Agobot - Agobot
Agobot , también conocido como Gaobot , es una familia de gusanos informáticos . Axel "Ago" Gembe, un programador alemán también conocido por filtrar Half-Life 2 un año antes del lanzamiento, fue el responsable de escribir la primera versión. El código fuente de Agobot lo describe como: “un bot IRC modular para Win32 / Linux”. Agobot fue lanzado bajo la versión 2 de la Licencia Pública General GNU . Agobot es un programa de múltiples subprocesos y principalmente orientado a objetos escrito en C ++ , así como una pequeña cantidad de ensamblaje . Agobot es un ejemplo de Botnet que requiere poco o ningún conocimiento de programación para su uso.
Detalles técnicos
Nuevas versiones, o variantes, del gusano aparecieron tan rápidamente que la familia Agobot creció rápidamente más que otras familias de bots. Otros bots de la familia Agobot son Phatbot y Forbot. Agobot ahora tiene varios miles de variantes. La mayor parte de la fuerza de desarrollo detrás de Agobot tiene como objetivo la plataforma Microsoft Windows ; como resultado, la gran mayoría de las variantes no son compatibles con Linux . De hecho, la mayoría de las variedades modernas de Agobot deben construirse con Visual Studio debido a su dependencia del SDK y Processor Pack de Visual Studio. Un Agobot infeccioso puede variar en tamaño de ~ 12kbyte a ~ 500kbyte dependiendo de las características, optimizaciones del compilador y modificaciones binarias.
Un módulo escrito para un miembro de la familia Agobot generalmente se puede portar con facilidad a otro bot. Esta combinación de módulos para satisfacer las necesidades del propietario ha inspirado muchas de las variantes del gusano.
La mayoría de los Agobots tienen las siguientes características:
- Interfaz de control de cliente IRC protegida por contraseña
- Actualice y elimine de forma remota el bot instalado
- Ejecutar programas y comandos
- Escáner de puertos utilizado para encontrar e infectar otros hosts
- Ataques DDoS utilizados para derribar redes
El Agobot puede contener otras características como:
- Analizador de paquetes
- Registrador de teclas
- Código polimórfico
- Instalador de rootkit
- Cosecha de información
- Correos electrónicos
- Claves de productos de software
- Contraseñas
-
Cliente
SMTP
- Correo no deseado
- Difundir copias de sí mismo
-
Cliente
HTTP
- Haga clic en Fraude
- Ataques DDoS
Extensión
Los siguientes métodos de propagación son submódulos del motor de escaneo de puertos:
- MS03-026 Desbordamiento de búfer remoto RPC DCOM
- Desbordamiento del búfer remoto MS04-011 LSASS
- Desbordamiento de búfer remoto Plug and Play MS05-039
- Intenta secuestrar caballos de Troya comunes que aceptan conexiones entrantes a través de un puerto abierto.
- La capacidad de propagarse a los sistemas mediante la fuerza bruta de un inicio de sesión. Un buen ejemplo es Telnet o el bloque de mensajes del servidor de Microsoft.
En general, se ha observado que cada variante modificada personalizada de Agobot presenta una selección de los métodos anteriores, así como algunos módulos "homebrew", que esencialmente son exploits liberados portados a su código.
Se pueden agregar nombres y demás a través de los archivos XML para producir importaciones de barajado variable.
Variantes
Gaobot.ee
Gaobot.ee es una variante de Agobot. También se conoce como W32.HLLW.Gaobot.EE. Es un gusano informático malicioso que suele provenir de la red P2P Ares, instalándose desde su forma de virus, Ares.exe . Tiene características bastante extrañas para un virus, con la capacidad única de descargar e instalar archivos aleatorios (quizás para crear más compartidores) de sus miembros, como música , pornografía e incluso juegos completos . Gaobot.ee es un gusano que envía una gran cantidad de correos electrónicos no solicitados utilizando su propio motor SMTP . Este gusano también abre una puerta trasera en un puerto TCP aleatorio , notifica a los atacantes a través de un canal IRC predeterminado e intenta terminar con varios productos de seguridad y herramientas de monitoreo del sistema.
Su nivel de seguridad es bajo y apenas daña un ordenador. Sin embargo, se ha informado que descarga e instala software espía, más virus, troyanos y gusanos, aunque esto aún no se ha probado oficialmente.
Referencias
enlaces externos
- W32.Gaobot.DX Symantec Obtenido 20070618
- W32.Gaobot.CEZ Symantec Obtenido 20070618