News Beta-Bot deaktiviert Virenscanner

[hugo1337]

Das teil kann man für 320$ kaufen. Verbreitet sich über skype spamming, oder ansonsten über die typischen sachen wie java-drive-by, torrents, facebook, etc.

Beta Bot - Main Features

Disable Anti Virus
Using multiple methods removal methods, Beta Bot is able to remove or disable over 30 different Anti Viruses from user mode. On Vista and 7, elevation is required for this function to work properly. To help achieve maximum efficiency, Beta Bot has incorporated a custom ‘social engineering’ tactic (written in 12 languages) to trick the user into elevating the bot. This method has proven to roughly 80% effective when attempting to elevate privileges.
A complete list of AV’s killed is shown here:

ArcaVir
Avast!
AVG
Avira
BullGuard
Emsisoft Anti-Malware
ESET NOD32 / Smart Security (XP Only)
F-PROT
F-Secure IS
GData IS
Ikarus AV
K7 AntiVirus
Kaspersky AV/IS
Lavasoft Adaware AV
MalwareBytes Anti-Malware
McAfee
Microsoft Security Essentials
Norman AntiVirus
Norton AntiVirus (Vista+ only)
Outpost Firewall Pro
Panda AV/IS
Panda Cloud AV (Free version)
PC Tools AntiVirus
Rising AV/IS
Sophos Endpoint AntiVirus
Total Defense
Trend Micro
Vipre
Webroot SecureAnywhere AV
Windows Defender
ZoneAlarm IS

Bot Persistence
Beta Bot protects all bot resources (Process / Files / Start Up) from removal or termination. Four different layers of protection shield your bot, and files can be considered extremely secure and highly resilient to removal. In the unlikely case the bot is somehow terminated, it will automatically be restarted.

Bot Killer
The next-gen Bot Killer in Beta Bot will successfully kill and remove all major malware you may come across when working with Install Shops and Pay Per Install ventures. The Bot Killer scans process and start up locations for suspicious entries. All injected code and crypted files using RunPE methods with be terminated. However, removal of the physical source of injected code from the disk is not always possible.

System Wide Userkit (Ring3 Rootkit)
The use of a System Wide Userkit in Beta Bot greatly reduces the ability of PC users and usermode programs from removing the bot. Using hooking technology never before seen in usermode malware, Beta Bot is able to intercept any NT system service calls sent to block or modify access to any resources it chooses. This feature is to obviously hinder the effectiveness of bot removal. Additionally, Beta Bot is able to remove consistently 3rd Party hooks on critical functions and also restore its own hooks.

Custom Injection Techniques
Beta Bot incorporates three unique and custom methods of injection, including a new zombie process method. The bot is able to bypass even the most sophisticated Anti Virus Proactive Defenses and Firewall Restrictions.
A complete list of AVs and IS solutions bypasses by Beta Bot:

ArcaVir IS - Bypass
Avast - Bypass
Avast Internet Security - Injects but Prompts (Passes sandbox with no detections)
AVG Internet Security - Bypass
Avira - Bypass
Avira Internet Security - Bypass
BitDefender - No Bypass/Run
BullGuard - Attempt kill / install on reboot
Comodo - Prompt
Dr. Web - Bypass
ESET AV/ESET Smart Security - Bypass
F-Secure - Bypass
GData - Prompt
K7 AntiVirus - Bypass
Kaspersky Anti-Virus - Bypass
Kaspersky Internet Security - No Bypass
McAfee Total Protection - No Injections
Norman IS - Prompt
Norton Internet Security - Bypass
Panda Internet Security 2013 - Bypass
PandaCloud - Bypass
PC Tools AntiVirus - Bypass
Rising IS - Bypass
Total Defense - Bypass
Trend Micro - Attempt kill / install on reboot
Vipre - Bypass
ZoneAlarm - Bypass

Proactive Defense Mode
Allows you to toggle whether or not Beta Bot actively defends against other bots installing and/or injecting into processes. When enabled, any bot reliable on a RunPE will be blocked from working. Most, if not all, injection methods are blocked as well. It even has the ability to block some bots before they can even install.


Beta Bot - Additional Features
- Multi Server Support for up to 16 different servers. Different configurations are possible for each individual server.
- Four different DDoS methods. Uses local information to attempt to randomize headers in HTTP Floods.
UDP
Rapid Connect/Disconnect
HTTP GET
Slowloris
- Experimental Ruskill Using an active Sandbox-like, Beta Bot will attempt to sequester specified programs and roll back any changes made by them after running. This feature is currently in development and may not work on some bots.
- Form Grabbers When specified sites are detected, Beta Bot will pull any relevant forms as they are sent, and export details to the main panel. The use of wildcard masks are supported when specifying target URLs.
FireFox (Normal and SSL)
Internet Explorer (Normal and SSL)
Internet Explorer Formgrabber uses different locations for hooks when available to avoid conflicts with other 3rd party Formgrabbers.
- DNS Blocker + Redirector Without touching the HOSTS file, Beta Bot is able to block domains or redirect them. Entries are specified in the panel and formatting when doing so is identical to the HOSTS file format.
- USB Autorun When enabled, Beta Bot will add itself to any USB drive inserted into the machine using LNK-File swap techniques.
- SOCKS4 Server Turn your bots into dedicated SOCKS4 proxies. Supports UPnP.
- FTP/PuTTY Stealer Collects and organizes FTP logins from a large list of FTP clients as well as harvests live FTP logins as they happen in real time. The PuTTY Stealer works the same, collects logins live as they connect to SSH daemons via PuTTY.
- Various Rudimentary Antis To help maintain the integrity of Beta Bot and to protect various pieces of vital code, Beta Bot makes use of multiple anti debugging and anti dumping methods.
- Download / Update / Uninstall / etc Basic commands expected of all bots.
- Additional User Accounts Ability to create additional user accounts to access your panel. Fully customizable access levels.

