D0wnl0ad3r by xafon v 1.0

[xaf0n]

D0wnl0ad3r by xafon v 1.0
Язык: VB
Версия: 1.0
Автор: xafon

Пока из возможностей только скачка и запуск указанного файла.

File Info

Report date: 31.1.2010 at 17.38.41 (GMT 1)
File name: server.exe
File size: 622828 bytes
MD5 Hash: f9f8147a4285521331374529f2b93f49
SHA1 Hash: 329D63CEB75FC67DAF4FAFDD2E4D5D52CE73EC46
SFX Archive: -
File inspector: -
Detection rate: 4 on 23
Status: INFECTED

Detections

a-squared - -
Avira AntiVir - -
Avast - -
AVG - -
BitDefender - -
ClamAV - -
Comodo - -
Dr.Web - modification of Win32.HLLM.Generic.349
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - HEURrojan.Win32.Generic
McAfee - trojan or variant New Malware.d
NOD32 v3 - NewHeur_PE virus
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - -
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -

Scan report generated by
NoVirusThanks.org

Скачать|Download

 

[DASM32]

xaf0n

Ну что же, скачал - посмотрел.
Для теста закачал на хост простое приложение на асме, выводящее месседжбокс. Закачал, вписываю, жму "Создать" и

Ладно, думаю я - авось записалось, ошибка изза чего-нить другого вывалилась. Смотрю на server.exe(это я так понимаю стаб, и от его размера 608 КБ у меня аж волосы на голове зашевелились, по-честному), решил запустить. Тут все вроде пошло нормально - приложение постучалось на хост и попыталось загрузить файлик(правда не мой, а тот что ты еще вписал, по адресу http://freewebtown.com/pateame11/CALC.EXE, ибо мой все-таки не записался ), попутно дропнув часть в другую папку и уже "действуя" ей. Не зная, что скрывалось под именем CALC.EXE, я прекратил процесс. Ну и затем снова вылетает та же ошибка с первого скрина, но уже от стаба, понятное дело. Можно было хотя бы проверку на удачную загрузку сделать?
+ Адрес загрузки прекрасно палится в стабе.

 

[xaf0n]

прошу прощения, в архив забыл добавить стаб)))) а ссылка на CALC.exe это ссылка на котором я проверял.
Обновил ссылку в первом посте.

 

[karabas-barabas]

ппц шо за бред, может кто-то объяснит какой практический толк от этого...

 

[Sunzer]

А смысл? Софт гуано. Такое на масме пишется за минуту, на двух апишках.

 

[karabas-barabas]

Dr.Web - modification of Win32.HLLM.Generic.349
Kaspersky - HEURrojan.Win32.Generic
McAfee - trojan or variant New Malware.d
NOD32 v3 - NewHeur_PE virus

эмуляторы срабатывают

 

[Sunzer]

У дрвеба статика тут

 

[G100M]

эмуляторы срабатывают

ты еще файрволы не пробовал :]

 

[karabas-barabas]

Статья 273 УК РФ. Создание,использование и распространение вредоносных программ для ЭВМ

:lol2:

за такой даунлоадер точно не посадят.

 

[DASM32]

Да уж, 608КБ... Upx тут не спасет - 400. На hackhound хотя бы оптимизируют походу. Волосы дыбом до сих пор стоят :huh1:
Советую xaf0n-у перейти с VB на что-то посерьезнее =\
И зачем дропаешь в другую папку сам загрузчик? Сам загруженный файл - еще понятно, но сам загрузчик-то зачем?

 

[toxianec007]

608КБ для загрузчика это серьезно )) Наверное он золотой)

 

[Ar3s]

А вот я не удивлен. Не так давно человек попросился на обзор с новым ddos ботом. Билд был в районе 400 кб. EL- сделал реверс. Но до самого обзора дело не дошло. Как только автор узнал что я думаю о его боте - тихо так все замял. Насколько мне известно, сейчас продукт в работе только у него. В продаже его нет.
Кстати ддос был на дэлфи.

 

[xaf0n]

и что вы так разорались)))) писалось это давно, просто не много переделал стаб дабы уменьшить палевность, размер уменьшать не хочу, смысла не вижу. Да и при нынешней скорости интренета 400 - 600кб это не такая и проблема. а на асме если надо могу код выложить.
p.s Критиковать - это значит рассказывать всем, как сделал бы ты, если бы умел.

 

[Pernat1y]

размер уменьшать не хочу, смысла не вижу

смысл лоадера - какраз в размере. нахрен такое надо, если большинство ботов в десяток раз меньше?

