应该支持下面功能:
1、反弹连接(穿防火墙)、支持FTP、服务器、动态IP上线```
2、捕捉微点、卡吧主动防御窗口,尝试绕过``
3、可以随意在被控端删除、下载、复制文件,并能支配注册表``
4、模拟远程(被控端)屏幕变化,好像还支持彩色的=.=``
5、重点“照顾”QQ,能获得QQ性别、语言聊天监听等等``
6、被控端成为肉机,暴露IP、MAC、是否代理上网(局域)、PC详细配置等等信息``
(若居于内网,可以映射连接)
7、随便操纵肉机并针对某些服务器进行DOS、DDOS、SYN或特定端口攻击等``
8、记录键盘操作和缓存区的星号密码``
(发到******ming@163.com)
9、使用远程计算机剪切板复制到本地``
10、在被控端可升级网络红娘版本``(明目张胆啊!!)
…………还有很多“功能”的,就不列那么多了``
…………………………………………………………………………………………………………………………
Aditional information
File Name: R_Server.exe
File size: 266240 bytes
CRC32 : 3C0D6316
MD5 : 8ea40b5856f9496e2c869c6cf911d978
SHA1 : da39a3ee5e6b4b0d3255bfef95601890afd80709
SHA160 : F8BEEBCCBDA84F3369D26EC760D3D4A70786719Cc
Packers: N\A
Languages: Microsoft Visual C++ 6.0
运行,释放:
%Systemroot%\system32\RedG3irl.dat 209920 字节(其实是Dll文件,tElock壳,VC编写)
%Systemroot%\system32\RedG3irl.exe 266240 字节(主体)
%Systemroot%\system32\tmp.bat 95 字节(P处理)
写注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\LEGACY_REDG3IRL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\NextInstance
NextInstance = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Class
Class = REG_SZ, "LegacyDriver "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\ClassGUID
ClassGUID = REG_SZ, "{8ECC055D-047F-11D1-A537-0000F8753ED1} "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\ConfigFlags
ConfigFlags = REG_DWORD, 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\DeviceDesc
DeviceDesc = REG_SZ, "RedGi3rl "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Legacy
Legacy = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Service
Service = REG_SZ, "RedG3irl "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Control\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Control\*NewlyCreated*
*NewlyCreated* = REG_DWORD, 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\RedG3irl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\DisplayName
DisplayName = REG_SZ, "RedGi3rl "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\ErrorControl
ErrorControl = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\ImagePath
ImagePath = REG_EXPAND_SZ, "C:\winnt\system32\RedG3irl.exe -service "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\ObjectName
ObjectName = REG_SZ, "LocalSystem "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Start
Start = REG_DWORD, 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Type
Type = REG_DWORD, 272
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Enum\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Enum\0
0 = REG_SZ, "Root\LEGACY_REDG3IRL\0000 "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Enum\Count
Count = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Enum\NextInstance
NextInstance = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Security\Security
Security = REG_BINARY
实现服务方式启动
尝试调用FindWindowExA 、mouse_event 、GetWindowRect、GetMessageA等函数``
获得窗口位置、句柄、消息等,并模拟鼠标操作
(未验证)
检测卡吧、微点主动防御窗口:
(卡巴斯基互联网安全套装 6.0、文件保护 警告、主动防御 警告)
(微点主动防御软件、主动防御 警报、主动防御 信息)
并模拟操作,尝试点击窗口出现的“允许”(放行)等按钮`````
如失败则模拟“跳过”(不删除)(不经过用户处理)
否则强行关闭提示窗口``
随后向127.0.0.1 发送ICMP数据包(试探网路和局域情况),若返回数据包有效,则调用IE反弹连接`
(因为当时开了相当多东西,非常卡,所以拦了,未放行)
做完上面工作后,运行%Systemroot%\system32\tmp.bat ,删除自身,销毁证据` |
楼主: promised
发表于 2007-7-15 09:55:27
楼主
你也能说出口
