Backdoor Injector™ - Version 2.0
Backdoor Injector v2.0 - это оболочка для внедрения "модулей" в указанную
программу (ЕХЕ-файл) написанная польностью на ассемблере. Оболочка инжектит
модуль в адресное пространство файла на диске. (т.е. работает на подобие
инфектора). Оболочка обеспечивает получение управления модулем с помощью
специального загрузчика, при этом заботясь о безошибочном выполнении программы
носителя.Загрузчик модуля в жертве получая управление первым, создает Thread
(нить) с точкой входа на код модуля, основная нить возвращается на выполнение
самой программы носителя. В загрузщике так же реализован защитный механизм и
механизм шифр/дешифр модуля. Вторая версия оболочки значительно отличается от
предыдущей, прежде всего в новой версии модуль внедряется не в заголовок ЕХЕ
файла, а как дополнительная секция. Такая необходимость возникла прежде всего
из за увеличения размеров новых модулей. Модуль (файл *.m0d) - это обыкновенный
БИН файл с кодом написанный в шел код стиле. Содержимое легко просматривается в
любом HEX - редакторе, файл .m0d не зашифрован.
--
Модули:
Bind_shell.m0d - обыкновенный бинд шел. Т.е шелл (cmd.exe) доступ
открытый на указанном порту. При завершении (закрытии) программы -
носителя выполнение модуля прекращается.
Inject_BIND_SHELL.m0d - мод созданный как дополнение к модулю bind_shell.m0d
прицип работы модуля: при получении управления модуль производит поис активного
процесса указанного параметром [Injection Process] и внедряет в него модуль bind_shell.m0d
При завершении программы носителя выполнение модуля будет продолжаться в зараженном процессе.
Например, стоит заразить процесс explorer.exe (Проводник) и выполнение модуля гарантировано
до завершения работы системы.(конечно если пользователь не произведет перезапуск процесса explorer.exe)
Inject_REVERSE_SHELL.m0d - мод созданный как дополнение к модулю reverse_shell.m0d
прицип работы модуля: при получении управления модуль производит поис активного
процесса указанного параметром [Injection Process] и внедряет в него модуль reverse_shell.m0d
При завершении программы носителя выполнение модуля будет продолжаться в зараженном процессе.
Например, стоит заразить процесс explorer.exe (Проводник) и выполнение модуля гарантировано
до завершения работы системы.(конечно если пользователь не произведет перезапуск процесса explorer.exe)
Reverse_shell.m0d - обыкновенный бэкконнект шел. Т.е шелл (cmd.exe) доступ
открываемый при удачном соединении с указанным в параметрах "хостом".
При завершении (закрытии) программы носителя выполнение модуля прекращается.
Попытки соединения проходят интервалом указаным параметром [interval]
Download
pass: 123
Jotti's malware scan:
Код:
A-Squared - Found nothing
AntiVir - Found nothing
ArcaVir - Found nothing
Avast - Found nothing
AVG Antivirus - Found nothing
BitDefender - Found nothing
ClamAV - Found nothing
Dr.Web - Found nothing
F-Prot Antivirus - Found nothing
F-Secure Anti-Virus - Found nothing
Fortinet - Found nothing
Ikarus - Found nothing
Kaspersky Anti-Virus - Found nothing
NOD32 - Found nothing
Norman Virus Control - Found nothing
Panda Antivirus - Found nothing
Rising Antivirus - Found nothing
Sophos Antivirus - Found nothing
VirusBuster - Found nothing
VBA32 - Found nothing