антивирус Dr.Web который никаких преград не ставил.
77.93.30.109 - его постоянный статистический IP, и опять таки за NAT, нам многое обломалось.

Сначала получили все пароли с компа, их как ни странно было немного.
Мыло – одно на всю семейку: aleksandr1993@inbox.lv Пароль: 7341565
Кстати этот же пароль 7341565 используется лидером на все ресурсы.
aleksandr1993@inbox.lv;vitalik140
его АКК вконтакте ;) Как видим один на двоих… Да, у лидера есть братик Саша, но об этом ниже.

Теперь надо было получить логи ICQ, Виталик пользуется правильным клиентом, ICQ 6,5, из за чего возникли кое какие проблемы с конвертацией логов.
А вот и все его аккаунты:
C:\Documents and Settings\Sasha\Application Data\ICQ\1275757575
C:\Documents and Settings\Sasha\Application Data\ICQ\2146730949
C:\Documents and Settings\Sasha\Application Data\ICQ\378170938
C:\Documents and Settings\Sasha\Application Data\ICQ\473603623
C:\Documents and Settings\Sasha\Application Data\ICQ\473603628
C:\Documents and Settings\Sasha\Application Data\ICQ\540577
C:\Documents and Settings\Sasha\Application Data\ICQ\562933522
C:\Documents and Settings\Sasha\Application Data\ICQ\Application.mdb
C:\Documents and Settings\Sasha\Application Data\ICQ\asdasd
C:\Documents and Settings\Sasha\Application Data\ICQ\BART
C:\Documents and Settings\Sasha\Application Data\ICQ\Garold12
C:\Documents and Settings\Sasha\Application Data\ICQ\icq.dat
C:\Documents and Settings\Sasha\Application Data\ICQ\ppppppppp
C:\Documents and Settings\Sasha\Application Data\ICQ\privet
C:\Documents and Settings\Sasha\Application Data\ICQ\sert9
C:\Documents and Settings\Sasha\Application Data\ICQ\Shaxid
C:\Documents and Settings\Sasha\Application Data\ICQ\vintgarold
C:\Documents and Settings\Sasha\Application Data\ICQ\vital
C:\Documents and Settings\Sasha\Application Data\ICQ\Vitalik1209
C:\Documents and Settings\Sasha\Application Data\ICQ\Vitalik12890
C:\Documents and Settings\Sasha\Application Data\ICQ\vitalik140
C:\Documents and Settings\Sasha\Application Data\ICQ\Vitalik150
C:\Documents and Settings\Sasha\Application Data\ICQ\y6tyyy

Присутствие Shaxid`a порадовало, наверное, пытался сбрутить пароль, и судя по созданному профилю брут был вручную 

Из валидных аккаунтов тут только:
C:\Documents and Settings\Sasha\Application Data\ICQ\562933522
C:\Documents and Settings\Sasha\Application Data\ICQ\473603628

473603628 – настоящая ася лидера. 562933522 – ася с которой он косит под другого пранкера.
Вся хистори была успешна отпарсенна в формат QIP 2005, то есть простые текстовые файлы .txt
Особенно красивая переписка шла у лидера с matrix_boy, лишнего говорить не буду, почитаете сами. Архив с логами обеих ась выкладываю ниже.


Теперь содержимое…
В папке C:\d my vitalik мы обнаружили пару пранков лидера, но главное 2 файла с номерами… один файл с базой звёзд, другой файл с номерами обычных жертв.
C:\d my vitalik\baza_zvezd.xls
C:\d my vitalik\Телефоны жертв.txt
Мне такой расклад не понравился, и я удалил у него эти 2 файла. Как позже выяснялось больше номеров нигде не было.

Наиболее интересной оказалась директория: C:\Foto, тут оказывается у Виталика семейный фотоальбом, весом 1,5 гигабайта с 2003 года по 2009 год это раз, во вторых там очень много семейного видео!!!
Именно из этих видео мы узнаём:
1) У Виталика есть братик Саша.
2) Мощный накачанный авторитетный папа Игорь.
3) Мама Катя работающая в парикмаХЕРской, ещё обладающая кое чем, о чём я умолчу.
4) Виталик на данный момент учится в 6А

Фотки там конечно есть убойные, чего стоит только эта фотка:
http://img5.imageshost.ru/imgs/090320/5c7356df1566...a44d26d73019757057d0e4608e.jpg
Я заархивировал их разбив на архивы, получилось всего 150 архивов по 10 метров каждый. Благодаря огромной скорости отдачи у лидера всё это добро скачалось за 2 дня.

