Агобот

Семейство ботнет-червей

Agobot , также часто известный как Gaobot , — это семейство компьютерных червей . Аксель «Аго» Гембе, немецкий программист, также известный тем, что слил Half-Life 2 за год до релиза, был ответственен за написание первой версии. ^[1]^[2]^[3] Исходный код Agobot описывает его как: «модульный IRC-бот для Win32 / Linux». Agobot был выпущен по версии 2 GNU General Public License . Agobot — это многопоточная и в основном объектно-ориентированная программа, написанная на C++, а также на небольшом количестве ассемблера . Agobot — это пример ботнета , для использования которого требуются небольшие или нулевые знания программирования.

Технические подробности

Новые версии или варианты червя появлялись так быстро, что семейство Agobot быстро разрослось по сравнению с другими семействами ботов. Другие боты в семействе Agobot включают Phatbot и Forbot. Сейчас у Agobot есть несколько тысяч известных вариантов. Большинство из них нацелены на платформу Microsoft Windows ; в результате подавляющее большинство вариантов несовместимы с Linux . Современные штаммы Agobot, скорее всего, были созданы с помощью Visual Studio из-за их зависимости от SDK и Processor Pack Visual Studio. Инфекционный Agobot может различаться по размеру, но обычно составляет от 12 до 500 килобайт в зависимости от функций, оптимизаций компилятора и двоичных модификаций.

Модуль, написанный для одного члена семейства Agobot, обычно можно легко перенести на другого бота. Такое смешивание модулей в соответствии с потребностями владельца вдохновило множество вариантов червя.

Большинство Агоботов имеют следующие особенности:

Интерфейс управления IRC-клиентом, защищенный паролем
Удаленно обновить и удалить установленного бота
Выполнение программ и команд
Сканер портов, используемый для поиска и заражения других хостов
DDoS- атаки, используемые для вывода из строя сетей

Agobot может содержать и другие функции, такие как:

Анализатор пакетов
Кейлоггер
Полиморфный код
Установщик руткита
Сбор информации
- Адреса электронной почты
- Ключи программного продукта
- Пароли
SMTP- клиент
- Спам
- Распространение копий самого себя
HTTP- клиент
- Мошенничество с кликами
- DDoS-атаки

Распространение

Следующие методы распространения являются подмодулями механизма сканирования портов:

MS03-026 Переполнение удаленного буфера RPC DCOM (CVE-2003-0352)
MS04-011 Переполнение удаленного буфера LSASS (CVE-2003-0533)
MS05-039 Переполнение удаленного буфера Plug and Play (CVE-2005-1983)
Попытки захватить распространённые троянские кони , которые принимают входящие соединения через открытый порт.
Возможность распространения на системы путем подбора логина. Хорошим примером является Telnet или Microsoft's Server Message Block

В целом было замечено, что каждый модифицированный вариант Agobot включает в себя набор из вышеперечисленных методов, а также некоторые «домашние» модули, которые по сути являются выпущенными эксплойтами, перенесенными в его код.

Имена и т.п. можно добавлять с помощью XML-файлов для создания импорта переменных в случайном порядке.

Варианты

Gaobot.ee

Gaobot.ee — это вариант Agobot. Он также известен как W32.HLLW.Gaobot.EE. Это вредоносный компьютерный червь , который обычно приходит из P2P -сети Ares, устанавливаясь из своей вирусной формы Ares.exe . Он имеет довольно странные характеристики для вируса, с уникальной способностью загружать и устанавливать случайные файлы (возможно, для создания большего числа пользователей) от своих участников, такие как музыка , порнография и даже полные версии игр . Gaobot.ee — это червь, который отправляет большое количество незапрошенных электронных писем, используя свой собственный SMTP- движок. Этот червь также открывает бэкдор на случайном TCP- порту, уведомляет злоумышленников через заранее определенный канал IRC и пытается завершить работу различных продуктов безопасности и инструментов мониторинга системы.

Уровень его безопасности низок, он едва ли наносит какой-либо вред компьютеру. Однако, как сообщается, он загружает и устанавливает шпионское ПО, больше вирусов, троянов и червей, хотя это пока официально не доказано. ^[4]

Ссылки

^ Анализ угроз Infosecurity 2008, стр. 16, ISBN 1-59749-224-8 ISBN 978-1-59749-224-9
^ https://www.wsj.com/public/article_print/SB116900488955878543-yrMHYlacFyxijV14BxFZfXeU1_8_20070216.html Как юридические кодексы могут помешать хакерским делам
^ "Home". Лицо настоящих новостей - WSJ Education . Получено 2023-03-10 .
^ "W32.HLLW.Gaobot.EE". Symantec Security Response/ W32.HLLW.Gaobot.EE . Symantec. Архивировано из оригинала 5 января 2007 г.

Внешние ссылки

W32.Gaobot.DX Symantec Получено 20070618
W32.Gaobot.CEZ Symantec Получено 20070618

[1] Анализ угроз Infosecurity 2008, стр. 16, ISBN 1-59749-224-8 ISBN 978-1-59749-224-9

[2] ttps://www.wsj.com/public/article_print/SB116900488955878543-yrMHYlacFyxijV14BxFZfXeU1_8_20070216.html Как юридические кодексы могут помешать хакерским делам

[3] "Home". Лицо настоящих новостей - WSJ Education . Получено 2023-03-10 .

[4] "W32.HLLW.Gaobot.EE". Symantec Security Response/ W32.HLLW.Gaobot.EE . Symantec. Архивировано из оригинала 5 января 2007 г.