Agobot

Agobot , även ofta känd som Gaobot , är en familj av datormaskar . Axel "Ago" Gembe, en tysk programmerare som också är känd för att ha läckt Half-Life 2 ett år före release, var ansvarig för att skriva den första versionen. Agobot-källkoden beskriver det som: "en modulär IRC-bot för Win32 / Linux". Agobot släpptes under version 2 av GNU General Public License . Agobot är ett flertrådigt och mestadels objektorienterat program skrivet i C++ samt en liten mängd montering . Agobot är ett exempel på ett botnät som kräver lite eller ingen programmeringskunskap för att använda.

Tekniska detaljer

Nya versioner, eller varianter, av masken dök upp så snabbt att familjen Agobot snabbt blev större än andra botfamiljer. Andra botar i Agobot-familjen är Phatbot och Forbot. Agobot har nu flera tusen varianter. Majoriteten av utvecklingsstyrkan bakom Agobot är inriktad på Microsoft Windows- plattformen; som ett resultat av det stora flertalet av varianterna är inte Linux- kompatibla. Faktum är att majoriteten av moderna Agobot-stammar måste byggas med Visual Studio på grund av dess beroende av Visual Studios SDK och Processor Pack. En smittsam Agobot kan variera i storlek från ~12kbyte till ~500kbyte beroende på funktioner, kompilatoroptimeringar och binära modifieringar.

En modul skriven för en medlem i Agobot-familjen kan vanligtvis enkelt porteras till en annan bot. Denna mix-matchning av moduler för att passa ägarens behov har inspirerat många av maskens varianter.

De flesta Agobots har följande funktioner:

• Lösenordsskyddat IRC-klientkontrollgränssnitt
• Uppdatera och ta bort den installerade boten på distans
• Kör program och kommandon
• Portskanner används för att hitta och infektera andra värdar
• DDoS- attacker används för att ta bort nätverk

Agobot kan innehålla andra funktioner som:

• Packet sniffer
• Keylogger
• Polymorf kod
• Rootkit installationsprogram
• Informationsskörd
  • Mejladresser
  • Programvaruproduktnycklar
  • Lösenord
• SMTP -klient
  • Spam
  • Sprider kopior av sig själv
• HTTP- klient
  • Klicka på Bedrägeri
  • DDoS-attacker

Spridning

Följande spridningsmetoder är undermoduler till portskanningsmotorn:

• MS03-026 RPC DCOM Fjärrbuffertspill
• MS04-011 LSASS Fjärrbuffertspill
• MS05-039 Plug and Play fjärrbuffertspill
• Försök att kapa vanliga trojanska hästar som accepterar inkommande anslutningar via en öppen port.
• Möjligheten att sprida sig till system genom att tvinga fram en inloggning. Ett bra exempel är Telnet eller Microsofts Server Message Block

Generellt har det observerats att varje anpassad modifierad variant av Agobot har ett urval av ovanstående metoder såväl som några "hembryggade" moduler, som i huvudsak är släppta exploateringar portade till dess kod.

Namn och sådant kan läggas till via XML-filerna för att producera variabel shuffle-import.

Varianter

Gaobot.ee

Gaobot.ee är en variant av Agobot. Det är också känt som W32.HLLW.Gaobot.EE. Det är en skadlig datormask som tenderar att komma från P2P -nätverket Ares, som installeras från dess virusform, Ares.exe . Det har ganska udda egenskaper för ett virus, med den unika förmågan att ladda ner och installera slumpmässiga filer (kanske för att skapa fler deltagare) från sina medlemmar, som musik , pornografi och till och med fullständiga spel . Gaobot.ee är en mask som skickar ett stort antal oönskade e-postmeddelanden med sin egen SMTP- motor. Denna mask öppnar också en bakdörr på en slumpmässig TCP- port, meddelar angripare via en förutbestämd IRC- kanal och försöker avsluta olika säkerhetsprodukter och systemövervakningsverktyg.

Dess säkerhetsnivå är låg, gör knappast någon skada på en dator. Det har dock rapporterats att ladda ner och installera spionprogram, fler virus, trojaner och maskar, även om detta ännu inte är officiellt bevisat.

externa länkar

• W32.Gaobot.DX Symantec Hämtad 20070618
• W32.Gaobot.CEZ Symantec Hämtad 20070618