18/ 01/ 13 BOTnet : Ger al - For unsBB

1/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml

ndice do Frum Geral Geral Os Horrios so TMG
Assunto da Mensagem: BOTnet Enviado: 10 Oct 2004, 14:29
Ver mensagens sem resposta | Ver Tpicos ativos
ForunsBB
Tecnologia Programao e SEO para Webmasters
Entrar Registar FAQ Pesquisar Utilizadores
Data/Hora: 19 jan 2013, 01:27
BOTnet

Pgina 1 de 1 [ 1 Mensagem ]
Verso para impresso Tpico anterior | Prximo Tpico
Autor Mensagem
Visitante
1. O que um Botnet?
Um Botnet um arquivo (normalmente .exe) criado por algum com a
finalidade de infectar um computador e conseqentemente conseguir o
acesso remoto ao mesmo, tipo um trojan medidas suas propores.
Botnets normalmente so feitos para infectar e disseminar em ambientes
de IRC, algumas vezes sendo transmitidos diretamente via um arquivo .exe
(tipo mulhernua.exe) ou inserido ocultamente em scripts especficos de
mIRC, que iro executar ocultamente o botnet. Muitos scripts de guerra
encontrados em sites no confiveis normalmente possuem botnets
acoplados, com a finalidade de infectar o lammer novato.
Um exemplo de Botnet o chamado Global Threat(GT), existem vrios
tipos de Botnets contudo este o mais popular pelo fato de ser fcil de
editar e pelo poder de seu veneno, que abre um prompt de comando para
o attacker no computador da vtima.
Outro bot bastante popular o "Litmus". Este Botnet no permite edio e
possui muitas outras funes alm de abrir um prompt de comando, como
a realizao de ataques DDoS utilizando o computador da vtima como
ponto de partida para outros tipos de ataques.
Outros botnets populares mas no abordados neste artigo: GSpot, Evil Bot,
Acebot e HTML Infecter.
Para um lista maior de botnets: http://lockdowncorp.com/bots/list.html
2. Quais so os objetivos de um Botnet?
18/ 01/ 13 BOTnet : Ger al - For unsBB
2/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
Um Botnet criado por vrios motivos, vejamos:
1. O principal que tem sido relatado a utilizao da conexo de Internet
da vtima para enviar pacotes de ping a um determinado alvo a fim de
congestionar a conexo dele e por conseguinte conseguir expuls-lo ou
derrub-lo da Internet. Essa tcnica conhecida como Ping Flood, e uma
ramificao do tipo de ataque DDoS.
2. Outro motivo pelo qual um botnet criado consiste em usar o
computador da vtima como um IRC BNC, que significa em utilizar o
computador da vtima para se conectar a um servidor de IRC com o login
do hacker, dessa forma os servidores de IRC no registram a duplicidade
de logins simultneos e est feito o clone sem serem banidos do canal, e o
hacker remotamente ter o controle do canal desejado medida que
vrios clones seus existirem no canal e os demais usurios e o prprio ircop
se retirar por qualquer segundo que for.
3. Serve para utilizar o host como um scanner de vulnerabilidades NT IIS,
Netbios e Unicode.
4. Flood canais ou usurios de irc, ou seja, atravs da criao de clones
possvel encher um determinado canal de forma a deix-lo inoperante, ou
mesmo de criar cpias de um determinado nick a fim de que o mesmo seja
sempre expulso do irc.
5. Dowload e Upload de arquivos secretamente no host da vtima
6. Criar servidores warez. Uma vez identificadas as vulnerabilidades de
um servidor NT, basta colocar os arquivos no host da vtima e pronto. Est
criado um servidor warez (servidor de arquivos piratas). Normalmente
neste tipo de ataque os bots so do tipo XDCC/FTP, ou seja, eles iro criar
um servidor xdccserver num determinado servidor de irc previamente
configurado pelo attacker, e um servidor de ftp para acesso pblico via
Internet.
Botnets normalmente possuem em seu cdigo uma funo para s infectar
conexes de alta velocidade, dessa forma garante que seus servidores
warez tero um maior nmero possvel de visitantes.
3. Botnets so Virus?
No, apesar de que poderiam ser partindo do ponto de vista da infeco e
contgio. O criador do botnet pode utiliz-lo para apagar (format, del ou
deltree) arquivos ou mesmo para enviar, via upload, um vrus.
Vrus, alm de viver como parasita em programas, podem se reproduzir
