1/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
ndice do Frum Geral Geral Os Horrios so TMG Assunto da Mensagem: BOTnet Enviado: 10 Oct 2004, 14:29 Ver mensagens sem resposta | Ver Tpicos ativos ForunsBB Tecnologia Programao e SEO para Webmasters Entrar Registar FAQ Pesquisar Utilizadores Data/Hora: 19 jan 2013, 01:27 BOTnet
Pgina 1 de 1 [ 1 Mensagem ] Verso para impresso Tpico anterior | Prximo Tpico Autor Mensagem Visitante 1. O que um Botnet? Um Botnet um arquivo (normalmente .exe) criado por algum com a finalidade de infectar um computador e conseqentemente conseguir o acesso remoto ao mesmo, tipo um trojan medidas suas propores. Botnets normalmente so feitos para infectar e disseminar em ambientes de IRC, algumas vezes sendo transmitidos diretamente via um arquivo .exe (tipo mulhernua.exe) ou inserido ocultamente em scripts especficos de mIRC, que iro executar ocultamente o botnet. Muitos scripts de guerra encontrados em sites no confiveis normalmente possuem botnets acoplados, com a finalidade de infectar o lammer novato. Um exemplo de Botnet o chamado Global Threat(GT), existem vrios tipos de Botnets contudo este o mais popular pelo fato de ser fcil de editar e pelo poder de seu veneno, que abre um prompt de comando para o attacker no computador da vtima. Outro bot bastante popular o "Litmus". Este Botnet no permite edio e possui muitas outras funes alm de abrir um prompt de comando, como a realizao de ataques DDoS utilizando o computador da vtima como ponto de partida para outros tipos de ataques. Outros botnets populares mas no abordados neste artigo: GSpot, Evil Bot, Acebot e HTML Infecter. Para um lista maior de botnets: http://lockdowncorp.com/bots/list.html 2. Quais so os objetivos de um Botnet? 18/ 01/ 13 BOTnet : Ger al - For unsBB 2/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml Um Botnet criado por vrios motivos, vejamos: 1. O principal que tem sido relatado a utilizao da conexo de Internet da vtima para enviar pacotes de ping a um determinado alvo a fim de congestionar a conexo dele e por conseguinte conseguir expuls-lo ou derrub-lo da Internet. Essa tcnica conhecida como Ping Flood, e uma ramificao do tipo de ataque DDoS. 2. Outro motivo pelo qual um botnet criado consiste em usar o computador da vtima como um IRC BNC, que significa em utilizar o computador da vtima para se conectar a um servidor de IRC com o login do hacker, dessa forma os servidores de IRC no registram a duplicidade de logins simultneos e est feito o clone sem serem banidos do canal, e o hacker remotamente ter o controle do canal desejado medida que vrios clones seus existirem no canal e os demais usurios e o prprio ircop se retirar por qualquer segundo que for. 3. Serve para utilizar o host como um scanner de vulnerabilidades NT IIS, Netbios e Unicode. 4. Flood canais ou usurios de irc, ou seja, atravs da criao de clones possvel encher um determinado canal de forma a deix-lo inoperante, ou mesmo de criar cpias de um determinado nick a fim de que o mesmo seja sempre expulso do irc. 5. Dowload e Upload de arquivos secretamente no host da vtima 6. Criar servidores warez. Uma vez identificadas as vulnerabilidades de um servidor NT, basta colocar os arquivos no host da vtima e pronto. Est criado um servidor warez (servidor de arquivos piratas). Normalmente neste tipo de ataque os bots so do tipo XDCC/FTP, ou seja, eles iro criar um servidor xdccserver num determinado servidor de irc previamente configurado pelo attacker, e um servidor de ftp para acesso pblico via Internet. Botnets normalmente possuem em seu cdigo uma funo para s infectar conexes de alta velocidade, dessa forma garante que seus servidores warez tero um maior nmero possvel de visitantes. 