четверг, 8 ноября 2007 г.

E-jihad - ДДоС для бедных

"Я - Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру..."


Спасибо indetails.info за разбор этой албанской поделки.

e-Jihad. Электронный джихад - версия 3.0

Все наверно уже слышали интересную новость от "Аль-Каиды" что 11 ноября 15
американских сайтов, в том числе и сайт разведки будет подвергнут нападению.
Для этого они используют естественно своих хакеров и добровольцев. Добровольцы же
устанавливают небольшую программку под названием e-jihad 3.0. Скачать\поюзать\
сломать всё к чертям можно на www.al-jinan.net. Кое как разгребая иероглифы я нашел
таки дистрибутив этой проги и скачал её. На деле это оказался обычный инсталлер,
который ставит сию программку. Размер инсталлера 350кб, а установленной программы
92 кб. Весьма радует что ассемблер он везде един и в программе можно разобратся :)
Чем и займемся.
Программка написана на веселеньком Visual Basic 6.0, при этом скомпилена в
Native режиме, видимо чтобы особо не парить людей p-кодом. Также в комплекте
ставится mswinsck.ocx, который позволяет работать с интернетом.
После запуска приложения видим много закорючек, но и даже не понимая их
доходит что нужно зарегистрироватся, нажав левую кнопочку, и потом введя свои данные
в главный скрин - попасть собственно в панельку досинга.
Четко видно что в верхней строчке написано First Attack 11-11-2007, тобишь
11 ноября. Также присутствуют поля для ввода прокси и еще чтото непонятное, ну да
ладно.
Начиная исследовать любую прогу сразу интересно посмотреть какие строки она
использует. Тутже видим много строк с юрлами страничек, которые, как потом
выясняется ответственны за регистрацию пользователей и получение задания.
Интересные строки:

http://al-jinan.net/ntarg.php
http://arddra.host.sk/ntarg.php
http://jofpmuytrvcf.com/ntarg.php
http://jo-uf.net/ntarg.php

Видим 4 зеркала админки, где и хранится инфа о будущих атаках.
Регистрация пользователей продублирована лишь на главном сайте:

http://al-jinan.net/tnewu.php?nlogn=<login>&npss=<password>&invitedby=<invited>

В случае ошибки регистрации хост возвращает userfound, notinvitedby, userentered.
Соответственно - логин уже занят, логина приглащающего не найдено и регистрация
успешна.
Процесс входа в систему идет при отстуке на

http://al-jinan.net/tlog.php?logn=<login>&pss=<passwd>

Скрипт возвращает userautho, usernotautho, usernotfound. Соответственно юзер
зашел, не зашел, юзер не найден.
После логина идет отстук на:

http://<server>/ntarg.php?notdoing=yes в случае если бот еще не досит
http://<server>/ntarg.php?howme=re в противном случае?

В итоге если получена комманда досить сайты то запускается ping.exe с нужными
параметрами :) Да-да, писать ддосер им видимо было настолько влом, что заюзали
обычный пинг.
Естественно что ибо они не продумали как скрыть запасные сервера, то всех их
сегодня уже закрыли, хотя еще вчера я сидел и спокойно работал. На al-jinan.net
висит мессага:

This account has been suspended.
Either the domain has been overused, or the reseller ran out of resources.

А надо было покупать абуз :) Итого, кина не будет.

by NeoN
date: 7.11.7
http://indetails.info/?module=detailed&id=466
Отправить комментарий