Wikipedia

Agobot

Agobot, thường được biết đến là Gaobot, là một họ sâu máy tính. Lập trình viên người Đức - Axel "Ago" Gembe - là người chịu trách nhiệm viết phiên bản đầu tiên của Agobot.[1][2][3] Mã nguồn Agobot mô tả nó là: "bot IRC dạng mô-đun dành cho Win32/Linux". Agobot được phát hành theo giấy phép GPL2. Agobot là chương trình đa luồng và hướng đối tượng được viết bằng C++, trong khi các thành phần nhỏ hơn được viết bằng hợp ngữ. Agobot là một ví dụ về botnet mà hầu như không hoặc yêu cầu rất ít kiến thức lập trình để có thể sử dụng nó.

Chi tiết kĩ thuật sửa

Các phiên bản mới, hoặc biến thể mới phát triển nhanh đến nỗi họ sâu máy tính Agobot nhanh chóng lớn hơn các họ bot khác. Các bot khác trong họ Agobot là Phatbot và Forbot. Hiện nay có hàng ngàn biến thể của Agobot. Nhân tố chính ảnh hưởng đến sự phát triển đằng sau Agobot là mục tiêu thuộc nền tảng Microsoft Windows; hệ quả là phần đông các biến thể của Agobot không tương thích với Linux. Thực tế phần lớn các dòng Agobot hiện đại phải được biên dịch bởi Visual Studio do chúng phụ thuộc vào Visual Studio SDK và bộ Processor Pack. Một con Agobot lây nhiễm được có kích thước thay đổi từ ~12kbyte cho đến ~500kbyte phụ thuộc vào tính năng, sự tối ưu của trình biên dịch và sửa đổi trực tiếp trên tập nhị phân.

Module viết cho một thành viên trong họ Agobot thường có thể được chuyển dễ dàng sang thành viên bot khác. Chính tính chất này đã tạo ra nhiều biến thể khác nhau trong họ Agobot.

Đa phần các Agobot có các tính năng sau:

  • Giao thức điều khiển máy trạm IRC bảo vệ bằng mật khẩu
  • Cập nhật và gỡ bỏ từ xa các bot đã được cài đặt
  • Thực thi các chương trình và lệnh
  • Quét cổng mạng dùng để tìm và lây lan cho các máy khác
  • Tấn công từ chối dịch vụ (DDoS) được dùng để đánh gục các mạng máy tính

Agobot có thể chứa thêm các tính năng khác như:

Sự lây lan sửa

Các biện pháp lây lan sau là các module con của máy quét cổng mạng:

  • MS03-026 RPC DCOM Tràn bộ đệm từ xa
  • MS04-011 LSASS Tràn bộ đệm từ xa
  • MS05-039 Plug and Play Tràn bộ đệm từ xa
  • Nỗ lực chiếm quyền điều khiểm trojan thông thường mà chấp nhận các kết nối đến nó thông qua một cổng mạng mở.
  • Khả năng lây lan sang các hệ thống bằng tấn công vét cạn mật khẩu đăng nhập. Ví dụ điển hình là dịch vụ Telnet hay dịch vụ Server Message Block (SMB) của Microsoft

Nhìn chung, mỗi biến thể được chỉnh sửa của Agobot cung cập một lựa chọn trong các biện pháp trên cũng như kèm theo một vài module "nhà làm", mà thực tế là các mã khai thác lỗi được chuyển thành mã nguồn của nó.

Các tên có thể được thêm qua các file XML để tạo các biến nhập ngẫu nhiên.

Các biến thể sửa

Gaobot.ee sửa

Gaobot.ee là biến thể của Agobot được biết với tên W32.HLLW.Gaobot.EE. Nó là một sâu máy tính độc hại xuất phát từ mạng ngang hàng Ares, được cài đặt từ dạng virus của nó Ares.exe. Nó là một virus có các điểm khá kỳ lạ, với khả năng độc nhất là tải và cài đặt các file ngẫu nhiên (có lẽ là để tạo thêm các máy chia sẻ nội dung) từ các thành viên, như là nhạc, nội dung khiêu dâm, và thậm chí cả các trò chơi điện tử bản đầy đủ. Gaobot.ee là sâu máy tính gửi rất nhiều thư rác bằng máy trạm SMTP của nó. Nó còn mở các backdoor (cổng sau) trên các cổng mạng TCP ngẫu nhiên và được báo cho kẻ tấn công thông qua một kênh IRC định trước, và cố gắng kết thúc nhiều sản phẩm bảo mật và công cụ quản trị hệ thống.

Mức độ bảo mật của nó thấp và khó có thể làm gì gây hại cho máy tính. Tuy vậy có báo cáo cho rằng nó có thể tải và cài đặt chương trình gián điệp, các loại virus khác, trojan và sâu máy tính mặc dù điều này chưa được chính thức chứng minh.[4]

Tham khảo sửa

  1. ^ Infosecurity 2008 Threat Analysis, page 16, ISBN 1-59749-224-8 ISBN 978-1-59749-224-9
  2. ^ https://www.wsj.com/public/article_print/SB116900488955878543-yrMHYlacFyxijV14BxFZfXeU1_8_20070216.html How Legal Codes Can Hinder Hacker Cases
  3. ^ “Log In”.
  4. ^ “W32.HLLW.Gaobot.EE”. Symantec Security Response/ W32.HLLW.Gaobot.EE. Symantec.

Liên kết ngoài sửa

Lấy từ “https://vi.wikipedia.org/w/index.php?title=Agobot&oldid=67347579