Windows-версия trinoo

Не удивительно, что Windows-версия trinoo называется Wintrinoo. В сочетании с «троянской» программой Back Orifice (от хакерской группы Cult of Death Cow) эта версия может быть использована для взлома пугающего воображение количества машин на платформе Windows. Демон в этом случае устанавливается на удаленной машине запуском программы service. exe, которая копирует себя в директорию windowssystem и делает соответствующую запись в реестре (для того, чтобы загружаться при старте операционной системы). Wintrinoo-демон становится в режим прослушивания порта 34555, ожидая инструкций со стороны мастера. Обратное соединение происходит по 35555-му UDP-порту. Более подробная информация обо всех портах, задействованных в классической системе trinoo, представлена Tribe FloodNet 2К (TFN2K) является «продвинутой» версией программы TFN, написанной хакером Mixter. TFN2K многими профессионалами приводится в качестве примера того, как могут быть усложнены и дополнены исходные тексты DDoS-программы. Несмотря на то что TFN2K не является трехзвенной DDoS-конструкцией в обычном ее понимании, архитектуру этой разработки можно описать схемой, представленной на рис. 2.3. Исходные тексты TFN2K свободно распространяются в Internet, так что хакеру достаточно скомпилировать программу на нужной платформе. TFN2K хорошо переносится на разные ОС, расширяя злоумышленнику пространство для действий. Практически любой программист может собрать эту систему в ОС Linux, Solaris или Windows NT. Результатом сборки являются два исполняемых файла -tfn и Td. Клиентская программа (tfn) посылает команды демонам, используя собственный синтаксис. Демон (td) исполняет полученные команды. Если не вдаваться в подробности, то клиент управляет демонами, инициируя или останавливая атаку.