18/ 01/ 13 BOTnet : Ger al - For unsBB
3/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
e o botnet no. O Botnet no passa de um veneno imediato, ou seja uma
vez executado ele s faz lanar seu veneno, no possuindo funes de
reproduo, devido a esta caracterstica ele no pode ser considerado um
vrus.
4. Como checar uma infeco e remover um Botnet ?
Anlises de deteco e remoo de bots variam para cada bot existente,
semelhante aos vrus.
Irei apresentar 2 dos mais populares bots e como os remover do
computador:
Global Threat(GT)..
Para remover o GT do seu computador primeiramente voc precisa
encontr-lo, claro !
Faa o download da seguinte ferramenta:
http://www.InfoSecure.org.uk/files/hide.exe
Esta ferramenta ir mostrar todos os processos em execuo do
computador, inclusive os ocultos, possibilitando alterar o status dos
processos de oculto para visvel e vice-versa. Para o nosso caso, queremos
identificar processos ocultos de IRC, os quais os botnets utilizam e mais
ainda em particular o caso do GT.
Uma vez em posse da ferramenta execute-a, localize e selecione o
programa de mIRC e ento clique em Hide/Show.
Uma vez visvel a janela do mIRC podemos agora inserir comandos
diretamente como se fossemos o hacker que nos enviou o botnet. Iremos
utilizar estes comandos para localizar o diretrio onde o botnet est
18/ 01/ 13 BOTnet : Ger al - For unsBB
4/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
armazenado em nosso computador e posteriormente remover todos os
arquivos deste diretrio.
Abra a janela de mirc e digite: //run $mircdir ,ento feche o mIRC.
Uma janela tipo explorer ir aparecer listando todos os arquivos do
diretrio onde o mIRC foi instalado, pronto s apagar !
Uma ltima medida deve ser tomada, mesmo o computador estando livre
deste botnet devemos nos precaver em eventuais casos de sermos
infectados novamente, ento vamos remover do nosso computador a
forma como este botnet se auto inicia.
Clique em 'Iniciar' depois em 'Executar' e finalmente digite: regedit
Uma vez que o regedit esteja aberto clique em :
'HKEY_LOCAL_MACHINE' -> 'SOFTWARE' -> 'Microsoft' -> 'Windows' ->
'CurrentVersion' -> 'Run'
Na barra de tarefas do regedit voc dever estar com a seguinte linha:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Uma vez l, procure na coluna de data o diretrio onde o botnet estava
localizado, e delete esta chave do registro.
Verifique tambm na opo RunOnce se existe algum registro do botnet e
apague.
Pronto. Misso cumprida !
Uma anlise complete do GT Bot est em:
http://lockdowncorp.com/bots/gtbot.html
Litmus..
Este bot muito simples de achar em computadores infectados. Apenas
cheque a existncia do diretrio: %WINDOWS%\litmus (normalmente
c:\WINDOWS\litmus ou c:\WINNT\litmus) caso encontre apenas apague o
nico arquivo existente dentro do diretrio e pronto, reinicia o
computador para estar livre deste bot.
Outros..
18/ 01/ 13 BOTnet : Ger al - For unsBB
5/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
1. Para verificar se seu computador est infectado com outros tipos de
bots v em: Iniciar -> Executar e digite: command
Na janela do prompt digite: netstat -a
Isto ir listar todas as coneces feitas pelo seu computador..
##EXEMPLO##
Proto Local Address Foreign Address State
TCP info_hacker:2660 64.62.0.0:6667 ESTABLISHED
##FIM##
Este exemplo nos mostra que nosso computador realizou uma conexo para
64.62.0.0 na porta 6667.
De fato, esta porta de um servidor de irc, e eu realmente estou
conectado num servidor de irc. Contudo, se eu no estivesse conectado a
nenhum servidor de irc e uma conexo semelhante a esta aparecesse,
pronto ! Estaria comprovada a infeco.
Alm da porta padro do irc outras portas tambm podero ser utilizadas,
como:
6660
6661
6662
6663
6664
6665
6666
6667
6668
6669
7000
7001
7002
####################################################
2. Uma forma bem mais fcil do que a descrita acima a instalao de um
anti-botnet, como um anti-vrus. Irei mostrar um dos vrios scann de bots,
o SwatIT:
18/ 01/ 13 BOTnet : Ger al - For unsBB
6/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml

