На известном ресурсе onthar.in взял описание довольно распространенного типа ботнетов, знакомтесь это Pandora:
"Анализ Pandora DDoS bot
Очередного
клона Dirt Jumper, на этот раз пятой версии, «слили в паблик». То есть
выложили в общий доступ. Имя этой поделке — Pandora DDoS Bot. А цена на
черном рынке аж 800$.
Все как и в оригинальном зловреде — Delphi+synapse, размер около
170кб, установка в системе службой, копировнаие себя в системную папку.
Официальное описание бота, если это можно так назвать: http://pastebin.com/V0JjLUXz
Количество ошибок в тексте, как грамматических, так и технических,
говорит само за себя, так же курьезные опечатки и нелепости встречаются и
в коде бота.
Поехали:
File Name: pandora.exe
File Size: 177152 bytes
MD5: 0fc3481d8b9933b7f325101949ecf5e5
SHA1: cb1e7f1c362b5cdf5cd9151cbe2fcae7f7fe1316
PE Time: 0x2A425E19 [Fri Jun 19 22:22:17 1992 UTC]
Sections (8):
Name Entropy MD5
CODE 6.53 9805eaddcbc78a2f4f68b648bfad2978
DATA 4.16 a1324f7532dd48f9017f46be1613826b
BSS 0.0 d41d8cd98f00b204e9800998ecf8427e
.idata 4.48 b254b43e6712cf8533a5306a46f242dc
.tls 0.0 d41d8cd98f00b204e9800998ecf8427e
.rdata 0.2 1144cf17efa7e08a7c62921375bd99ee
.reloc 6.67 12f2747caf308a358b2e892777f79169
.rsrc 3.48 96354dc6d5afdc8e2593cd06d037a54c
В коде и строках сразу видно, что все открыто, кроме адреса админки:
Знакомый по Dirt Jumper 5 список юзерагентов:
Расшифровка админки:
Установка в систему производится по фиксированному пути:
%windows%\system32\antivar.exe
С созданием службы ServerNabs4
Никакой защиты процесс не имеет, по этому убивается элементарно.
Лечим скриптом AVZ:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\antivar.exe');
SetServiceStart('ServerNabs4', 4);
StopService('ServerNabs4');
DeleteFile('c:\windows\system32\antivar.exe');
DeleteService('ServerNabs4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
После перезагрузки система чиста от этого вредоноса.
Что касается атакующих качеств и механизмов, то они идентичны
DirtJumper 5. Вообще разницы между этими ботами практически никакой нет,
напомню, что атаки производятся гет запросами с генерацией случайного
реферерра, случайным из списка юзерагентом и заголовком HTTP/1.0.
Отстук вредоноса в панель управления:
другими словами ничего нового и интересного, очередная некачественная
поделка от отечественных вирьмейкеров, которые покупают исходные коды
готовых продуктов, вносят свои не всегда нужные коррективы и продают
втридорога с уже новым именем."
Благодарим авторов за рассказ.
2
