Сегодня мы продолжим с вами рассматривать рынок андэграунда.
В моих руках побывал новый продукт. На этот раз более серьезный и интересный.
Начнем с того, что в мое поле зрения попала информация о продаже нового лоадера.
Описание товара:
Связался с автором, получил продукт.
Порадовало наличие клиентской панели Рис.1
Дальше скачиваю лоадер и админку.
Админка в распакованном виде - 5 метров. Рис.2
Лоадер непакованный и некриптованный - 7,6 кб.
Заливаю файлы на хостинг. Требования админки - php, и 1 MySQL база.
Создаю базу, читаю readme:
Так и вышло. Установка в два клика и ввод данных для базы. Отняло у меня 4 минуты в общей сумме.
Затем вхожу по адресу http://site.ru/papka/admin/index.php
Меня радостно встречает запрос логина и пароля. Рис.3
После попадаю непосредственно в админку. Рис.4
При этом у меня скушало почти 200кб. трафика. Оговорюсь о том, что первые версии админки кушали почти метр трафика. Сейчас к админке прикрутили сжатие.
Удобная статистика по ботам, странам, текущим заданиям и проценту их выполнения. (смотрим на скриншотах) Добавление задания в два клика, легкое обновление с интелектуальной системой учета версий. Порадовало, что при добавлении задания можно указывать как URL прогружаемого файла, так и закачать его при помощи админки себе на хост (еще два клика) и раздавать локально.
Идем дальше. Имеем размер билда в 7,6 кб. Не так уж и мало, как может показаться на первый взгляд. Я не так давно натыкался на статейку, где был описан лоадер размером 1,6 Кб!!!
С криптом у меня прошло все очень красиво. Обратился к знакомому человеку (685820 - r00f) и он за 30 мин сделал крипт. Быстро, красиво, безпаливно.
Билд подрос до 18,5 кб. Человек сказал, что если не срочно, то ужмет еще до 12-13кб.
Мне было срочно.
Переходя к тестам могу привести следующие данные:
1-й прогруз: загрузили 148 отстучалось 88 = 59,4% (грузили через связку)
2-й прогруз: загрузили 3К отстук 2684 = 89,4% (тут работал лоадер)
3-й прогруз: Загрузили 3,2К отстук 2419 = 75,5% (еще один лоадер)
Общался еще с несколькими людьми, которые купили этот продукт. Отстук очень разный. От 20 до 90%. Все в один голос говорят, что это напрямую зависит от того чем грузишь. Никаких нареканий на сам лоадер небыло. (к сожалению немогу сказать с кем общался на эту тему. Люди пожелали остаться инкогнито.)
Теперь займемся реверсингом. Для этих целей я, с разрешения автора, обращался к супермоду этого форума el-, т.к. сам в реверсинге не силен:
Если бота пожать самопальным пакером то будет ваще 4кб, если не юзать импорт то вобще 3кб .. ну это уже так. При старте сначало идет инициализация получаются неободимые пути дир, некоторые апи функции в общем Init(). В ней же собирается основной линк, куда будет стучатся бот
.data:1414102D
.data:1414102D loc_1414102D: ; CODE XREF: sub_14140F78+B1j
.data:1414102D push edi // серийник венды
.data:1414102E push [ebp+VolumeSerialNumber] // id винта из GetVolumeInformation
.data:14141031 push 1 // ОДИН!!!!111111одинодин
.data:14141033 push offset bot_ver // версия ботеса, константа
.data:14141038 push offset axxxxxxxxxxxx // путь на сервере
.data:1414103D push offset aHttpxxxxxxxxxx // домен
.data:14141042 push offset aSSS?vDIdXS // "%s%s%s?v=%d&id=%x-%s"
.data:14141047 call MemSprintf
После инициализации бот смотрит коммандную строку и если находит в ней ключ -lds то считает себя уже установленым в систему, в противном же случае прописывает себя в реестр
.data:141403C4 ; char aSoftwareMicros[]
.data:141403C4 aSoftwareMicros db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run',0
под имененм
.data:141403B8 ; char aWin32load[]
.data:141403B8 aWin32load db 'Win32load',0 ; DATA XREF: sub_14140837+5o
копирует свою копию в Application Data под одним из следующих имен
.data:141403F4 ppszNames dd offset aPtssvc_exe ; DATA XREF: sub_141408A6+9Dr
.data:141403F4 ; "ptssvc.exe"
.data:141403F8 dd offset aSyssl_exe ; "syssl.exe"
.data:141403FC dd offset aSysrc32_exe ; "sysrc32.exe"
.data:14140400 dd offset aNscagent_exe ; "nscagent.exe"
.data:14140404 dd offset aNsvcappflt_exe ; "nSvcAppFlt.exe"
предварительно грохнув старую версию если таковую найдет в регране. После через крит процесс запускает уже установленую копию через CreateProcess с ключом -lds.
