Выяснилось (да, толькочто) что бот просто запускает CreateRemoteThread в explorer.exe (очень старый метод). Это палит outpost. Но самое ужасное что все это работает на пользовательском интерфейсе уровня приложения (как у микрософт это называется то?). Тоесть, открытые порту видны в любых фаерволах, никаких обходов установкой фильтров на устройства TCP, UDP нету, а ICMP echo (7) вообще блокируется.

Хотя написано очень аккуратно, для user mode ф-ии довольно продвинутые... Во всяком случае, хотябы процесс не видно. Автор молодца... А вот ICMP флуд, так бы и сказал, выдран из stream3 (3apa3a flooder) )))))

ой все это уже описал madnet, сорри не читал его пост до конца((