3. Botnets so Virus? No, apesar de que poderiam ser partindo do ponto de vista da infeco e contgio. O criador do botnet pode utiliz-lo para apagar (format, del ou deltree) arquivos ou mesmo para enviar, via upload, um vrus. Vrus, alm de viver como parasita em programas, podem se reproduzir 18/ 01/ 13 BOTnet : Ger al - For unsBB 3/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml e o botnet no. O Botnet no passa de um veneno imediato, ou seja uma vez executado ele s faz lanar seu veneno, no possuindo funes de reproduo, devido a esta caracterstica ele no pode ser considerado um vrus. 4. Como checar uma infeco e remover um Botnet ? Anlises de deteco e remoo de bots variam para cada bot existente, semelhante aos vrus. Irei apresentar 2 dos mais populares bots e como os remover do computador: Global Threat(GT).. Para remover o GT do seu computador primeiramente voc precisa encontr-lo, claro ! Faa o download da seguinte ferramenta: http://www.InfoSecure.org.uk/files/hide.exe Esta ferramenta ir mostrar todos os processos em execuo do computador, inclusive os ocultos, possibilitando alterar o status dos processos de oculto para visvel e vice-versa. Para o nosso caso, queremos identificar processos ocultos de IRC, os quais os botnets utilizam e mais ainda em particular o caso do GT. Uma vez em posse da ferramenta execute-a, localize e selecione o programa de mIRC e ento clique em Hide/Show. Uma vez visvel a janela do mIRC podemos agora inserir comandos diretamente como se fossemos o hacker que nos enviou o botnet. Iremos utilizar estes comandos para localizar o diretrio onde o botnet est 18/ 01/ 13 BOTnet : Ger al - For unsBB 4/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml armazenado em nosso computador e posteriormente remover todos os arquivos deste diretrio. Abra a janela de mirc e digite: //run $mircdir ,ento feche o mIRC. Uma janela tipo explorer ir aparecer listando todos os arquivos do diretrio onde o mIRC foi instalado, pronto s apagar ! Uma ltima medida deve ser tomada, mesmo o computador estando livre deste botnet devemos nos precaver em eventuais casos de sermos infectados novamente, ento vamos remover do nosso computador a forma como este botnet se auto inicia. Clique em 'Iniciar' depois em 'Executar' e finalmente digite: regedit Uma vez que o regedit esteja aberto clique em : 'HKEY_LOCAL_MACHINE' -> 'SOFTWARE' -> 'Microsoft' -> 'Windows' -> 'CurrentVersion' -> 'Run' Na barra de tarefas do regedit voc dever estar com a seguinte linha: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Uma vez l, procure na coluna de data o diretrio onde o botnet estava localizado, e delete esta chave do registro. Verifique tambm na opo RunOnce se existe algum registro do botnet e apague. Pronto. Misso cumprida ! Uma anlise complete do GT Bot est em: http://lockdowncorp.com/bots/gtbot.html Litmus.. Este bot muito simples de achar em computadores infectados. Apenas cheque a existncia do diretrio: %WINDOWS%\litmus (normalmente c:\WINDOWS\litmus ou c:\WINNT\litmus) caso encontre apenas apague o nico arquivo existente dentro do diretrio e pronto, reinicia o computador para estar livre deste bot. Outros.. 18/ 01/ 13 BOTnet : Ger al - For unsBB 5/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml 1. Para verificar se seu computador est infectado com outros tipos de bots v em: Iniciar -> Executar e digite: command Na janela do prompt digite: netstat -a Isto ir listar todas as coneces feitas pelo seu computador.. ##EXEMPLO## Proto Local Address Foreign Address State TCP info_hacker:2660 64.62.0.0:6667 ESTABLISHED ##FIM## Este exemplo nos mostra que nosso computador realizou uma conexo para 64.62.0.0 na porta 6667. De fato, esta porta de um servidor de irc, e eu realmente estou conectado num servidor de irc. Contudo, se eu no estivesse conectado a nenhum servidor de irc e uma conexo semelhante a esta aparecesse, pronto ! Estaria comprovada a infeco. Alm da porta padro do irc outras portas tambm podero ser utilizadas, como: 6660 6661 6662 6663 6664 6665 6666 6667 6668 6669 7000 7001 7002 #################################################### 2. Uma forma bem mais fcil do que a descrita acima a instalao de um anti-botnet, como um anti-vrus. Irei mostrar um dos vrios scann de bots, o SwatIT: 18/ 01/ 13 BOTnet : Ger al - For unsBB 6/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
O Menu Scan. Atravs deste menu voc poder scannear todo o seu computador ou simplesmente um nico arquivo. No menu de Settings voc poder configurar o SwatIt para procurar dentro de arquivos compactados ou no. Uma vez localizados bots no seu computador uma lista com a localizao deles apresentada. Clicando com o boto direito sobre qualquer um deles possvel adotar medidas, como: Apagar, Colocar em quarentena, entre outros como mostrado na imagem.
