THOR: Otra botnet P2P en desarrollo con características extra de sigilo

THOR: Otra botnet P2P en desarrollo con características extra de sigilo

La comunidad de investigación ahora se está enfocando en la integración de conceptos entre pares (P2P) como mejoras incrementales a las redes distribuidas de software malicioso (ahora denominadas genéricamente botnets). Debido a que las “botnets” se pueden usar para obtener ganancias financieras ilícitas, se han vuelto bastante populares en los recientes ataques de Internet.

UNA “botnet“es una red de computadoras comprometidas y controladas por un atacante. Cada computadora está infectada con un programa malicioso llamado” bot “, que se comunica activamente con otros bots en la botnet o con varios” controladores de bot “para recibir comandos del propietario de la botnet. Los atacantes mantienen un control completo de sus botnets y pueden realizar ataques de denegación de servicio distribuido (DDoS), correo no deseado, registro de teclas, abuso de anuncios en línea, propagación de nuevo malware, etc.

Sin embargo, las primeras botnets que usan redes punto a punto (P2P) para el control remoto de las máquinas comprometidas aparecieron recientemente en la naturaleza. Este nuevo bot tiene una base de código diferente, utiliza la misma estrategia de difusión y también parece mantener una infraestructura de retransmisión múltiple (o peer-to-peer) al igual que su predecesor.

Thor es una botnet P2P descentralizada, codificada en C / C ++ y desarrollada por “TheGrimReap3r“que ha estado en desarrollo durante algún tiempo y está casi listo para salir a la venta. La propia botnet no tiene un punto de comando central, por lo que será muy difícil cerrar, también, muy difícil rastrear de dónde provienen los comandos , porque todos los nodos los pasan.

Thor utiliza la inyección DLL, el enganche IAT, el rootkit ring3, entre otras cosas, para esconderse. Una característica más interesante es que tiene su propio sistema de módulos para que pueda escribir sus propios módulos con nuestro sencillo sistema API. Incluye comunicación de igual a igual que utiliza encriptación 256-AES con generación aleatoria de claves en cada inicio.

Thor funciona en Win 2000+, Win XP SP0 / SP1 / SP2 / SP3, Win Vista SP0 / SP1 / SP2, Win 7 SP0 / SP1 y admite sistemas x86 y x64.

Los desarrolladores de Thor que venderán este Botnet abiertamente en el mercado subterráneo y en varios foros de piratería a $ 8000, el paquete sin módulos y los módulos esperados que cualquiera puede comprar serán: botkiller avanzado, DDoS, capturador de formularios, registrador de claves / ladrón de contraseñas y correo masivo.