вторник, 15 мая 2012 г.

Pandora DDoS Bot

На известном ресурсе onthar.in взял описание довольно распространенного типа ботнетов, знакомтесь это  Pandora:

"Анализ Pandora DDoS bot

Очередного клона Dirt Jumper, на этот раз пятой версии, «слили в паблик». То есть выложили в общий доступ. Имя этой поделке — Pandora DDoS Bot. А цена на черном рынке аж 800$.

Все как и в оригинальном зловреде — Delphi+synapse, размер около 170кб, установка в системе службой, копировнаие себя в системную папку.
Официальное описание бота, если это можно так назвать: http://pastebin.com/V0JjLUXz
Количество ошибок в тексте, как грамматических, так и технических, говорит само за себя, так же курьезные опечатки и нелепости встречаются и в коде бота.

Поехали:
File Name:  pandora.exe
File Size:  177152 bytes
MD5:        0fc3481d8b9933b7f325101949ecf5e5
SHA1:       cb1e7f1c362b5cdf5cd9151cbe2fcae7f7fe1316
PE Time:    0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]
Sections (8):
  Name      Entropy  MD5
  CODE      6.53     9805eaddcbc78a2f4f68b648bfad2978
  DATA      4.16     a1324f7532dd48f9017f46be1613826b
  BSS       0.0      d41d8cd98f00b204e9800998ecf8427e
  .idata    4.48     b254b43e6712cf8533a5306a46f242dc
  .tls      0.0      d41d8cd98f00b204e9800998ecf8427e
  .rdata    0.2      1144cf17efa7e08a7c62921375bd99ee
  .reloc    6.67     12f2747caf308a358b2e892777f79169
  .rsrc     3.48     96354dc6d5afdc8e2593cd06d037a54c

В коде и строках сразу видно, что все открыто, кроме адреса админки:


Знакомый по Dirt Jumper 5 список юзерагентов:

Расшифровка админки:



Установка в систему производится по фиксированному пути:
%windows%\system32\antivar.exe
С созданием службы ServerNabs4

Никакой защиты процесс не имеет, по этому убивается элементарно.
Лечим скриптом AVZ:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\windows\system32\antivar.exe');
 SetServiceStart('ServerNabs4', 4);
 StopService('ServerNabs4');
 DeleteFile('c:\windows\system32\antivar.exe');
 DeleteService('ServerNabs4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После перезагрузки система чиста от этого вредоноса.
Что касается атакующих качеств и механизмов, то они идентичны DirtJumper 5. Вообще разницы между этими ботами практически никакой нет, напомню, что атаки производятся гет запросами с генерацией случайного реферерра, случайным из списка юзерагентом и заголовком HTTP/1.0.

Отстук вредоноса в панель управления:

другими словами ничего нового и интересного, очередная некачественная поделка от отечественных вирьмейкеров, которые покупают исходные коды готовых продуктов, вносят свои не всегда нужные коррективы и продают втридорога с уже новым именем."

Благодарим авторов за рассказ.

Комментариев нет: