[C]Blacksun Remote Administrative Tool

[dokzlo13]

Blacksun Remote Administrative Tool - это система удаленного администрирования или попросту говоря - бэкдор.

Код:

невидимость в процессах;
невидимость в реестре;
функции даунлоадера;
размер не более 20 Кб;
управление через гейт;
работа с командным интерпретатором (cmd.exe);
наличие специализированных команд.

мануал

Код:

	-------------------------------
        Выполнение команды через cmd.exe [1]
	-------------------------------
	Описание: работа с коммандным интерпретатором в контексте гейта.
		Argument#1: команда
	-------------------------------
        Скрытый/видимый запуск приложения через WinExec [2]
	-------------------------------
 	Описание: скрытый / видимый запуск программ в системе.
		Argument#1: hide (скрытый)
		   	    show (видимый)
		Выбирайте один из двух. Далее также будет... 
	-------------------------------
        Забиндить шелл на заданном порту [1]
	-------------------------------
	Описание: привязка к заданному порту коммандного интерпретатора
		Argument#1: порт
	-------------------------------
        Скачать файл по HTTP [2]
	-------------------------------
	Описание: скачка файла по HTTP-протоколу
		Argument#1: http://хост/путь/до/файла.txt (ссылка на скачиваемый файл)
		Argument#2: C:\\путь\до\файла.txt         (куда скачать файл)
	-------------------------------
        Закачать файла на FTP [6]
	-------------------------------
	Описание: закачка файла на ваш FTP-сервер (если вам необходимо скачать что-то с зараженной системы)
		Argument#1: хост
		Argument#2: порт (21)
		Argument#3: логин
		Argument#4: пароль
		Argument#5: C:\\файл\который\надо закачать.txt
		Argument#6: название файла на FTP.txt
	-------------------------------
        Вывести MessageBox [2]
	-------------------------------
	Описание: вывести сообщение в виде MessageBox.
		Argument#1: текст сообщения
		Argument#2: заголовок сообщения
	-------------------------------
        Питание (выключить/перезагрузить/спать/встать) [1]
	-------------------------------
	Описание: работа с питанием компьютера.
		Argument#1: power (выключить)
			    reboot (перезагрузить)
			    sleep (перейти в спящий режим)
			    stand (проснуться)
	-------------------------------
        Включить/выключить монитор [1]
	-------------------------------
	Описание: работа с монитором.
		Argument#1: off  (выключить)
			    on   (включить)

	-------------------------------
        Переключатель режимов клавиатуры [1]
	-------------------------------
	Описание: работа с монитором.
		Argument#1: 
			------------------------------------------------------
			спрятать         /      показать           (описание)
			------------------------------------------------------
			numlock_on       /     numlock_off        (включить/выключить numlock)
			capslock_on      /     capslock_off       (включить/выключить capslock)
			scrolllock_on    /     scrolllock_off     (включить/выключить scrolllock)
	-------------------------------
        Спрятать/показать окна [1]
	-------------------------------
	Описание: спрятать окно. аргументы в формате 
		Argument#1: 
			------------------------------------------------------
			спрятать        /      показать           (описание)
			------------------------------------------------------
			hide_panel       /     show_panel         (панелька внизу (пуск, окна и т.д))
			hide_start       /     show_start         (кнопочка пуск)
			hide_rebar       /     show_rebar         (панель, слева от пуска)
			hide_quicklaunch /     show_quicklaunch   (quick launch (быстрый запуск))     
			hide_tasksw      /     show_tasksw        (окошки и т.д)
			hide_trey        /     show_trey          (трей)
			hide_treybutton  /     show_treybutton    (кнопочка рядом с треем)
			hide_treyicon    /     show_treyicon      (иконки в трее)
			hide_time        /     show_time          (спрятать/показать время)
	-------------------------------
        Поменять мышь на левшу/правшу [1]
	-------------------------------
	Описание: поменять кнопки мыши (левша/правша :))
		Argument#1: swap    (левша)
			    unswap  (правша)

	-------------------------------
        Эффект бешеной мыши )) [2]
	-------------------------------
	Описание: эффект "бешеной" мыши :))
		Argument#1: частота_перемещния_курсора(в_милисекундах)
		Argument#2: кол-во_перемещений
	-------------------------------
        Открыть/закрыть CD-ROM [1]
	-------------------------------
	Описание: открыть / закрыть CD-ROM
		Argument#1: open - открыть
			    close - закрыть
	-------------------------------
        Получить установленную версию BlackSun [0]
	-------------------------------
	Описание: получить версию установленного бэкдора (без аргументов)
	-------------------------------
        Закончить работу [0]
	-------------------------------
	Описание: завершить процесс бэкдора (без аргументов)
	-------------------------------
        Самоуничтожиться
	-------------------------------
	Описание: самоуничтожиться
		Argument#1: логин:пароль который вы указывали при подключении к бэкдору.

[Ссылки могут видеть только зарегистрированные пользователи.]

[tilir]

Inject через CreateRemoteThread + WriteProcessMemory... редкое палево. Но спасибо, сорц не без интересных идей.

[Pernat1y]

Цитата:

Сообщение от tilir

Inject через CreateRemoteThread + WriteProcessMemory... редкое палево. Но спасибо, сорц не без интересных идей.

Он писался в 2007 году

[victor5]

Некоторым пойдет, есть что взять для себя, в целом спасибо

[RoMu4]

Эх, особо нечего там брать, ибо все функции хорошо документированы сторонними разработчиками (малвари), например тот-же "Инжект"... Это просто УГ. Гораздо проще отпатчить какой-небудь файл, даже с осуществлением такового инжекта, или хоть библиотеку подключить...

Короче способов много, и даже очень много, а все до сих пор используют этот устаревший метод...

[WoRoN]

слабоват "бэкдор"...существует куча куда более функциональных и удобных но всеравно спасибо за тему

[khuawei]

А можно перезалить на нормальный обменник?