O Menu Scan. Atravs deste menu voc poder scannear todo o seu
computador ou simplesmente um nico arquivo. No menu de Settings
voc poder configurar o SwatIt para procurar dentro de arquivos
compactados ou no. Uma vez localizados bots no seu computador uma
lista com a localizao deles apresentada. Clicando com o boto direito
sobre qualquer um deles possvel adotar medidas, como: Apagar, Colocar
em quarentena, entre outros como mostrado na imagem.

O Menu Processes. Este menu na verdade um comando que lista todos
os processos em execuo no computador, semelhante ao programa
hidewindows, visto anteriormente. Clicando com o boto direito sobre
qualquer processo da lista voc poder: Terminar o processo, apagar o
programa que executou o processo, listar o contedo do diretrio de onde
o processo foi inicializado, entre outros.
18/ 01/ 13 BOTnet : Ger al - For unsBB
7/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml

O Menu Settings

O Menu Update. Atravs deste menu voc ter sempre uma lista
atualizada de botnets, semelhante ao liveupdate da Norton.
Contra-Ataque..
Uma vez constatada a infeco possvel rastrear o hacker e o deletar as
autoridades competentes, ou seja, vamos acabar com a festinha do
canalha.
Baixe o mirc oficial em http://www.mirc.com .
Conecte no servidor onde a conexo remota estava sendo realizada:
/server 64.62.0.0:6667
Uma vez conectado digite: /list
Pronto, estamos no canal do hacker.
18/ 01/ 13 BOTnet : Ger al - For unsBB
8/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml

Uma vez l, devemos informar aos Administradores de Rede que existe um
botnet nos seus servidores.
Entretando possvel que toda a rede de irc esteja sendo gerenciada pelo
proprietrio do botnet, como isso possvel? Fcil, o proprietrio do
botnet tambm o proprietrio do computador onde o servidor de irc
est instalado. E nesses casos eles no iro querer ajud-lo.
Nestes casos, devemos informar nossos provedores de internet, eles
sabero exatamente quais medidas adotar.
download: http://www.InfoSecure.org.uk/files/swatit.exe - this is a
botnet scanner this will find and remove any botnets on
your computer although does not pick up all types of bots.
6. Como saber se uma infeco por botnet, vrus ou outros ?
Um botnet como o GT possui em media 800kb - 2mb dependendo do script
que est inserido. O Litmus possui sempre 35.5kb. Enquanto que um virus
considerado muito grande possue em mdia 10kb.
s vezes os botnets esto escondidos dentro de programas legtimos, como
scripts de irc (Avalanche, Scoop, HellHaiser, etc), tornando-os difceis de
detectar.
Botnets possuem 99% de chance de ser um .exe (Executvel) enquanto
virus tendem a ser .vbs .
Topo

Curtir Uma pessoa curtiu isso. Seja o primeiro entre seus amigos.
Mostrar mensagens anteriores: Todas as Mensagens Ordenar por Data da Mensagem
Crescente Avanar
English Language Classes
Voxy.com/EnglishClasses
Effective English Language Classes with
lessons based on real life.
18/ 01/ 13 BOTnet : Ger al - For unsBB
9/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
ndice do Frum Geral Geral Os Horrios so TMG

Pgina 1 de 1 [ 1 Mensagem ]
Quem est ligado:
Utilizador a ver este Frum: Nenhum utilizador registado e 1 visitante
Criar Tpicos: Proibdo
Responder Tpicos: Proibdo
Editar Mensagens: Proibdo
Apagar Mensagens: Proibdo
Enviar anexos: Proibdo
Pesquisar por:
Avanar
Ir para: Geral Avanar
Poltica de Privacidade | Termos de utilizao | Regras do FrunsBB | Contato
O FrunsBB funciona com o excelente phpBB