Далее включаем функцию поиска и ищем по маске, на диске D я нашёл очень интересные файлы:
D:\Documents and Settings\Sasha\Desktop\My stuff!\Book1.xls
D:\Documents and Settings\Sasha\Desktop\My stuff!\dolgi.xls
D:\Documents and Settings\Sasha\Desktop\My stuff!\telefoni.xls

Содержимое файла tefoni.xls:
Erik dom. 7*****2
Erik rechka 7*****6
Dima Kmita 7*****4
Vladik 7*****1
Elvis 7*****7
Sanya March 7*****9
Archa 7*****7
Nikita Sht 7*****5
Seriy dvor 7*****6
Yurik tren. 7*****0
MAMA mob. 6*****6
Papa mob. 6*****2
Полные номера публике знать необязательно.
Это мобильные телефоны мамы Кати и папы Игоря, а остальные телефоны, это друзья виталика.

Файл dolgi.xls содержит в себе то, что кто то задолжал лидеру:
dima
vladik
erik CD LKI, CD Aquanox 2 CD Age of Mythology
Ediku
Archa
Ruslik (erika) VSE MOI RW, WORMS 3D

А так-же расписание уроков Виталика:

Понедельник Вторник
1.Русский язык
2.Математика 1.Русский язык
3.Латышский язык 2.Рисование
4.Музыка 3.Русский язык
5. Спорт 4.Математика
5.Латышский язык


Среда Четверг
1.Математика 1.Труд
2.Русский язык 2.Латышский язык
3.Спорт 3.Русский язык
4.Русский язык 4.Природовединие


Пятница
1.Классный час
2.Русский язык
3.Математика
4.Латышский язык
5.Русский язык

1. 8.30-9.10
2.9.15-9.55
3.10.10-10.50
4.11.05-11.45
5.12.00-12.40
6.12.55-13.35
7.13.45-14.25
8.14.30-15.10
9.15.15-15.55

На этом первый этап сбора информации закончен.


Этап № 2, Виталику так-же на компьютер была загружена через имеющийся бекдор другая шпионская программа, разработанная нами под руководством Вольнова.
Эта программа – микрофонный шпион. Весь звук с микрофона постоянно пишется в файлы, таким образом есть возможность послушать бытовую жизнь лидера.
Ну естественно это не ФСБшный жучёк, и качество звука оставляет желать лучшего.
Сначала файлы создавались каждые 10 минут, размер такого файла был 600 килобайт, из расчёта сжатия WMA в 16 KHz, одна секунда = один килобайт.
Особого результата не было, тогда чтобы было поменьше файлов я увеличил время записи с 10 минут до 30 минут.
Всё-таки пару корочных моментов есть, особенно когда брат Саша начинает задирать Виталика. Ну и диалоги Мамы с Папой…
Так-же много интересной инфы проскакивает, чем лидер занимается, под какими никами и на каких сайтах сидит. И в одном разговоре со своим дружком и была спалена его фамилия.

Этап № 3, мало кому будет интересно, но в своих целях виталеку был загружен разного рода софт, спаммеры ICQ, E-Mail, чекер картона, пара брутфорсеров, наша анонимность в этом случае была по максимуму ;)
Одно обламывало… отсутствие внешнего IP адреса для более масштабных опираций…

Ну и наконец, настало время звонить родителям, и уточнять что к чему.
С самого начала родители начали отмазываться, мол никакого виталика не знают и т.д…

Вот первые звонки родителям:
Звонок номер 1: http://www.sendspace.com/file/3vxy2s
Звонок номер 2: http://www.sendspace.com/file/1rndli
Папа лидера против самого лидера: http://www.sendspace.com/file/g9pu9x

И наконец Мамаша полностью во всём созналась:
http://www.sendspace.com/file/ora049

Ну а дальше пошла жесть от папаши:
http://www.sendspace.com/file/f3okdj

И звонок от Дяди Миллера:
http://freenet-homepage.de/miller-prank-group/mamalidera.mp3

На записи с микрофонного жучка был сделан креатив:
http://www.sendspace.com/file/c8pway





Файлы с компа лидера:
1) ICQ логи:
2) Скриншоты экрана: http://www.sendspace.com/file/h0xx8gscreens.rar.html
3) Семейный фотоальбом на 1,5 гигабайта(с 2003 по 2009 год):
Первая часть:
http://narod.ru/disk/7327755000/%D0%9B%D0%B8%D0%B4...D1%81%D1%82%D1%8C%201.rar.html
Вторая часть:
http://narod.ru/disk/7329497000/%D0%9B%D0%B8%D0%B4%D0%B5%D1%80%202.rar.html
4) Звуковые логи с микрофона в квартире: http://www.sendspace.com/file/0mnxxh

После этого все вирусы с компа лидера были полностью удалены, мы получили то, что нам надо, лишний раз палить бекдора не имеет смысла, удалялся он по алгоритму известной программы Eraser, то есть после удаления всё несколько раз перезаписывается, и восстановлению не подлежит.