Грузинский" ботнет от канадца Пьер-Марка Бюро. Новый мастер-класс на PHDays

26.03.2012

Вчера мир облетела новость - "грузинский" ботнет на базе Win32/Georbot похищает секретные документы, а также делает аудио- и видеозаписи с помощью web-камер.

Узнать о том, как работает Win32/Georbot , научиться им управлять или нейтрализовывать можно будет на форуме Positive Hack Days. 30 и 31 мая. Ведущий инженер вирусной лаборатории ESET, специалист по кибервойнам и кибершпионажу Пьер-Марк Бюро (Pierre-Marc Bureau) проведет первый в мире мастер-класс по "гирботу".

Как он делает скриншоты и пишет звук?

Пьер продемонстрирует аудитории многочисленные возможности Win32/Georbot. В реальном времени вы увидите, как управляемый канадским специалистом зловред исполнит следующие фокусы:

  • совершит кражу документов;
  • снимет скриншоты Web-камерой, установленной на компьютере "жертвы";
  • сделает аудио-запись на встроенный микрофон;
  • просканирует сеть;
  • вызовет отказ в обслуживании.

Способы обфускации

Подобно настоящему резиденту, вредоносная программа не ищет славы и стремится оставаться в тени. Неприметной для антивирусов её делает закрытый и специально усложненный код. Участники мастер-класса узнают, каким образом реализована обфускация (запутывание) кода Win32/Georbot, и смогут прояснить для себя следующие моменты:

  • контроль потока обфускации;
  • строка обфускации;
  • API вызова обфускации через хеширование.

Как управлять "гирботом"

Участники посмотрят, как данный "боевой червь" общается со своим командно-контрольным сервером, используя протокол HTTP. Пьер также покажет, как создать альтернативную команду и серверный элемент управления в лаборатории, и как давать программе команды и получить от нее обратную связь.

Что потребуется на мастер-классе

Не забудьте взять ноутбук с операционной системой Windows XP, установленной на виртуальной машине. Активным участникам мастер-класса необходимо также инсталлировать следующие приложения (их можно скачать бесплатно):

  • Python;
  • IDA Free;
  • Immunity Debugger (или Olly, если предпочитаете);
  • Wireshark.

Обязательные навыки для более плавного погружения в тему:

  • понимание принципов сборки;
  • понимание строения операционной системы Windows;
  • понимание языка программирования Python.

Коротко о Win32/Georbot

По словам Пьер-Марка Бюро, семейство вредоносных приложений Win32/Georbot появилось примерно полтора года назад. Вирус имеет множество вариаций, не предназначен для "ковровой бомбардировки", используется для кражи конфиденциальной информации и с трудом поддается идентификации.

Ссылки по теме

Новость о Win32/Georbot: http://www.securitylab.ru/news/422007.php.

Подробный анализ: http://blog.eset.com/wp-content/media%5Ffiles/ESET%5Fwin32georbot%5Fanalysis%5Ffinal.pdf.