BOT - BOTNET - IRC
Una de sus mejores características es su propia propagación, tiene propagación por p2p, irc, Lan, y SQL.
Incluye un binder, un compresor upx, posibilidad de cambiar el icono y métodos de inicio.
Explico un poco como se configura:
Irc Server: Aquí colocamos la dirección del servidor irc que utilicemos, recomiendo utilizar una cuenta no-ip o cdmon que redirecciones al servidor para no perder los bot por si cierran el servidor o los banean, generalmente los banean muy rápido si tienen muchos bots, pueden buscar servidores irc en google.
Irc port: El puerto del servidor irc, generalmente 6667
Channel: Pongan el canal donde se conectaran los bot, por ejemplo #botnet
Fixed name: Los nick que tendrán los bot cuando se conecten al servidor, por ejemplo Bot-
Masternick: Esto es importante, es el nick que usaran ustedes para conectarse, es el que deben seleccionar en el cliente irc.
Password: Su password para conectarse, es el que usaran para conectarse cuando introduzcan el comando login. Ej.: 123465
Bind file: Seleccionamos el archivo con el que queremos juntar el bot, por ejemplo una foto.
Change icon: Seleccionamos el icono del bot, por ejemplo el de una imagen jpg
Upx: Marcamos para comprimir el bot
Startup: Introducimos un nombre para una clave de registro (por ejemplo winr32), y el nombre del ejecutable para instalar en la carpeta de win (ej. bootload)
Eso es todo lo básico para que el Server funcione, ahora le damos build y a infectar, Después explicare los métodos de spread para que el bot se propague.
Para ver los comandos del bot introducen commands, en el cliente irc.
También pueden leer el readme del archivo para ver las características del bot, y para ver mas detalladamente como se introducen los comandos.
El Illusion es otro bot proveniente de Rusia, se caracteriza por sus múltiples comandos para ataques de denegación de servicio y por la capacidad de ser controlado por Web y por irc (soporta 2 servidores Web y 2 servidores IRC).
El bot hoy en día es algo antiguo, por lo que al bot puro lo detectan hasta los ciegos, pero todavía sigue funcionando muy bien, es muy estable, y fácil de encriptar.
Características principales:
*Puede ser controlado por IRC y por HTTP
*Proxy functionality (Socks4, Socks5)
*FTP service
*MD5 support for passwords
*Rootkit
*Code injection
*Colored IRC messages
*XP SP2 Firewall bypass
*DDOS capabilities
Su configuración es muy simple, solo abrimos el Build.exe, damos clic en "edit binary" y seleccionamos nuestro BOTBINARY.exe, que viene en la descarga.
Después lo configuramos con algún servidor irc y canal cualquiera, cambian la pass del bot, y dejan todo como esta si no saben para que es.
Eso es todo, ya tienen su BOTBINARY listo para encriptar y comenzar a propagarlo.
Para controlar nuestra botnet entramos al MIRC u otro cliente IRC, agregamos el Server y canal que pusimos cuando creamos el Server y luego ingresamos, se podrán ver todos los bot como en la imagen anterior y desde ahí podemos controlarlos.
Se pone siempre un ! antes del comando, y al principio deben loguearse con el comando login (login botpass) para que los bot le obedezcan.
NetBot Attacker es una herramienta capaz de tirar servidores realizando ataques DDOS de distintos tipos con todos tus bot.
Obviamente la potencia de este ataque dependerá principalmente de la cantidad de bots que tengas.
Lo bueno de esta botnet es que tiene un aspecto "visible" en comparación de las otras que trabajan con servidores irc. También incluye unas opciones colectivas, para descargar y ejecutar archivos, abrir determinada pagina Web, apagar todas las PC, etc.
Para configurar el servidor primero debemos ir hacia el icono del IE en la parte superior izquierda y configurar todo con nuestros datos de conexión ftp, nuestra IP y puertos.
Botnet V1 es una modificación realizada por el autor del Doscite, del antiguo programa MiniDos.
En esta modificación se renovó el código del Server casi desde 0, se agrego una api mucho mas poderosa, similar a la usada en el Doscite, también se quitaron varias opciones que no servían para nada. El cliente casi no se modifico.
Necesitan tener instalado el Visual Basic 6, para compilar el programa. También tienen que modificar donde dice LOCALHOST y poner su IP (esta marcado con rojo en la imagen siguiente). El programa funciona en el puerto 4010 TCP, si tienen router tienen que abrirlo o mapearlo al igual que en cualquier troyano.
En cuanto a funcionamiento es muy simple, no es necesario explicar nada, lo que si les puedo decir es que con 5 bots se logro tirar una Web bastante conocida a modo de prueba.
La botnet es open source, así que pueden modificar el código como quieran y sacar nuevas versiones.