Захват чужих ботнетов

>>> Доработка VM-Ware


Известно по меньшей мере три пути обнаружения VM-Ware. Во-первых, по оборудованию. Виртуальные машины несут на своем борту довольно специфический набор железа, практически не встречающийся в "живой природе": а)видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter; б) сетевая карта: Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10); в) жесткие диски: VMware Virtual IDE Hard Drive и VMware SCSI Controller. Опросив конфигурацию оборудования, червь сразу поймет где он.

Во-вторых, виртуальные сетевые карты имеют довольно предсказуемый диапазон MAC-адресов, а именно: 00-05-69-xx-xx-xx, 00-0C-29-xx-xx-xx и 00-50-56-xx-xx-xx. Червь достаточно выполнить команду "arp -a", чтобы распознать наш план.

В-третьих, VM-Ware имеет коварный backdoor, оставленный разработчиками для служебных целей и управляемый через порт 5658h, при этом в регистре EAX должно содержатся "магическое" число 564D5868h. Ниже приведен фрагмент кода червя Agobot, определяющий версию VM-Ware:

mov eax, 564D5868h ; VMWARE_MAGIC

mov ecx, 0Ah ; Get VMware version

mov edx, 5658h ; VMWARE_PORT

in eax, dx

Листинг 2 определение версии VM Ware

Для маскировки виртуальной машины, Костей Кортчинским (Kostya Kortchinsky) был написан специальный падч, изменяющий идентификационные строки оборудования, MAC-адреса и магический номер backdoor'а.



Содержание раздела