Agobot

Resumo

Tipo	Worm [Internet] [IRC] [Backdoor]
Aliases	Backdoor.Agobot (Kaspersky) Backdoor.SdBot (BitDefender) Worm_Agobot (TrendMicro) W32.HLLW.Gaobot – W32.Gaobot (Symantec) W32/Gaobot.Worm (McAfee) W32.Spybot.Worm Rbot, RXbot, Phatbot, e outros “bot”
Sistemas Afetados	Windows NT4 Windows 2000 Windows XP
Dano	Backdoor
Tamanho	Variável
Remoção	Difícil
Notas	É atualmente o malware com mais variantes (1800+)

Descrição

Agobot é atualmente a maior familia de worms com backdoors existente. O Backdoor é um bot de IRC.

Bots de IRC são, normalmente, “robôs” programados para ficarem em canais de IRC executando tarefas como kickar (chutar), banir, buscar no Google, etc. Bots são controlados através de uma senha, que possibilia que uma pessoa dê comandos ao bot para executar várias tarefas diferentes.

O Agobot é um desses bots de IRC, mas em vez de possuir utilidades para controlar o canal automaticamente, estes possuem funcionalidades para controlar o sistema da pessoa infectada. Desse modo, um atacante pode definir um canal e um servidor para que a praga se conecte, fazendo com que sua máquina fique sob total controle do cracker. As redes, com milhares desses bots, são chamadas de botnets.

Infecção

Agobot infecta o sistema de várias formas:

• Embutido em programas piratas
• Explorando diversas falhas no sistema
• Através de compartilhamentos da rede sem senha ou com senhas fracas
• Em sites maliciosos
• Em redes P2P
• Através do Backdoor do Bagle e MyDoom

Quando executado, Agobot criará chaves no registro para iniciá-lo toda vez que o Windows for iniciado. O nome das chaves é igual em todos as chaves do registro, mas varia de variante para variante.

• [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  “variavel” = “variavel.exe”
• [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
  “variavel” = “variavel.exe”
• [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
  “variavel” = “variavel.exe”
• [HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices]
  “variavel” = “variavel.exe”

Após feito isso, ele vai começar a executar suas cargas maliciosas.

Detalhes Técnicos

Agobot poderá criar as seguintes chaves no registro:

• [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  “variavel” = “variavel.exe”
• [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
  “variavel” = “variavel.exe”
• [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
  “variavel” = “variavel.exe”
• [HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices]
  “variavel” = “variavel.exe”

Onde “varivel” é qualquer string e “variavel.exe” é outra string com extensão .exe. Em um sistema infectado com Agobot, como exemplo, foram encontradas as seguintes chaves: nota: note que versões antigas do bot criam menos chaves do registro

Exemplo de Infecção

• [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  “Video Process” = “ekjdxpr.exe”
• [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
  “Video Process” = “ekjdxpr.exe”
• [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
  “Video Process” = “ekjdxpr.exe”
• [HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices]
  “Video Process” = “ekjdxpr.exe”

Note que isso é somente um exemplo. Tanto “Video Process” como ekjdxpr.exe são nomes aleatórios que podem e terão nomes diferentes na maioria dos casos. Não procure por essas entradas exatamente, mas sim pela semelhança de todas essas entradas no registro.

O caminho inteiro do arquivo pode estar escondido pois está no PATH do Windows. Provavelmente você irá encontrá-lo em %WINDIR%System32.

Como você não pode ver o registro pois Agobot o fecha, é necessário utilizar uma dessas técnicas:

Renomear arquivos

Agobot identifica os processos de Anti-Vírus e Firewalls através do nome e o mesmo pode ser dito sobre o regedit.exe. Você pode usar o seguinte comando em um Prompt de Comando:

copy %WinDIR%regedit.exe c:variavel.exe

Agora vá até a unidade C: e execute o variavel.exe. Você poderá rodar o regedit sem problemas. O mesmo pode ser dito quanto ao Gerenciador de Tarefas (taskmgr.exe).

Modo de Segurança

Agobot não consegue se auto-executar no Modo de Segurança. É possível rodar qualquer programa no Modo de Segurança normalmente. Apenas use o regedit ou o HijackThis para apagar as entradas infectadas.