 

[Ar3s]

xaf0n
Смысл как-раз таки есть. Притом самый что ни на есть прямой.
1.Загрузить вирь большого размера в разы сложнее чем маленького. Количество удачных инсталов у маленького больше будут.
2. Криптовать большие файлы проблемнее. Притом намного.
3. Оплата за трафик резко возрастает. Если брать для связки VdS и считать траф, то маленькие файлы грузить значительно проще. Да и нагрузка на хост при больших потоказ значительно меньше.

Вообще - нюансов очень много. Поэтому с такого размера файлами никто не захочет всерьез заморачиваться.

p.s. На днях юзал лоадер размером 5 кб. Остался доволен. Обещали урезать до 2,5 кб. Вот это будет самое оно.

 

[karabas-barabas]

Критиковать - это значит рассказывать всем, как сделал бы ты, если бы умел.

это значит сравнивать с другими подобными продуктами

Не так давно человек попросился на обзор с новым ddos ботом.

если у тебя сохранилось описание то выложи плиз вместе с ботом, нето чтоб серьезно изучить, а просто чтоб настроение поднялось,все-таки смех продлевает жизнь

Не так давно человек попросился на обзор с новым ddos ботом. Билд был в районе 400 кб.

А вот мое субъективное мнение по поводу этого бота, не изучая и не реверсив его:
Такой размер говорит что автор использовал готовые VCL компоненты, его приложение имеет даже форму, которая хайдится при старте проги, для сетевого взаимодействия он использjdал Indy компоненты(хз последний раз на delphi рограмил 3-4 года назад) - откуда и такой бешеный размер даже пожав его upx.
В худшем случае его ddos-бот это так называемый нашумевший xafon downloader в бесконечном цикле , в лучшем скачка страницы с атакуемого сайта в максимально возможное кол-во потоков.
Какие из этого следуют огромнейшие минусы.
1) используется только http-dos , хотя можно использовать как минимум 3 вида ddos : http, icmp , syn
- http как самый сильный вид ddos, но легко прикрываемый
по моим подозрениям тс использует дефолтовый user-agent - там будет что-то вроде Indy Components ну и плюс другие дефолтовые хидеры, из чего более менее админ при памяти быстро нейтрализует http ddos
2) нет syn ddosa в проге, так как http ddos можно быстро устранить на ранних стадиях , дальше переход на icmp - пока не забанят ip-шки ботов , syn флуд позволяет устанавливать tcp соединения с фэйковыми ip, от syn ddosa уже будет сложно что-то предпринимать
3) опять же исходя из софта который тс выкладывал, этот бот не использует приемов скрытия себя в системе, подозреваю что сделан как еще дедушки наши делали - запись в ветку Run плюс висит процесс svchost.exe , плюс прямое интеренет соединение которое будет палиться фаерами
соответсвенно боты будут дохнуть как мухи без говна. В av базы попадет дето через 5-6 часов.

4) есть подозрение опять же это мое субъективное мнение , что тс как следует его не потестировал хотя б на 100 загрузках - и не исключено где-то есть баги которые всплывут

Вывод что этим ботом можно поиметь какие-то бесплатные ламерские форумы или сайты , но никак не серьезный проект. Даже для паблик целей использовать очень неэффективно.
Моя оценка, как человека которой не один год пишет подобный хексофт этому продукту - :shit:

 

[lisa99]

дефолтовый user-agent - там будет что-то вроде Indy Components ну и плюс другие дефолтовые хидеры

что значит "другие дефолтовые"?
по какой маске их можно залочить,ведь несложно генерировать хидеры рэндомно (как это часто делается на curl -e)?
и откуда именно это ты можешь знать?=)
ну, что так у ТС (хех..)

 

[karabas-barabas]

и откуда именно это ты можешь знать?=)

А вот мое субъективное мнение по поводу этого бота, не изучая и не реверсив его:

это исходя из моего впечатления о тс, наверно он такими мелочами пренебрег

 

[lisa99]

из моего впечатления о тс

Маркиз, вас последнее время гложет чЭрвь высокомерия

 

[karabas-barabas]

это простая логика:
Большой размер на делфи -> VCL -> работа с сетью + VCL -> Indy -> отсутствие работы с сетью на низком уровне - > только http ddos ну и т.д. и т.п.
Тем более я ж говорю, что это мое субъективное мнение и предположение - если автор докажет обратное, даст под нож этого бота, то я только за