O Menu Processes. Este menu na verdade um comando que lista todos os processos em execuo no computador, semelhante ao programa hidewindows, visto anteriormente. Clicando com o boto direito sobre qualquer processo da lista voc poder: Terminar o processo, apagar o programa que executou o processo, listar o contedo do diretrio de onde o processo foi inicializado, entre outros. 18/ 01/ 13 BOTnet : Ger al - For unsBB 7/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
O Menu Settings
O Menu Update. Atravs deste menu voc ter sempre uma lista atualizada de botnets, semelhante ao liveupdate da Norton. Contra-Ataque.. Uma vez constatada a infeco possvel rastrear o hacker e o deletar as autoridades competentes, ou seja, vamos acabar com a festinha do canalha. Baixe o mirc oficial em http://www.mirc.com . Conecte no servidor onde a conexo remota estava sendo realizada: /server 64.62.0.0:6667 Uma vez conectado digite: /list Pronto, estamos no canal do hacker. 18/ 01/ 13 BOTnet : Ger al - For unsBB 8/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml
Uma vez l, devemos informar aos Administradores de Rede que existe um botnet nos seus servidores. Entretando possvel que toda a rede de irc esteja sendo gerenciada pelo proprietrio do botnet, como isso possvel? Fcil, o proprietrio do botnet tambm o proprietrio do computador onde o servidor de irc est instalado. E nesses casos eles no iro querer ajud-lo. Nestes casos, devemos informar nossos provedores de internet, eles sabero exatamente quais medidas adotar. download: http://www.InfoSecure.org.uk/files/swatit.exe - this is a botnet scanner this will find and remove any botnets on your computer although does not pick up all types of bots. 6. Como saber se uma infeco por botnet, vrus ou outros ? Um botnet como o GT possui em media 800kb - 2mb dependendo do script que est inserido. O Litmus possui sempre 35.5kb. Enquanto que um virus considerado muito grande possue em mdia 10kb. s vezes os botnets esto escondidos dentro de programas legtimos, como scripts de irc (Avalanche, Scoop, HellHaiser, etc), tornando-os difceis de detectar. Botnets possuem 99% de chance de ser um .exe (Executvel) enquanto virus tendem a ser .vbs . Topo
Curtir Uma pessoa curtiu isso. Seja o primeiro entre seus amigos. Mostrar mensagens anteriores: Todas as Mensagens Ordenar por Data da Mensagem Crescente Avanar English Language Classes Voxy.com/EnglishClasses Effective English Language Classes with lessons based on real life. 18/ 01/ 13 BOTnet : Ger al - For unsBB 9/ 9 www. f or unsbb. com/ bot net - t 1683. ht ml ndice do Frum Geral Geral Os Horrios so TMG
Pgina 1 de 1 [ 1 Mensagem ] Quem est ligado: Utilizador a ver este Frum: Nenhum utilizador registado e 1 visitante Criar Tpicos: Proibdo Responder Tpicos: Proibdo Editar Mensagens: Proibdo Apagar Mensagens: Proibdo Enviar anexos: Proibdo Pesquisar por: Avanar Ir para: Geral Avanar Poltica de Privacidade | Termos de utilizao | Regras do FrunsBB | Contato O FrunsBB funciona com o excelente phpBB