Цитата
- продвинутая система удаленного администратирования. При запуске прописывается в автозагрузку и восстанавливает таблицу системных сервисов (SST) для обхода проактивных защит контролирующих process-injection. Затем инжектирует себя во все процессы и перехывает в них некоторые API-функции для сокрытия в системе методом модификации таблицы импорта (IAT-hooking). Работает в контексте заданного процесса (по дефолту explorer.exe). После чего слушает порт (по дефолту 2121) для подключений. Сервер поддерживает множество команд:
- Выполнение команд через cmd.exe
- Скрытый/видимый запуск через WinExec
- Скачка файла по HTTP-протоколу
- Закачка файла с компьютера на FTP-протокол
- Привзяка cmd.exe к заданному порту (bindshell)
- Управление питанием (выключить/перезагрузить/заснуть/встать)
- Самоуничтожение
- Завершение работы
- а также приблуды вроде открывания/закрывания CD-ROM, включения/выключения монитора и т.д. Встроен HTTP-бот, который отстукивает на статистику и получает команду на скачку и запуск заданного файла. Причем HTTP-бот работает полностью распределенно, то есть каждому боту можно выставить свою собственную команду.
Бэкдор управляется полностью через PHP-гейт. В итоге полностью невидимы файлы, ключи в реестре, процесс.
- Выполнение команд через cmd.exe
- Скрытый/видимый запуск через WinExec
- Скачка файла по HTTP-протоколу
- Закачка файла с компьютера на FTP-протокол
- Привзяка cmd.exe к заданному порту (bindshell)
- Управление питанием (выключить/перезагрузить/заснуть/встать)
- Самоуничтожение
- Завершение работы
- а также приблуды вроде открывания/закрывания CD-ROM, включения/выключения монитора и т.д. Встроен HTTP-бот, который отстукивает на статистику и получает команду на скачку и запуск заданного файла. Причем HTTP-бот работает полностью распределенно, то есть каждому боту можно выставить свою собственную команду.
Бэкдор управляется полностью через PHP-гейт. В итоге полностью невидимы файлы, ключи в реестре, процесс.
Скрытый текст