Die Köpfe der Hydra Teil 5

Autorin/Redakteur: Marta Janus (Kaspersky Lab)/gg

Psyb0t: Kommandos

Die untenstehende Liste zeigt eine vollständige Übersicht aller Kommandos, die von dieser Bot-Version interpretiert werden können:

mode  killall   rscan  wupgrade      rsgen  iflood  socks  viri

login   kill       sleep  ver      vsel     pscan rsloop smb

logout silent  rejoin  wget   split     fscan  report  cgen

_exit_             getip   sel       lscan  gsel    r00t     uptime

sh       visit     esel    rlscan sflood sql       usel

tlist      scan   upgrade         getinfo           uflood            pma    spoof

In den meisten Fällen erklären sich die Befehlsnamen von selbst. Es gibt einige IRC-bezogene Kommandos (login, logout, rejoin, silent, mode), Malware-Self-Management-Kommandos (kill, killall, exit, sleep, upgrade, wupgrade, ver, report, split, *sel) und Kommandos zur System-Informationsbeschaffung (tlist, getip, getinfo, uptime, viri). Weiterhin hat der Bot die Kompetenz, Zusatzdateien (wget) herunterzuladen, spezifizierte Webseiten aufzurufen (visit), die Hostdatei zu modifizieren (spoof) und Systemkommandos auszuführen. Die interessantesten Kommandos sind allerdings jene mit Bezug auf DDoS, die für SYN-, UDP- und ICMP-Angriffe (*flood) verwendet werden, sowie diverse Scan-Befehle. Neben dem standardmäßigen Scan-Befehl und dessen oben beschriebenen Varianten existiert eine weitere Gruppe von Kommandos, die ausnahmslos dieselbe Routine in der Datei nutzen, wobei jedes Kommando eine bestimmte Funktion ausführt: pscan aktiviert den Port-Scan, r00t startet einen Brute-Force-Angriff, um das Zugangskennwort eines Geräts zu knacken, während die Kommandos fscan, sql, pma und smb ein und denselben Angriff jeweils auf den FTP-Server, den SQL-Server, das phpMyAdmin-Panel sowie SMB durchführen.

Psyb0t – bei Brute-Force-Angriffen verwendete Kennwörter
Psyb0t – bei Brute-Force-Angriffen verwendete Kennwörter