Smoke Ddos Bot

[Chococream]

Вчера на конференции quake выложил на всеобщее обозрение сэмпл Smoke Ddos Bot.
Я снял самую главную часть бота - дллку, которая инжектится в svchost.exe.

Линк: http://zalil.ru/31928552
http://rghost.ru/27027321
http://www.datafilehost.com/download-5e7ed972.html
Пароль: JYSD871287*$@*IDFSYD

 

[Barack]

это вообще криптованная или оригинальная длл ?
еще нет ли у кого-нибудь билда smokeloader - такое ощущение, что автор пыль в глаза кидает с заявленным отстуком в 85% , скорей всего опять банальные паблик пробивы

 

[waahoo]

она не криптована, кстате чоко последние 4кб можно было срезать, они лишнии. внесу и я свои 5 копеек.
процедура расшифровки строк для бота:

CPU Disasm
Address   Hex dump          Command                                  Comments
002D1354    55              PUSH EBP                                ; DecryptString proc eax=pointer to CryptedString
002D1355    8BEC            MOV EBP,ESP
002D1357    83C4 F4         ADD ESP,-0C
002D135A    8945 FC         MOV DWORD PTR SS:[EBP-4],EAX
002D135D    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
002D1360    50              PUSH EAX
002D1361    A1 74572D00     MOV EAX,DWORD PTR DS:[2D5774]
002D1366    8B00            MOV EAX,DWORD PTR DS:[EAX]
002D1368    FFD0            CALL EAX                                ; lstrlen
002D136A    83E8 04         SUB EAX,4
002D136D    8945 F8         MOV DWORD PTR SS:[EBP-8],EAX
002D1370    8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
002D1373    40              INC EAX
002D1374    50              PUSH EAX
002D1375    E8 FAFEFFFF     CALL 002D1274                          ; malloc
002D137A    8945 F4         MOV DWORD PTR SS:[EBP-0C],EAX
002D137D    60              PUSHAD
002D137E    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
002D1381    8B08            MOV ECX,DWORD PTR DS:[EAX]
002D1383    89CA            MOV EDX,ECX
002D1385    83C0 04         ADD EAX,4
002D1388    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
002D138B    89C3            MOV EBX,EAX
002D138D    8B45 F4         MOV EAX,DWORD PTR SS:[EBP-0C]
002D1390    51              PUSH ECX
002D1391    C1E9 02         SHR ECX,2
002D1394    8B33            MOV ESI,DWORD PTR DS:[EBX]
002D1396    31D6            XOR ESI,EDX
002D1398    8930            MOV DWORD PTR DS:[EAX],ESI
002D139A    83C0 04         ADD EAX,4
002D139D    83C3 04         ADD EBX,4
002D13A0    49              DEC ECX
002D13A1    83F9 00         CMP ECX,0
002D13A4  ^ 75 EE           JNE SHORT 002D1394
002D13A6    59              POP ECX
002D13A7    83E1 03         AND ECX,00000003
002D13AA    83F9 00         CMP ECX,0
002D13AD    74 12           JE SHORT 002D13C1
002D13AF    89DE            MOV ESI,EBX
002D13B1    89C7            MOV EDI,EAX
002D13B3    8A06            MOV AL,BYTE PTR DS:[ESI]
002D13B5    32C2            XOR AL,DL
002D13B7    8807            MOV BYTE PTR DS:[EDI],AL
002D13B9    46              INC ESI
002D13BA    47              INC EDI
002D13BB    49              DEC ECX
002D13BC    83F9 00         CMP ECX,0
002D13BF  ^ 75 F2           JNE SHORT 002D13B3
002D13C1    61              POPAD
002D13C2    8B45 F4         MOV EAX,DWORD PTR SS:[EBP-0C]
002D13C5    8BE5            MOV ESP,EBP
002D13C7    5D              POP EBP
002D13C8    C3              RETN

адрес админки в длл зашифрован по смещению 0x3C58, в процедуру расшифровки передается через указатель по смещению 0x41BF. длл в носителе запакована с помощью aPLib, в носителе расположена по смещению 0x201C и имеет размер 0x26B0.
в аттаче анпакнутый носитель и длл пропатченная для корректной работы с LoadLibrary

 

[Chococream]

это вообще криптованная или оригинальная длл ?

Работа бота: запуск процесса "svchost.exe" и инжект шеллкода, затем в созданном процессе из шк распаковвывается dll и управление передаётся на функцию "Work" из таблицы export.

процедура расшифровки строк для бота:

decrypt proc from, to

    pushad
    invoke lstrlen, from
    xchg eax, ecx

    lea eax, from
    mov edi, to
    shr ecx, 2
    mov dword ptr [edi], 0FF7A58Dh; decrypting key
    mov edx, dword ptr [edi]
    add edi, 4h
@@: 
    mov esi, dword ptr [eax]
    xor esi, edx
    mov dword ptr [edi], esi
    add edi, 4h
    add eax, 4h
    dec ecx
    cmp ecx, 0
    jnz @B

    mov byte ptr [edi], 0h
    popad

decrypt endp

 

[waahoo]

не совсем верно. а что если длина строки не кратна 4-м? либо недошифруешь, либо перешифруешь захватив завершающий ноль.

 

[Chococream]

не совсем верно. а что если длина строки не кратна 4-м? либо недошифруешь, либо перешифруешь захватив завершающий ноль.

Я же тебе говорил, что это алгоритм из бота, сам бы я так ни за что не сделал.
Эффективный вариант - просто пропатчить тот участок.

 

[Barack]

таки отыскал на харде сэмпл Скачать|Download пасс:smoke

Немного потрейсил его, вывод: "Я его слепила из того, что в паблике было - лишь бы бабло косило"
Вся антиотладка - вчерашний паблик , прямые вызовы GetTickCount, CheckRemoteDebuggerpresent и т.п. хотя под самый конец где-то таки нарвался на антиотладку. Софт кроме всего прочего юзает доп дллку - что наверное не совсем практично.

 

[Ragnar]

Сорри за археологию, но мб кому пригодится - билдер для смоке ддос бота.
Всё просто, 2 хоста 2 линки
Покрякал его ровно день назад,апдейтов автор не давал, и проект как то заглох. Но в целом, неплохой бот вроде.