아고봇

엘브이엠에치코스메틱스(유)가 등록한 상품, 거래정보 및 거래에 대해 크리스챤디올꾸뛰르코리아㈜는 일체 책임을 지지 않습니다.GNU General Public License.아고봇은 C++ 및 소량의 어셈블리로 작성된 멀티 스레드형 객체 지향 프로그램입니다.아고봇은 프로그래밍 지식이 거의 또는 전혀 필요하지 않은 봇넷의 한 예입니다.

기술적 세부사항

이 웜의 새로운 버전 또는 변종이 매우 빠르게 등장하여 아고봇 제품군은 다른 봇 제품군보다 빠르게 성장했습니다.아고봇 계열의 다른 봇들은 팻봇과 포봇이다.아고봇은 현재 수천 개의 변종을 보유하고 있습니다.Avogbot의 개발 인력 대부분은 Microsoft Windows 플랫폼을 대상으로 하고 있습니다.그 결과, 대부분의 모델은 Linux와 호환되지 않습니다.사실 현대의 Avogbot 변종 대부분은 Visual Studio의 SDK와 프로세서 팩에 의존하기 때문에 Visual Studio로 구축해야 합니다.감염된 Avocbot의 크기는 기능, 컴파일러 최적화 및 바이너리 수정에 따라 최대 12kbyte에서 최대 500kbyte까지 다양합니다.

Avogbot 제품군의 한 멤버를 위해 작성된 모듈은 일반적으로 다른 봇으로 쉽게 이식할 수 있습니다.이러한 모듈 조합은 소유자의 요구에 맞는 것으로, 웜의 많은 변종에서 영감을 주었습니다.

대부분의 Agobot에는 다음과 같은 기능이 있습니다.

• 비밀번호로 보호된 IRC 클라이언트 제어 인터페이스
• 설치된 봇을 원격으로 업데이트 및 제거합니다.
• 프로그램 및 명령 실행
• 다른 호스트를 찾아 감염시키는 데 사용되는 포트 스캐너
• 네트워크 테이크다운에 사용되는 DDoS 공격

Avogbot에는 다음과 같은 다른 기능이 포함될 수 있습니다.

• 패킷 순이파
• 키로거
• 다형 코드
• 루트킷 설치
• 정보 수집
  • 이메일 주소
  • 소프트웨어 제품 키
  • 패스워드
• SMTP 클라이언트
  • 스팸
  • 자신의 복사본을 펼치다
• HTTP 클라이언트
  • 부정행위를 클릭합니다.
  • 디도스 공격

퍼지다

다음 전파 방식은 포트 스캔엔진에 대한 서브 모듈입니다.

• MS03-026 RPC DCOM 리모트버퍼 오버플로우
• MS04-011 LSASS 리모트버퍼 오버플로우
• MS05-039 플러그 앤 플레이 리모트버퍼 오버플로
• 열린 포트를 통해 들어오는 연결을 받아들이는 일반적인 트로이 목마를 가로채려고 시도합니다.
• 로그인을 강제함으로써 시스템에 전파하는 기능.좋은 예로는 Telnet 또는 Microsoft의 서버 메시지 블록이 있습니다.

일반적으로 Avogbot의 모든 커스텀 수정 버전은 위의 메서드 및 일부 "홈브루" 모듈을 선택할 수 있으며, 기본적으로 코드로 포팅된 악용 프로그램이 출시됩니다.

XML 파일을 통해 이름 등을 추가하여 변수 셔플 가져오기를 생성할 수 있습니다.

변종

Gaobot.ee

Gaobot.ee은 Avogbot의 변형입니다.W32라고도 합니다.HLLW.Gaobot.EE. P2P 네트워크 Ares에서 발생하는 악성 컴퓨터 웜으로 바이러스 형태인 Ares.exe에서 설치됩니다.음악, 포르노, 심지어 전체 게임과 같은 구성원으로부터 랜덤 파일을 다운로드하고 설치하는(아마도 더 많은 공유자를 만들 수 있는) 고유한 기능으로 바이러스치고는 다소 이상한 특성을 가지고 있습니다.Gaobot.ee 는, 독자적인 SMTP 엔진을 사용해 대량의 스팸 전자 메일을 송신하는 웜입니다.또한 이 웜은 랜덤 TCP 포트의 백도어를 열고 미리 정해진 IRC 채널을 통해 공격자에게 통지하며 다양한 보안 제품 및 시스템모니터링 툴의 종료를 시도합니다.

보안 수준이 낮아 컴퓨터에 거의 피해를 주지 않습니다.그러나 스파이웨어, 더 많은 바이러스, 트로이 목마 및 웜을 다운로드하여 설치하는 것으로 보고되었지만 아직 공식적으로 ^[4]증명되지는 않았습니다.

레퍼런스

외부 링크

• W32. Gaobot.DX Symantec이 20070618을 취득했습니다.
• W32. Gaobot.CEZ Symantec이 20070618을 취득했습니다.