вторник, 15 мая 2012 г.

Pandora DDoS Bot

На известном ресурсе onthar.in взял описание довольно распространенного типа ботнетов, знакомтесь это Pandora:

"Анализ Pandora DDoS bot

Очередного клона Dirt Jumper, на этот раз пятой версии, «слили в паблик». То есть выложили в общий доступ. Имя этой поделке — Pandora DDoS Bot. А цена на черном рынке аж 800$.

Все как и в оригинальном зловреде — Delphi+synapse, размер около 170кб, установка в системе службой, копировнаие себя в системную папку.
Официальное описание бота, если это можно так назвать: http://pastebin.com/V0JjLUXz
Количество ошибок в тексте, как грамматических, так и технических, говорит само за себя, так же курьезные опечатки и нелепости встречаются и в коде бота.

Поехали:

File Name:  pandora.exe
File Size:  177152 bytes
MD5:        0fc3481d8b9933b7f325101949ecf5e5
SHA1:       cb1e7f1c362b5cdf5cd9151cbe2fcae7f7fe1316
PE Time:    0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]
Sections (8):
  Name      Entropy  MD5
  CODE      6.53     9805eaddcbc78a2f4f68b648bfad2978
  DATA      4.16     a1324f7532dd48f9017f46be1613826b
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.48     b254b43e6712cf8533a5306a46f242dc
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.2      1144cf17efa7e08a7c62921375bd99ee
  .reloc    6.67     12f2747caf308a358b2e892777f79169
  .rsrc     3.48     96354dc6d5afdc8e2593cd06d037a54c

В коде и строках сразу видно, что все открыто, кроме адреса админки:

Знакомый по Dirt Jumper 5 список юзерагентов:

Расшифровка админки:

Установка в систему производится по фиксированному пути:
%windows%\system32\antivar.exe
С созданием службы ServerNabs4

Никакой защиты процесс не имеет, по этому убивается элементарно.
Лечим скриптом AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\windows\system32\antivar.exe');
 SetServiceStart('ServerNabs4', 4);
 StopService('ServerNabs4');
 DeleteFile('c:\windows\system32\antivar.exe');
 DeleteService('ServerNabs4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После перезагрузки система чиста от этого вредоноса.
Что касается атакующих качеств и механизмов, то они идентичны DirtJumper 5. Вообще разницы между этими ботами практически никакой нет, напомню, что атаки производятся гет запросами с генерацией случайного реферерра, случайным из списка юзерагентом и заголовком HTTP/1.0.

Отстук вредоноса в панель управления:

другими словами ничего нового и интересного, очередная некачественная поделка от отечественных вирьмейкеров, которые покупают исходные коды готовых продуктов, вносят свои не всегда нужные коррективы и продают втридорога с уже новым именем."

Благодарим авторов за рассказ.

Комментариев нет:

Отправить комментарий

Дзайбацу

Дзайба́цу (яп. 財閥 — собственность) — это японский термин, означающий «денежную клику» или конгломерат.

Он использовался c XIX до первой половины XX века для именования больших семей, контролирующих банковские и индустриальные объединения (картели, синдикаты). Четыре главных дзайбацу начали свою историю ещё в период Эдо. Это «Мицубиси» (яп. 三菱), «Мицуи» (яп. 三井), «Сумитомо» (яп. 住友) и «Ясуда» (яп. 安田). Бизнес-конгломераты, «дочерние» и более мелкие дзайбацу, которые просуществовали со времён Русско-японской войны до Второй мировой: «Окура» (яп. 大倉), «Кога» (яп. 古河), «Накадзима» (яп. 中島) и «Аюкава» (яп. 鮎川).

Термин стал популярен в США в 1980-х годах для обозначения любой большой корпорации, в большей степени благодаря употреблению в нескольких киберпанк-произведениях, но он не используется в Японии, кроме как в своём историческом значении.

Щит и меч дзайбацу

Страницы

вторник, 15 мая 2012 г.

Pandora DDoS Bot

"Анализ Pandora DDoS bot

Комментариев нет:

Страницы

вторник, 15 мая 2012 г.

Pandora DDoS Bot

"Анализ Pandora DDoS bot

Комментариев нет:

вторник, 15 мая 2012 г.