2madnet: ну вопервых респект за тестирование, и за то что ответственно отнёсся к делу
Сообщение от
madnet
Вердикт:
Безусловно, это отличный бот, правда, еще совсем молодой.
Я думаю, мелкие неприятности авторы быстро исправят.В отличие от большинства троянов и ботов его отличает стабильность в работе
и безпроблемная работа bind и socks, чего так не хватает в других проектах.
Как главному девелоперу, мне очень приятно слышать такие лестные отзывы =)
Во-вторых, бот инжектируется в explorer, что сразу определил Outpost и заблокировал его.
здесь я к сожалению безсилен =(, т.к. бот работает в user mode
>>Маскировка в системе методом перехвата API-функций CreateProcessW,<br> >>RegEnumValue, FindNextFileA, FindNextFileW К сожалению это не работает, и процессы, и записи в реестре видны
Скорее всего опять же из-за Outpost. В системах с версией < 2.5 подобного не наблюдалось
Сообщение от
Че Гевара
1) Работая в NT-подобной системе с ограниченными привилегиями (под юзером): бот сможет запуститься ?
вполне
Сообщение от
Че Гевара
2) Как бедному юзеру избавится от бота ? Т.е. после инжектирования в explorer.exe
снять в процессах explorer.exe, после чего удалить ключи в автозапуске, и файл %system%/svcroot.exe (в зависимости от настроек конкретного екземпляра)
3) Как я понял, если юзер будет работать под другим шеллом (не эксплорером), например под тем же талисманом, то бот опять не запустится ... Это так, просто к слову, ведь 99,9 % используют explorer ...
да, если бот не найдет процесс експлорера, он не запустится, хотя в следующей версии бота подобной фичи =) нет, и бот будет висеть отдельным процессом
еще новой версии:
- поддержка плагинов, в виде загружаемых с сервера .dll
- почти вдвое меньший размер
- полностью переписаный механизм перехвата, API, хотя от прооблем с OUTPOST >= 2.5 это не спасает =((
- сбор сведений о захваченой машине (частота процессора, обём ОЗУ, версия и билд ОС, итп...)
новый релиз в ближайшее время будет выдан тестерам и доступен в продаже