Backdoor N2 v.1.0. [BloodKnife]
 

Вот, наконец то появилось время дописать. Итак, описание:

1)Есть какой-никакой обход фаеров(переписаный _dkcs_ddos_bot`овский).
2)SDT restore(обход проактивок).
3)Инжектом опять не получилось.
4)Копируется в системную диру, пишется в автозагрузку.

Функции:
1)Отправка месаги юзеру.
2)просмотр содержимого файла.
3)Download && Execute.
4)Открыть\закрыть cd-rom.
5)Разные игры с панелькой винды, нажатие кнопки пуск.
6)Выполнение команд в cmd.
7)UDP Flood(!).
8)Выключение виря.


Правда вес подкачал - 60кб. Управляется через клиент. Ну, думаю такому монстру нужно дать имя. Назвал BloodKnife. Думаю сделать web-админку. Но это в лучше случае осенью. Ну и самое главное - с исходниками!

Скачать:
http://lordofring.tushino.com/BloodKnife_v1.0.rar
http://softz.ifolder.ru/2420331
http://http://rapidshare.com/files/38282705/BloodKnife_v1.0.rar.html



[update]
Версия 1.4
+Добавлен отстук по стату. IP заражённых компов пишется в лог.
http://lordofring.tushino.com/BloodKnife.v.1.4.rar - c исходниками
________________________
Версия 1.3
+bindshell на 31337 порту
+вес 16кб.
+инжект в svchost.exe
+меньше палева
+функции все теже, клиент юзать тотже.
http://lordofring.tushino.com/BK.v.1.3.rar

Палиться твой вирус нодом при скачивании.
Кстати, тебе удалось запустить dkcs_ddos_bot ??

Удавалось. Но работает он криво. Инжект не пашет.В некоторые функции вызываю переполнение буфера. Биндшелл пашет, но тяжело и там в коде goto .illusion_bot в 100 раз лучше.

Ky3bMu4 а можно кинуть на virustotal ?

Делайте что хотите. Если запалите(каспером пока вроде не палится ), но вам же хуже.;)

Списбо тебе Ky3bMu4 жду новые версии!!!

сможешь исправить?

W32/Backdoor.XXS а что это значит? типа XSS'ка на удаленном компе? о_О

Это версия бекдора :\ антивирусники так его обозначили

Ну вот, уже версия 1.1
+Добавлен bindshell на 31337`атом порту(через telnet).
+Вес сокращён до 56кб.
Клиент юзать тот же.

Скачать:
http://lordofring.tushino.com/BK1.1.rar

Молодец чувак=)

Много кода я нашел из dkcs бота=\

Sdt - не мой , обход фаера(там где шелкод) , UDP flood.

Так удобнее!Просто на заметку!

Ky3bMu4 надо бы исправить а?

А вот и версия 1.2
+Меньше палева.
+Я таки сделал инжект в svchost!

http://lordofring.tushino.com/BKv.1.2.rar - вместе с исходниками новых функций.

P.S.
я смотрю народу вирь не понравился...[хнык-хнык]

Попробуй даработать а ту очень простой и некрасивый!

Исправляй!

vii

Рас тебе надо то и исправляй сам благо исходники есть.

А Ky3bMu4 может щяс другим занят. И если он перестанет палится то это на неделю максимум!

Версия 1.3
+вес сокращён до 16кб.
http://lordofring.tushino.com/BK.v.1.3.rar

Ky3bMu4, спалился DrWeb - DLOADER.Trojan ((

Вы меньше проверьте на VIRUSTOTAL_е, и все будет ништьяк !!!!
блин, ЗАПОНМИТЕ - когда вы что-то проверите, там проверяется роботом, а потом если что-то не то, или какой то антивир косяк показал, то тот сигнатура уже опубликуется и все антивирусы обнавляются (через ихний лабораториях).
и по этому через день или два - даже самый конченный антивирус будет палить !
Просто если проверяйте - потом обязательно меняйте сигнатуру и все.

Ky3bMu4 блин у меня похоже непошел твой трой!(версия 1.2 была!)
Хотел на себе испытать и бац комп перезагрузился!
У меня win xp sp2!

может кто нить обьяснит как он работает ?

Еще вопросы есть? А КАК именно он работает, смотри в исходниках.

Версия 1.4
+Добавлен отстук по стату. IP заражённых компов пишется в лог.
http://lordofring.tushino.com/BloodKnife.v.1.4.rar - c исходниками

Not Found
The requested URL /public_html/BloodKnife.v.1.4.rar was not found on this server.

Apache/1.3.31 Server at lordofring.tushino.com Port 80

public_html/ в адресе убери иполучишь что ишешь.

+Добавлен конфигуратор.

http://rapidshare.com/files/41581223/configur_bloodrnife.rar.html - исходники конфигуратора там же.

Сделай пожалуйста чтобы можно было делать скрины экрана жертвы.

Немного переделал...
Думаю разницу заметите как только скачаете...

_http://www.rapidshare.ru/338203
_http://slil.ru/24608784
_http://webfile.ru/1463691

Объясни пожалуйста как запустить этот файл? Он в формате .safe

Mosvit ... убери .safe =\

Убрал, что дальше? Я включил его, появилось какое-то окно с 3-ми полями, нажал Build появился файл Build ( я так понял это сервер) , а где клиент?

Кузьмич, перестань хулиганить!!! Отнимите у него ноутбук!

Свяжитесь со мной пожалуйста по аське по поводу этого бэкдора, что-то я ни как не могу с ним разобраться. (icq 4----0----0---7---0---4---7---0---3)