>>> Врезка: самый популярный ботнет
Первое место по популярности занимает Agobot, насчитывающий свыше пятисот (!) своих модификаций. Это довольно продвинутый червь, написанный на приплюснутом Си с четко выраженной модульной структурой, значительно упрощающий наращивание функциональности червя. Agobot использует кросс-платформенную библиотеку libpcap для перехвата трафика и PCRE (Perl Compatible Regular Expressions — Perl-Совместимые Регулярные Выражения) для обработки перехваченного контента (например, поиска паролей, номером кредиток и т. д.).
Внутри червя обнаруживается целый "букет" антиотладочных приемов. Agobot распознает большинство отладчиков (SoftICE, OllyDbg) и виртуальных машин (VMWare, Virtual PC) отказываясь работать в их присутствии. Кроме того, он может прятаться в NTFS-потоках, скрывая факт своего присутствия от многих примитивных ревизоров.
Agobot был написан конкретным немецким пареньком по кличке Ago, так же известного под именем Wonk, арестованным в мае 2004 года за "компьютерные преступления". Так хакерское сообщество потеряло одного из самых талантливых своих представителей. Сейчас он сидит в тюрьме, а его творение гуляет на свободе, распространясь в исходных текстах по лицензии GPL (отсюда и огромное количество модификаций).
Рисунок 5 червь Agobot, загруженный в дизассемблер
