from the doc: PHI FW BYPASS 1.0PrincipeLe principe de fonctionnement du downloader est le suivant: - AprÞs lancement il se copie dans le rÚpertoire windows sous le mÛme nom... - L'exÚcutable qui a ÚtÚ lancÚ s'efface... - La copie inscrit une clef dans la base de registre... - attend qu'un navigateur internet soit lancÚ... - s'injecte dans le navigateur (bypass le firewall) et tÚlÚcharge le programme qu'on lui a notifiÚ dans le rÚpertoire windows... - exÚcute le programme... - puis efface la clef de dÚmarrage prÚcÚdemment inscrite... - et s'efface du disque dur (le downloader donc). La clef de dÚmarrage sert Ó relancer le downloader s'il n'a pas rÚussi le tÚlÚchargement dans la session en cours (connexion coupÚe, pas de navigateur, etc). Configuration1. Lancez l'exÚcutable "Configuration.exe". 2 champs sont Ó remplir... 2. URL Ó tÚlÚcharger: Entrez ici le chemin URL correspondant Ó l'exÚcutable Ó tÚlÚcharger. 3. Nom de l'exÚcutable: Entrez dans ce champ le nom donnÚ au programme tÚlÚchargÚ une fois sur le disque dur. N'oubliez pas d'entrer l'extension exÚcutable (normalement ".exe"). 4. Cliquez sur "Enregistrer", sÚlectionnez l'exÚcutable "Phi FWBYPASS" dans le dossier puis confirmez. L'exÚcutable sera configurÚ. A savoir"Phi FW BYPASS" peut tÚlÚcharger un programme exÚcutable n'ayant pas l'extension ".exe" sur l'URL (une extension ".zip" par exemple). C'est le nom entrÚ dans le champ "Nom de l'exÚcutable" qui dÚterminera le nom du fichier tÚlÚchargÚ pour son exÚcution.Si aucun navigateur n'est trouvÚ, ou tout simplement la connection n'est pas active, "Phi FW Bypass" se rÚexÚcute Ó chaque dÚmarrage jusqu'au succÞs du tÚlÚchargement. AprÞs le tÚlÚchargement il se dÚsinstalle pour ne laisser AUCUNE trace sur le disque dur (dÚsinscription de la clef et effacement du programme).Notez que l'injection, le tÚlÚchargement et la dÚsinstallation complÞte fonctionnent sous Windows2000 et Windows XP (normalement NT). Aucun message d'erreur ne sera engendrÚ dans le cas d'un autre OS non compatible.Le procÚdÚ d'injection se fait sans dll et le tout est codÚ en assembleur, c'est le pourquoi de sa petite taille, 3,5k non compressÚ :-)CompatibilitÚ de l'injection: - Internet Explorer - Mozilla Firebird - Opera - AOL - Netscape - Avant BrowserContre-indicationsN'utilisez pas le contenu de ce package Ó des fins illicites. Comprenez que vous Ûtes responsable des dÚgÃâ€ts que vous commetez sur un ordinateur qui n'est pas le v¶tre. Les packers (UPX par exemple) peuvent altÚrer le bon fonctionnement du downloader. Le packer "Petite", joint Ó ce pack, est compatible.RemerciementsMes remerciements Ó Aphex pour son exemple de source d'injection sans dll (un vrai bijou) qui a servi de squelette Ó ce programme. Et mes salutations Ó l'Úquipe ACTIVE de Underground Konnekt... Je remercie Úgalement Pot de Miel, toujours prÛt Ó aider, qui m'a dirigÚ sur un principe de simplification du code pour rendre le programme compatible avec tous les navigateurs. Ce n'est pas encore le cas, mais ce sera peut-Ûtre la version 1.1.Faiseur le 28.09.03 [email protected]
TrojanDownloader.Win32.Phifwbypass
configuration.exephi_fwbypass.exe