Removendo o registro do registro e apagando os arquivos completará a desinfecção do sistema. Para deletar os arquivos talvez seja necessário configurar o sistema para ver todos os arquivos.

Falhas exploradas

• RPC DCOM (Blaster)
• RPC Locator (Somente Windows 2000)
• IIS WebDav
• Buffer Overflow no serviço Workstation
• Buffer Overflow no serviço Mensageiro
• Universal Plug’n’Play
• Falhas no MSDE e SQL Server
• Buffer Overflow no Lsass.exe (Sasser)

Note que nem todas as versões exploram todas essas falhas. Porem, as mais atuais exploram todas elas e possivelmente qualquer nova falha que possa ser explorada remotamente.

Carga Maliciosa

A carga maliciosa do Agobot torna sua remoção um pouco difícil de remover e detectar. A rotina mais visível dele é a que diversos programas vão parar de executar, como por exemplo, Anti-Vírus, Firewall, Regedit, Gerenciador de Tarefas e tantos outros programas.

A segunda carga maliciosa é a conexão que ele faz com um servidor de IRC para aguardar comandos da pessoa que possui a senha para controlá-lo. O controlador pode fazer uma dessas ações:

• Terminar processos e reiniciar o computador
• Baixar e executar novos arquivos e versões da praga
• Criar ataques de Denial of Service

Entre as rotinas padrão que sempre serão executadas pelo bot:

• Roubar seriais e CDKeys de games como Half-Life e Unreal Tournament
• Scanear o disco por endereços de e-mail para SPAM
• Infectar novos computadores através das rotinas de infecção
• Proibir acesso para sites de Anti-Vírus e Segurança

Como conseqüencia, usuários infectados por esse worm podem sofrer dos mesmos sintomas que usuários infectados pelo Blaster ou
Sasser.

• Envio de dados absurdo que torna a conexão lenta
• Reinicialização do computador com contador de 60 segundos

Recomendações

Recomenda-se seguir os seguintes passos para não ser infectado com uma das variantes do Agobot:

• Atualizar o Windows
• Rodar o sistema com usuário limitado e não como Administrador
• Não baixar arquivos executáveis com nomes estranhos em redes P2P como Kazaa e Emule
• Manter compartilhamentos de rede com senhas

Seguindo estas recomendações, você dificilmente será infectado por uma das variantes do Agobot.

Alertas

–

Remoção

Ferramentas de Remoção

Symantec

A ferramenta da Symantec é capaz de remover algumas infecções, mas não todas elas. Prossiga da seguinte forma:

1. Faça o download da ferramenta
2. Feche todos os programas
3. Desabilite a rede e a internet permamentemente
4. Desabilite a Restauração do Sistema no Windows ME/XP
5. Rode a ferramente e clique em Start. Se a ferramenta não conseguir remover todos os arquivos, use o Modo de Segurança.
6. Reinicie o computador
7. Rode a ferramenta mais uma última vez
8. Caso não apresente nova infecção, reconecte a internet. Só reconecte a rede quando todos os computadores da rede foram desinfectados.

Remoção Manual

Para remover manualmente o Agobot faça o seguinte:

Se você não tem certeza do que está fazendo, peça ajuda em algum fórum dizendo que você possui os sintomas do Agobot e já com o seu log do HijackThis tirado no modo de Segurança. Não tente corrigir para quebrar mais.

1. No Windows XP ou ME, desabilite a Restauração do Sistema
2. Faça o download do HijackThis
3. Rode o computador no Modo de Segurança
4. Rode o HijackThis. Você deverá duas ou mais entradas apontando para o mesmo executável usando o mesmo nome como no exemplo de infecção. Delete essas entradas e clique em Fix
5. Procure no diretório %WINDIR%System32 a presença do arquivo mencionado nas chaves do registro. Pode ser necessário configurar o Windows para
   ver todos os arquivos
6. Após deletado os arquivos, abra, com o Bloco de Notas, o arquivo %WinDIR%system32driversetchosts e deixe o arquivo somente com a seguinte linha:
   
   127.0.0.1 localhost
7. Reinicie o computador.

Links

• F-Secure
• Symantec