n/a
Borttagen
Hejsan!
15 apr 2008 #0
I denna guide ska jag förklara vad ett botnet är och hur man undviker sig ifrån ett, och hur man tar reda på ifall filer innehåller en 'bot'. Du kommer även få reda på hur man kan undvika sig bli infekterad av virus / trojaner / maskar.
Botnet?
Som ni vet så finns det flera typer av lustiga typer där ute som vill få åt era uppkopplingar till att DDoSa folk, använda era internet protokoll (ip) att sätta sig bakom för att dölja sin egna identitet när dom gör illegala saker på internet och annat trams, läsa & skriva information i era egna material som tillhör er.
Ett botnet är ett nätverk av en mängd datorer som är infekterade. Datorerna styrs av självaste Botnet ägaren.
Datorerna ansluts till ett central nätverk, och kan - av Mr.X få uppgifter att göra såsom: Brutala DDoS attacker, sniffa, flooda, fortplanta sig (sprider boten över nätverk för att samla in fler datorer), användas till som identitet vid illegala handlingar m.m
Ett botnet är upplagt på ett irc nätverk (porten 6667 oftast).
Jag ska inte gå in så mycket mer på det där, men bara så att ni får ett litet hum om vad det kan innebära.
Är jag med i ett botnet?
Kanske, det vet du inte förns du kollat upp vart du är ansluten till. Det finns flera vägar att gå tillväga för att kolla upp det.
Jag har valt att göra det genom min router. Jag har en D-Link router (DI-524), och ska förklara hur jag även går tillväga för att kolla upp det.
Jag öppnar min webbläsare (firefox använder jag just nu), skriver in min gateway ip-adress som jag har (till min router), som är i detta fall '192.168.0.1' , nu får jag upp en ruta som säger att jag måste logga in. Jag skriver in mina inloggningsuppgifter och loggar in. Nu är jag inne i routern (ni kanske har öppnat portar, då vet ni hur man gör).
Då går jag in på fliken 'Status' sedan trycker jag på 'Active session' som betyder 'Aktiva sessioner'.
Min ser då ut såhär:
192.168.0.130:1037 TCP 207.46.107.25:1863 60133 3592
192.168.0.130:1061 UDP 72.165.61.188:27017 60881 297
192.168.0.130:1112 TCP 88.80.5.114:6665 60971 3593
192.168.0.130:1979 UDP 207.46.26.253:33884 62241 224
192.168.0.130:1707 TCP 87.96.148.215:8000 62355 3600
192.168.0.130:1987 TCP 207.46.113.220:443 63033 10
192.168.0.130:1048 UDP 195.54.122.198:53 63073 275
1. 88.80.5.114 är Gotserved, så inget jag behöver oroa mig över.
2. 207.46.26.253, 72.165.61.188207.46.107.25, 207.46.113.220, 195.54.122.198 är säkra adresser (Steam, MSN, BBB)
3. 87.96.148.215 , med porten 8000 då? Det är radio (SoundicRadios)
Jag har konstaterat att jag inte är ansluten till något botnet.
Hur kan jag kolla ifall filen innehåller botnet då?
Mina kunskaper säger att man skall använda programet 'Sandboxie' och 'Hexedit workshop'.
Jag kortfattar Sandboxie såhär: Du öppnar en fil som innehåller mängder virus & trojaner, det skadar inte ditt system utan alla filer som tvingas köras sparas i C:\Sandboxie\~ . Efter du har öppnat den farliga filen så dödar du allt som tvingas köras genom att högerklicka på Sandboxie och välja "Terminate" & "Disable all forced". Nu har du allt sparat och du behöver bara kolla i mappen "C:\Sandboxie\~", där alla farliga filer som tillhör filen ligger.
Härom dan så hittade jag en fil på Thepiratebay som sades vara en keygen, jag öppnade den med Sandboxie. Då såg jag i Sandboxie att filen keygen.exe kördes, MEN - en fil under keygen.exe kördes även! Filen hette stub.exe.
Då blev jag genast glad att jag använde just Sandboxie. Jag gjorde som ovanstående och hexeditade filen för att sedan granska den. (Jag ska gå in mer på hexedit strax). Tröck CTRL + F och valde "Text", och sökte först på 'mine.nu' (DNS, oftast använder botnet ägare en DNS till sitt nätverk).
Nej, han använde inte något 'mine.nu', så då sökte jag på olika siffror med '.' och till slut kom det fram en ip-adress samt porten 6667 och där stod det bland annat login och lösenordet till kanalen och kanalen. Vad jag gjorde sen ska vi inte gå in på.
Vadå hexedit? Vad är det för något?
Jo, en hexeditor är ett program som används för att redigera binära filer. De kallas så för att de visar datan som hexadecimala tal. Jag ska visa en bild hur det kan se ut när man "hexeditar" en fil som inte är krypterad (ska förklara vad krypterad är strax).
Med hexedit kan man även redigera hex och spara.
Vad är krypterad?
Krypterad, är en fil som är svårläst. Om vi säger att "Contact" (på bilden) var krypterad hade det stått i en massa olika tecken som inte vi hade förstått. För att kunna läsa filen behöver man dekrypterade den, dvs dekryptering. Ska inte gå in mer på det.
Nu hoppas jag att ni fått ett litet hum om det hela och förstår hur allvarligt detta egentligen är. Kanske glömde nämna detta, men om du är ansluten till ett botnet så har Botnet ägaren kontroll över alla dina material på datorn. Och med rätt tid så har han också alla dina login. Kanske till och med ditt internet bankkonto, kreditkort.. Ja du vet nog själv nu hur allvarligt det är.
Tack för mig, jag gjorde denna informativa guide helt själv.
0 poäng