Установленая копия первым делом пускает три функи обхода фаеров, первая отключает защиту аутпоста через пайп
.data:14140354 ; char FileName[]
.data:14140354 FileName db '\\.\pipe\acsipc_server',0 ; DATA XREF: sub_141406D8+2Do
вторая чото записывает в
.data:14140388 aMcafeeCommonFr db '\McAfee\Common Framework\SiteList.xml',0
.data:14140388 ; DATA XREF: sub_14140762+6Eo
видимо это помогает макафе заткнутсяНу и последня добавляет правило для виндовс фаервола
.data:1414083C push offset aWin32load ; "Win32load"
.data:14140841 push pszCurName
.data:14140847 push offset aSEnabledS ; "%s:*:Enabled:%s"
.data:1414084C call MemSprintf
Далее запускается тред который собственно выполняет основную работу, загружает через вининет данные с одминки и выполняет пару команд load и update. В общем ничего особенного дальше нету, загрузили скинули в файл и запустили.
Минусы:
1. Админка. Такую админку можно было уместить в 300-400 кб на php. При этом сохранив графики и прочую хрень. Но как я уже выражался по-поводу админок на extjs - мнения навязывать не хочу. Возможно эта новая мода и станет стандартом де-факто.
2. У меня в Firefox 3.0.6 периодически возникали затруднения с некоторыми из менюшек. Не везде корректно отображались менюшки или кнопочки. (в процессе общения с автором, все оперативно корректировалось).
3. Статистика на мой взгляд реализована не совсем удобно. Здесь мы видим диаграму по странам, а меня бы больше устроила таблица типа |Страна|Количество|Новых за сутки|Новых за 6 часов|, на мой взгляд, так удобнее остматривать тенденции загрузок.
4. В админке с нахрапа не разберешься. 95% понятно интуитивно (тут авторам респект и уважуха), много продумано до мелочей. Но! С обновлениями я не сразу въехал как сделать правильно и в списке ботов у меня не удалось установить фильтр на показ ботов определенной категории (страна, ip).
5. В предосталенном мне варианте ничего небыло про пользователей. т.е. завести 2-3 пользователей я не мог.
6. В таблице заданий не мешало бы добавить кто автор задания. При нескольких админах/пользователях это не помешало бы.
Плюсы:
1. Проект будет поддерживаться и улучшаться.
2. Малое количество покупателей, что значит не придется часто перекриптовываться.
3. Новый бот такого уровня - всегда применение самых новых технологий внедрения и обхода проактивок и фаерволов. Актуальность продукта на высоте.
4. Глядя на админку, могу предположить расширение функционала ботов путем внедрения новых модулей. Не удивлюсь, если этот бот в три клика превратится в ddos бота или спам-бота. (за отдельную цену естественно)
5. Вполне приятный отстук ботов.
Хочу к данному обзору приложить выборочную часть моей беседы с автором, дабы ответить на некоторые из вопросов, возникших в ходе рассмотрения:
По результатам моих предыдущих обзоров я не буду делать выводов, оценивать "стоит" или "не стоит" своих денег. Скажу лишь, что общее мнение о лоадере у меня лично сложилось положительное.
Собственно каждый может сложить свое мнение посмотрев скриншоты, послушав отзывы. Могу лишь огорчить в том плане, что планируемое количество лицензий уже было продано и стать счастливым обладателем данного продукта у Вас уже вряд ли получится. А обзор просто познавательного направления.
p.s. Обзор был написан мной некоторое время назад. Был придержан по просьбе автора. В обзоре я рассматривал версию лоадера 2.0. На сегодняшний день вышла третья версия. В ней, по словам автора, код переписали почти весь, дабы добиться гораздо более высоких показателей. Теперь бот гораздо лучше скрывается и дольше живет в системе.
p.p.s Никому не навязываю своего мнения, не преследую целей обсиралова/пиара, не получаю за это денег. У каждого своя голова на плечах, и каждый сам пусть делает выводы.
В теме прошу не срать. Спасибо.
Так же прилагаю альбом скриншотов по лоадеру. Некоторые вы могли видеть в обзоре. Остальное тут. + bonus Скриншоты от автора: 1 | 2 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10
