K0bel 0.4 (Backdoor.Win32.Tiny.o)

image

Российский бекдор с эффективной технологией обхода персональных файрваллов.

Российский бекдор с эффективной технологией обхода персональных файрваллов. Серверная часть состоит из одного файла c:\WINDOWS\system32\shdll.dll  Размером 3584 байт. Также создается следующий ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shdll

От автора:

 Этот бэкдор использует очень простую, и в тоже время эффективную
технологию обхода фаерволлов, в большинстве случаев она работает... :)
 В результате компиляции сервера получается exe'шник ~5Кб. Вы можете
 упаковать его (наилучший вариант FSG) - это ваше дело. После запуска
 сервер кидает в систему библиотеку, прописывается в реестре (все эти
 параметры находятся в config.inc), и отключается. После перезагрузки
 backdoor проверяет день недели и время (если вам это нужно), затем
 в зависимости от полученных данных с указанным тайм-аутом пытается
 загрузить список адресов, с адреса указанного в настройках. Как только
 это ему удается, он одновременно начинает подключаться к каждому из
 ip-шников, и при подключении запускает шелл, прописанный в конфиге.  
 Вот, пожалуй, и всё... Исходники доступны, так что вы вправе
 изменить код, но прежде чем выкладывать модификацию, свяжитесь со
 мной. И не забывайте про WARNING! :)