Вернуться   Форум Uinsell.Net > Hacking & Security > Статьи
Войти через OpenID

Ответ
 
Опции темы Опции просмотра

Заразились Optima Darkness 10a? Вам сюда
Старый 08.10.2011, 21:40   #1
Админ
 
Аватар для Ghost


Обратиться по нику

По умолчанию Заразились Optima Darkness 10a? Вам сюда

Как вы уже наверное видели, вышла новая версия популярного ДДоС-бота Optima Darkness, а именно [Ссылки видны только зарегистрированным пользователям. Зарегистрироваться].
Чисто для общего развития, обновление вышло 04.10.11 и стоило такое удовольствие около $600.

[Ссылки видны только зарегистрированным пользователям. Зарегистрироваться] в [Ссылки видны только зарегистрированным пользователям. Зарегистрироваться] описал основные возможности этого бота, методы скрытия в системе и методы удаления бота из зараженной системы.

Возможности бота:
  • ДДоС-атаки трех типов – http флуд, icmp-флуд, syn-флуд.
  • Кража сохраненных паролей от некоторых приложений, установленных в системе жертвы, подробности ниже.
  • Открытие на зараженной системе прокси сервера Socks5.
  • Возможность накрутки различных счетчиков на сайтах (http-обращения к сайтам).
  • Скрытое скачивание и запуск указанного файла в пораженных системах.
  • Устанавливается в системе в виде службы
  • Вес бота – 95,5 кб, написан на делфи.

На данный момент детектируется следующими антивирусами:



Сокрытие в системе, о котором говорил автор, сводится только к невозможности удаления службы или файла по имени, т.к. они динамичны. К примеру имя службы генерируется из шести случайных цифр, а имя файла берется из списка:





Процесс вредоноса не имеет никакой защиты и элементарно завершается даже штатным диспетчером задач. А вот встроенный в Windows брэндмауэр уже не поможет, бот обходит его при запуске, добавляя свой процесс в список доверенных. Папка, в которую бот себя устанавливает всегда одна - C:\WINDOWS\Debug\

При запуске в системе троянец производит сканирование системы на предмет наличия ряда программ для кражи паролей от учетных записей, если таковые сохранены:



Таким набором уже никого не удивишь – это стандартный список браузеров и фтп-клиентов, исходники алогоритмов кражи таких паролей лежат на каждом шагу в интернете. Правда тут еще есть кража паролей от QiP, что не так часто встретишь.

Для усложнения блокировки ДДоС-атак простыми способами существует набор из юзер-агентов:
PHP код:
Mozilla/4.0 (compatibleMSIE 5.0Windows 2000Opera 6.03 [en]
Mozilla/4.0 (compatibleMSIE 6.0America Online Browser 1.1rev1.5Windows NT 5.1;)
Mozilla/4.0 (compatibleMSIE 6.0Windows NT 5.1Avant Browser [avantbrowser.com]; iOpus-I-MQXW03416; .NET CLR 1.1.4322)
Mozilla/5.0 (WindowsUWindows NT 5.1en-USAppleWebKit/525.19 (KHTMLlike GeckoChrome/0.4.154.25 Safari/525.19
Mozilla
/5.0 (X11ULinux i686 (x86_64); en-USrv:1.8.1.6Gecko/2007072300 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etch1+lenny1)
Mozilla/4.0 (compatibleMSIE 7.0Windows NT 6.0)
Mozilla/5.0 (compatibleKonqueror/3.5Linux 2.6.15-1.2054_FC5X11i686en_USKHTML/3.5.4 (like Gecko)
Mozilla/5.0 (WindowsUWindows NT 5.1rurv:1.8.1.19Gecko/20081201 Firefox/2.0.0.19
Mozilla
/5.0 (X11ULinux i686en-USrv:1.8.0.2Gecko/20060308 Firefox/1.5.0.2
Mozilla
/4.0 (compatibleMSIE 8.0Windows NT 6.0WOW64Trident/4.0SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618
Так же автор уверяет, что http-флуд умеет работать по «умным» алгоритмам – считывает с указанной для атаки странички все внутренние ссылки и чередует флуд всех полученных страниц. Чушь, тестирования проводились на этом блоге – как лупило по главной странице, так и продолжало лупить.

Многие удивляются, как антивирусным аналитикам удается так оперативно получать данные об этом боте. Дело в том, что для соединения с управляющей веб-панелью вредонос использует статичный и весьма необычный юзер-агент, по которому крайне легко вычислить его среди других запросов:
PHP код:
GET /index.php?uid=624334&ver=XaXPA HTTP/1.0
User
-Agentdarkness
Host
: *******.com
Pragma
no-cache 
Это может быть одним из фактором для быстрого обнаружения хостерами недобросовестных клиентов.
Это как бы и намек и совет хостерам, чтобы не зевали и оперативно блокировали «админки».

Лечиться от этой инфекции довольно просто.
  1. Сначала нужно включить отображение скрытых файлов и папок.
  2. Затем нужно зайти в папку C:\windows\debug и посмотреть имеющиеся в ней файлы, имеющиеся в ней, можно использовать список, приведенный выше. Открываем диспетчер задач и ищем соответствие. Процесс вируса будет запущен от имени SYSTEM, но это не помешает завершить его. Как только процесс будет завершен – можно удалять файл.
  3. Далее скачиваем утилиту [Ссылки видны только зарегистрированным пользователям. Зарегистрироваться] и ищем в ней список служб, удаляем службу, в названии которой 6 цифр, а путем к файлу указана папка C:\windows\debug.
  4. Промаха быть не может – бот полностью удален из системы, поздравляю.
  Ответить с цитированием
4 cпасибо от:

Старый 08.10.2011, 22:13   #2
робат
 
Аватар для onthar


Обратиться по нику

Инфо
Регистрация: 27.10.2009
Сообщений: 167
Благодарностей: 352
ICQ: 3470670
По умолчанию

Ghost ах, пися, опять копипастишь xDD

На самом деле голую оптиму грузить будут только фимозные школьники, по этому на детекты антивирусами можно не обращать внимания, а вот файлы из списка, присутствующие в папке Debug - да, верный признак заразы.
  Ответить с цитированием
Спасибо от:

Старый 08.10.2011, 22:36   #3
 
Аватар для Поук


Обратиться по нику

Инфо
Регистрация: 03.09.2009
Сообщений: 1,134
Благодарностей: 1466
ICQ: 380102
По умолчанию

кинь ссылку где скачать, приколюсь над другом
  Ответить с цитированием

Старый 16.04.2014, 18:46   #5
Новичок
 
Аватар для Денька


Обратиться по нику

Инфо
Регистрация: 16.04.2014
Сообщений: 1
Благодарностей: 0
Exclamation

в дебуге ничего нет, кроме блокнота и 2 системных папок
  Ответить с цитированием

Старый 28.09.2016, 16:51   #6
Новичок
 
Аватар для Mihail8549


Обратиться по нику

Инфо
Регистрация: 28.09.2016
Сообщений: 1
Благодарностей: 0
По умолчанию

Спасибо за предоставленный метериал
  Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 19:33. Часовой пояс GMT +4.



Powered by vBulletin
Copyright © 2009-2016 UinSell.Net
Лицензия зарегистрирована на: UinSell

Перевод: zCarot