K0bel 0.4 (Backdoor.Win32.Tiny.o)
K0bel 0.4 (Backdoor.Win32.Tiny.o)
Alexander Antipov
Российский бекдор с эффективной технологией обхода персональных файрваллов.
Российский бекдор с эффективной технологией обхода персональных файрваллов. Серверная часть состоит из одного файла c:\WINDOWS\system32\shdll.dll Размером 3584 байт. Также создается следующий ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shdll
От автора:
Этот бэкдор использует очень простую, и в тоже время эффективную
технологию обхода фаерволлов, в большинстве случаев она работает... :)
В результате компиляции сервера получается exe'шник ~5Кб. Вы можете
упаковать его (наилучший вариант FSG) - это ваше дело. После запуска
сервер кидает в систему библиотеку, прописывается в реестре (все эти
параметры находятся в config.inc), и отключается. После перезагрузки
backdoor проверяет день недели и время (если вам это нужно), затем
в зависимости от полученных данных с указанным тайм-аутом пытается
загрузить список адресов, с адреса указанного в настройках. Как только
это ему удается, он одновременно начинает подключаться к каждому из
ip-шников, и при подключении запускает шелл, прописанный в конфиге.
Вот, пожалуй, и всё... Исходники доступны, так что вы вправе
изменить код, но прежде чем выкладывать модификацию, свяжитесь со
мной. И не забывайте про WARNING! :)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shdll
От автора:
Этот бэкдор использует очень простую, и в тоже время эффективную
технологию обхода фаерволлов, в большинстве случаев она работает... :)
В результате компиляции сервера получается exe'шник ~5Кб. Вы можете
упаковать его (наилучший вариант FSG) - это ваше дело. После запуска
сервер кидает в систему библиотеку, прописывается в реестре (все эти
параметры находятся в config.inc), и отключается. После перезагрузки
backdoor проверяет день недели и время (если вам это нужно), затем
в зависимости от полученных данных с указанным тайм-аутом пытается
загрузить список адресов, с адреса указанного в настройках. Как только
это ему удается, он одновременно начинает подключаться к каждому из
ip-шников, и при подключении запускает шелл, прописанный в конфиге.
Вот, пожалуй, и всё... Исходники доступны, так что вы вправе
изменить код, но прежде чем выкладывать модификацию, свяжитесь со
мной. И не забывайте про WARNING! :)