↑ ↓

Информация Ботнет защитит вас от вирусов и антивирусов

BetaBot как защитится и удалить !

  1. X-Shar
    Все наверное знают вирус ZeUs, который нашумел тем-что способен удалять вредоносное ПО, вместе кстати с антивирусами, гы-гы !

    Но так-как он уже итак на слуху да и надоел, то хочу рассмотреть другой не менее прикольный ботнет, которым если я не ошибаюсь атаковали этот форум и насколько я понимаю разрабатывался отечественными программистами, хотя могу и ошибаться.

    Итак речь пойдёт о BetaBot:

    [​IMG]

    [​IMG]

    По версии доктор веб:Trojan.Betabot

    Итак что-же делает данный вирус, а возможности не хилые:

    1)*ANTI-AV Module:

    Используя метод социальной инженерии (написанный на 12 языках) появляясь в виде законного окошка UAC, Бот способен поднимать свои права до уровня администратора. После получения прав администратора Betabot способен выводить из строя более 30 антивирусных средств!

    Шанс успеха при использовании данного метода около 70% !

    Данная функция может быть включена\выключена через панель управления вашей бот-сетью!

    Список поддерживаемых антивирусных средств :

    Ahnlab v3 Lite (XP only)
    ArcaVir
    Avast!
    AVG
    Avira
    BitDefender (On minimal config)
    BKAV
    BullGuard
    Emsisoft Anti-Malware
    ESET NOD32 / Smart Security
    F-PROT
    F-Secure IS
    GData IS
    Ikarus AV
    K7 AntiVirus
    Kaspersky AV/IS (Older versions only)
    Lavasoft Adaware AV
    MalwareBytes Anti-Malware
    McAfee
    Microsoft Security Essentials
    Norman AntiVirus
    Norton AntiVirus (Vista+ only)
    Outpost Firewall Pro
    Panda AV/IS
    Panda Cloud AV (Free version)
    PC Tools AntiVirus
    Rising AV/IS
    Sophos Endpoint AntiVirus
    Total Defense
    Trend Micro
    Vipre
    Webroot SecureAnywhere AV
    Windows Defender
    ZoneAlarm IS


    2)ANTI-MALWARE MODULE

    Данный модуль позволяет Betabot сканировать систему (Эвристический анализ) на наличие зловредных программ и уничтожать их (В том числе неизвестные\новые троянские программы\вирусы).

    Полезный модуль для тех кто желает "очистить" свои загрузки от лишних конкурентов!



    3)Защитный модуль бота

    Процесс Betabot\Файл бота\Данные в реестре Windows находятся под постоянной защитой от удаления\уничтожения и включают в себя множество методов(не только руткит). При удалении ключей в реестре и файла бота они автоматически будут восстановлены. Данный модуль улучшает живучесть ваших загрузок !


    4)Инжект в процесс

    Betabot использует несколько самописных технологий инжектирования в процесс, позволяющих обойти множество антивирусных средств (в Runtime)

    Список обходов :

    ArcaVir IS - Обходит
    Avast - Обходит
    Avast Internet Security - Инжектируется но вызывает окошко Sandbox
    AVG Internet Security - Обходит
    Avira - Обходит
    Avira Internet Security - Обходит
    BitDefender - Обходит (зависит от настроек)
    BullGuard - Попытка убить после перезагрузки
    Comodo - Окошко
    Dr. Web - Обходит
    ESET AV/ESET Smart Security - Обходит
    F-Secure - Обходит
    GData - Окошко
    K7 AntiVirus - Обходит
    Kaspersky Anti-Virus - Обходит (Зависит от настроек)
    Kaspersky Internet Security - Обходит (Зависит от настроек)
    McAfee Total Protection - Обходит
    Norman IS - Окошко
    Norton Internet Security - Обходит
    Panda Internet Security 2013 - Обходит
    PandaCloud - Обходит
    PC Tools AntiVirus - Обходит
    Rising IS - Обходит
    Total Defense - Обходит
    Trend Micro - Обходит
    Vipre - Обходит
    ZoneAlarm - Обходит


    3)Модуль редактора DNS

    Использует перехват функций в системе жертвы отвечающих за работу DNS.

    Может быть использован для подмены выдачи на ваших загрузках (К примеру фишинг facebook методом редиректа на поддельную страницу, п.р facebook.com 127.0.0.1)


    4)Поиск файлов

    Осуществляет поиск файлов в системе, имеет гибкие настройки и различные фильтры поиска. Все найденные файлы упаковываются в ZIP архив и заливаются на ваш сервер.


    5)Модуль form-grabber

    Грабит формы из следующих браузеров :
    Mozilla FIREFOX (Последняя версия)
    Google Chrome (Поддержка SSL)
    Internet Explorer
    Все логи формграббера удобно сортируются в панели управления.


    6)Модуль граббера FTP/POP3/SSH

    Позволяет производить кражу и отправку паролей в панель управления. Все происходит в реальном времени!
    (Putty, Filezilla и пр).


    7)Режим проактивной защиты (Данная функция опциональная и может быть включена\выключена через панель управления)


    Приводит бот в режим активной защиты, в данном режиме Betabot будет блокировать любые попытки установки в систему зловредного софта а так же автоматически определять уже установленных ботов и удалять их след из системы!

    Иногда требуется отключать функцию через панель управления (Например если хотите прогрузить на ваши загрузки RAT, т.к betabot автоматически уничтожит его)


    ==============================
    Основные функции BETABOT :
    ==============================

    *< Размер билда 150кб;

    *< Редактор конфига;

    *< Блокиратор буткитов (Не позволяет установить буткиты из семейства Carberp/Rovnix/Gapz и прочие);

    *< Поддержка 16 серверов;

    *< 4 различных метода DDos атаки (UDP, HTTP FLOOD, CONNECT-DISCONNECT FLOOD, SLOWLORIS FLOOD (KILL APACHE);

    - Slowloris флуд позволяет убить Apache веб-сервера с минимальным количеством ботов;

    - Connect-Disconnect флуд представляет из себя подобие SYN флуда и основан на использовании TCP протокола. В отличии от SYN флуда где мы не отвечаем на ACK пакет от сервера, СONNECT-DISCONNECT флуд совершает полноценное TCP-Рукопожатие (Соединение) и повторяет его очень много раз. Из за нехватки ресурсов на обработку огромного количества соединений сервер выводится из строя;


    - HTTP флуд полностью рандомизирован и оптимизирован
    - Стандартный UDP Флуд;

    --------------------------

    *< USB AUTORUN (С помощью LNK файла);

    *< SOCKS 4 server (поднимает сокс прокси на ваших загрузках);

    *< Download/Update/Execute - стандартные функции лоадера (поддерживает скачивание DLL файлов в память зомбированного процесса svchost.exe а так же JAR файлы)

    Детальная и красивая панель управления.


    Антоха его выкладывал уже здесь:https://ru-sf.ru/threads/betabot-1-7-0-1-full-panel-builder.2124/

    Как видите данный ботнет не только может ддосить, а также воровать пароли и защищать вас от вредоносного ПО + удалять АВ !Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!

    Как защитится:

    1)Не качать подозрительное ПО из непонятных источников;

    2)Регулярно обновлять антивирусное ПО;

    3)В случае вывода запроса UAC, или непонятных запросов отключения защиты, не нажимать бездумно "Да", а подумать нужно-ли это !

    4)В случае заражения проверить антивирусным сканером, например DrWeb CureIT.
    lenyt, Антоха, чупакабра и ещё 1-му нравится это.