Hoje vou falar sobre a Solar Botnet, um malware relativamente novo mas que já pode ser encontrado de forma gratuita pelos fóruns do submundo do crime virtual.
O objetivo aqui é mostra como é feita a configuração de uma botnet e principalmente mostrar como ela fica escondida no computador da vítima.
Uma botnet geralmente é dividida em duas partes, na primeira parte temos uma pasta de configuração, onde possivelmente vai existir um arquivo chamado “config.php” onde devem ser colocados os dados do banco de dados, como Host, Username e Password, depois de inserir essas informações e iniciando a botnet pelo seu painel principal, todo o banco de dados é gerado para que a malware consiga manter e fazer gerenciamento dos computadores infectados.

Abaixo podemos ver o painel de Login da Solar.

solar_botnet_panel

Depois que o Login e feito entramos no painel de estatísticas e tarefas que a Botnet se propõe a fazer. No caso da Solar o que temos é um resumo dos computadores infectados, qual sistema operacional eles usam e informações sobre os navegadores.

solar_botnet_001

Podemos ver também detalhes das máquinas infectadas.

solar_botnet_002

Na segunda parte da Botnet temos o arquivo executável que vai gerar o malware, ele vai ser o responsável por infectar os computadores e fazer a conexão com o C&C (Command and Control), que é simplesmente o painel de administração da botnet.

Geralmente esse arquivo é chamado de “Builder” e nele precisamos inserir a URL que vai indicar onde nosso painel de administração da Botnet está instalado, como estou fazendo os testes em localhost, coloquei apenas o IP local do meu computador.
Uma vez feita as configurações no Builder precisamos apenas gerar o arquivo executável, que vai ser o responsável por contaminar computadores mundo afora.

solar_botnet_003

Quando esse arquivo é executado no computador da vítima, ele fica disfarçado como um processo “explorer.exe”. Tal fato é confirmado quando vamos no Monitor de Recursos do Windows e verificamos que esse processo está fazendo conexão justamente com o IP que coloquei no Builder da Botnet.

solar_botnet_004

Entre os atributos da Solar, está o de ordenar que as máquinas infectadas visitem sites, isso é bastante útil para ganhar dinheiro com publicidade online ou ataques de DDOS, mas as principais atribuições da Solar é o roubo de dados pelo formgrabber, com isso é possível capturar credenciais de acesso como Gmail, Facebook ou qualquer outro site e também o roubo de carteiras de Bitcoins.
A Solar tem ainda uma vantagem muito útil, é possível inserir novos plugins e aumentar a capacidade de ação da Botnet.

solar_botnet_005 solar_botnet_006