O que é um Botnet?

[darknesshack]

Olá tava dando olhada nessa matéria achei interessante e resolvi postar pra vcs eu pessoalmente não conhecia esse tipo de ataque! Vlw :P

Litmus

1. Para verificar se seu computador está infectado com outros tipos de bots vá em: Iniciar - Executar e escreva command e carregue em Ok

Na janela do prompt escreva netstat -a

Isto irá mostrar a lista de todas as conecções feitas pelo seu computador..

##EXEMPLO##
Proto Local Address Foreign Address State
TCP info_hacker:2660 85.151.54.15:6667 ESTABLISHED
##FIM##

Este exemplo mostra-nos que o nosso computador realizou uma conexão para 85.151.54.15 na porta 6667.

De facto, esta porta é de um servidor de irc, e eu realmente estou conectado num servidor de irc. Contudo, se eu não estivesse conectado a nenhum servidor de irc e uma conexão semelhante a esta aparecesse, pronto! Estaria comprovada a infecção.

Além da porta padrão do irc outras portas também poderão ser utilizadas, como:

6660, 6661, 6662, 6663, 6664, 6665, 6666, 6667, 6668, 6669, 7000, 7001, 7002

2. Uma forma bem mais fácil do que a escrita acima é a instalação de um antibotnet, como um antivírus. Irei mostrar um dos vários scann de bots, o SwatIT.



Menu Scan- Através deste menu você poderá scannear todo o seu computador ou simplesmente um único arquivo.

No menu de Settings você poderá configurar o SwatIt para procurar dentro de arquivos compactados ou não. Uma vez localizados bots no seu computador uma lista com a localização deles é apresentada. Clicando com o botão direito sobre qualquer um deles é possível adoptar medidas, como: Apagar, meter em quarentena entre outros.



Menu Processes - Este menu é na verdade um comando que mostra a lista de todos os processos em execução no computador, semelhante ao programa hidewindows, visto anteriormente. Clicando com o botão direito sobre qualquer processo da lista você poderá: Terminar o processo, apagar o programa que executou o processo, listar o conteúdo do directório de onde o processo foi inicializado, entre outros.



Menu Update - Através deste menu você terá sempre uma lista actualizada de botnets, semelhante ao liveupdate da Norton.


Contra-Ataque

Uma vez constatada a infecção é possível rastrear o hacker e apagar as autoridades competentes, ou seja, vamos mostrar que também sabemos alguma coisa.

Faça download do mIRC

Conecte-se no servidor onde a conexão remota estava a ser realizada
Exemplo: /server 85.151.54.15:6667

Uma vez conectado escreva /list

Pronto, estamos no canal do hacker.

Uma vez lá, devemos informar aos Administradores de Rede que existe um botnet na sua rede. Exemplo: PTnet

Entretando é possível que toda a rede de irc esteja a ser gerenciada pelo proprietário do botnet, como é que isso é possível? Fácil, o proprietário do botnet também é o proprietário do computador onde o servidor de irc está instalado. E nesses casos eles não vão querer ajudá-lo.(Mas talvez se for na PTnet eles façam alguma coisa).

Nestes casos, devemos informar nossos ISP's(Netcabo,SAPO,Telepac,Clix etc..),eles saberão exactamente quais as medidas a tomar.(Dá trabalho sim, mas fica bem feito).

6. Como saber se uma infecção é por botnet, vírus ou outros?

Um botnet como o GT possui em media 800kb - 2mb dependendo do script que está inserido. O Litmus possui sempre 35.5kb. Enquanto que um virus considerado muito grande possue em média 10kb.

Às vezes os botnets estão escondidos dentro de programas legítimos, como scripts de irc (Anaconda, Extreme, Hybrid etc), tornando-os difíceis de detectar.

Botnets possuem 99% de possibilidades de ser um .exe (Executável) enquanto virus tendem a ser .vbs.

7. Onde encontrar mais informações sobre os Botnets?

Mais Informações Sobre ataques Botnets

[Cloudy]

Gostei cara. Vlw.

...by Cloudy

[lisozinho]

O Botnet só se propaga via IRC? Quais outras formas de propagação?

Quem tiver algum post a mais sobre isso posta ae