úterý 8. května 2012

Pastebin Akcie Botnet zdrojového kódu


Pár dní zpět jsme zjistili další Pastebin záznam , který obsahuje zdroj, který vypadá, že škodlivý kód botnet. Jak jsem již psal ve svém dřívějšímblogu , malware také použít Pastebin obchodu robotické sítě výstroje.Mnohokrát, útržky botnet výzkumným pracovníkům pomoci pochopit fungování botnetu na detekci a psát pro něj.
Kód vyslán byl docela jednoduchý na pochopení, objevit se plně testovány a úplné. Kód poskytuje vhled do kódování dovedností a technik používaných autorem botnet. Tento bot využívá poměrně standardní instalaci, kopírování se do Windows \ System32 \ složky a pak posílat a přijímat příkazy z pevně naprogramované řídicí server. Zdroj obsahuje dvě zajímavé funkce, které antianalysis zjistili přítomnost karantény nebo nástrojů, jako jsou OllyDbg nebo Wireshark. Pokud zjistí protiopatření, bot ukončí svůj proces. Níže jsou uvedeny dvě funkce používané pro antianalysis:
BOOL bIsSandbox (void)
  • Zkontrolujte GetModuleFileNameA () na přítomnost řetězce "vzorku" v PATH
  • Nebo Ověřit GetUserNameA () na přítomnost řetězce jako "HfreAnzr" nebo "pískoviště" nebo "CurrentUser" nebo "VMware" nebo "Nepenthes"
  • Nebo Ověřit GetComputerNameA () na přítomnost řetězce jako "název_počítače" nebo "COMPUTERNAME"
  • Nebo Ověřit GetModuleHandle () na přítomnost DLL jako "SbieDll.dll" nebo "" nebo "api_log.dll dbghelp.dll" nebo "dir_watch.dll"
  • Pokud něco zápasy, ukončit proces bot
DWORD WINAPI tScanner (LPVOID)
  • Použijte FindWindowA () funkce pro kontrolu jméno "CommView"
  • Nebo "TCPViewClass"
  • Nebo "TCPView - Sysinternals: www.sysinternals.com"
  • Nebo "PROCMON_WINDOW_CLASS"
  • Nebo "OLLYDBG"
  • Nebo "gdkWindowToplevel"
  • Nebo "CommView - tým ZWT 2008"
  • Nebo "Wireshark Network Analyzer"
  • Nebo "SysAnalyzer"
  • Pokud něco zápasy, ukončit proces bot
Obě předchozí funkce pomoci bota ukončit jeho proces před analyzovány výzkumných pracovníků. Bot odešle verzi operačního systému, uživatelské jméno botID a další informace k jeho tvrdé kódu řídícího serveru v ns / clients.php se? os =% s ​​& name =% s ​​& id =% i & loc =% s ​​formát a čeká na další příkazy.

Tento bot podporuje následující příkazy, mimo jiné:
Instalace: Stáhněte si a nainstalujte binární další
odinstalovat : Vymaže položky registru a exit ()
otevřeno: Otevřete zadaný soubor
aktualizace: Aktualizace na nové bot binární
qkill: Konec
Když se podíváme na kód nám dává reálnou představu o síťovou komunikaci tohoto botnetu a pomáhá vědci snadno psát detekci. Dostupnost zdroje také nám pomáhá pochopit různé techniky a metody používané v robotických sítí autorů. Není divu, že Pastebin se stal komunikační kanál pro špatné lidi, nejen pro prodej ale i pro botnety sdílení fragmenty kódu.
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)