Finde ich gut das COMODO Internet Security nicht unter den AV's steht die gekilled werden
Lächerlich das bei Avast sogar sandbox bypassed wird. Bei Comodo geht da nichts ohne einer Warnung


@edit: Wenn der Bot nicht mehr Beta ist soll er 460$ kosten.

Fazit: UAC aktiviert lassen und Hirn einschalten, Comodo Internet Security benutzen ;P

 

[hardwarekäufer]

Ist immerhin trickreicher als der ach so gefaehrliche BKAtrojaner...

Wenn die Bundeslänger Steuer-CD's für mehrere Millionen kaufen, dann sind 500€ für einen funktionierenden Trojaner doch ein klacks ^^^

Ich kann mir gut vorstellen, dass die ersten Käufer die Hersteller von Virenscanner sein werden.
Die werden das Ding analysieren, zerlegen und gucken was sie tun können.

I.d.R. denk ich mir: Wer sowas anwenden möchte und sich mit der Anwendung auskennt, der kann sich so einen quatsch auch selbst basteln.

 

[skartakh]

Joah, genau deswegen hab ichs abgeschaltet.
Nervt nämlich ungmein wenn deine Frau 2 x am Tag anruft weil da was hochgepopt ist...
Ok, übertrieben, aber je nach dem was so alles auf dem Rechner läuft kommt die schon regelmäsig hochgepoppt.

Ich will jetzt nicht gegen Windows motzen, aber nicht ohne Grund habe ich für Frau und Kinder Ubuntu auf die Platte gerödelt....
Leider, leider kommt man als Gamer an Windows bisher nicht vorbei.

 

[Luxuspur]

Sämtliche Malware freut sich, das sie von dir nicht gestört wird, wenn du mit deinem Adminrechten rum surfst.

Fazit: UAC aktiviert lassen und Hirn einschalten, Comodo Internet Security benutzen ;P

Malware braucht schon ne Weile keine Adminrechte mehr um sich einzunisten und erstmal drinn besorgt sie sich die Rechte die sie braucht ... dazu gabs vor ein paar Monaten nen interessanten Artikel auf CT bzw. heise security (wär hätte es gedacht ;p)

Ob mit oder ohne Adminrechte bzw UAC spielt also keine Rolle mehr ... nur mal so am Rande!

@cb: jetzt wäre mal interessant wie man ihn findet sollte er sich schon eingenistet haben! CT kann da aber auch weiterhelfen ^^

 

[Miyamori]

Meine Googleskills reichen nicht um den Artikel zu finden, kannst du mir da ein wenig auf die Sprünge helfen?

 

[Grantig]

Malware braucht schon ne Weile keine Adminrechte mehr um sich einzunisten

Der Beta-Bot scheinbar schon (zumindest um sich vor dem Virenscanner zu verstecken, bzw. ihn zu deaktivieren):

Using multiple methods removal methods, Beta Bot is able to remove or disable over 30 different Anti Viruses from user mode. On Vista and 7, elevation is required for this function to work properly. To help achieve maximum efficiency, Beta Bot has incorporated a custom ‘social engineering’ tactic (written in 12 languages) to trick the user into elevating the bot.

 

[JuggernautX]

Ich denke UAC sollte man immer auf die höchste Stufe stellen. Auch wenn es vielleicht ein paar Klicks mehr bedeutet, aber so häufig wird man im laufenden Betrieb nicht mehr gefragt.

Ein paar mehr Klicks ist gut!..Ich würde eher sagen, dass Du dann nur noch am Klicken bist und überhaupt kein Komfort mehr hast...man kann einfach nicht mehr normal arbeiten und hantieren.....

Ich hatte es mal 1 Stunde auf höchste Stufe, ich hätte bald in den Monitor geschlagen und den PC umgetreten!...


@Grantig:

Oder sie haben die UAC gleich komplett deaktiviert, surfen munter mit Adminrechten durchs Netz und kommen sich noch schlau dabei vor.

Ich bin mir der Gefahr bewusst aber ich will Komfort und nicht nur den ganzen Tag einen Hals schieben vor lauter geklicke!


edit:
Shit, mein Avast steht auch in hugo1337's Liste

Ergänzung (15. Mai 2013)

Der Beta-Bot scheinbar schon (zumindest um sich vor dem Virenscanner zu verstecken, bzw. ihn zu deaktivieren):

Ich würde sofort sehen, wenn sich meine AVAST-Kugel im Tray nicht mehr dreht und/oder deaktiviert ist!

 

[Chief_Rocker]

jetzt wäre mal interessant wie man ihn findet sollte er sich schon eingenistet haben! CT kann da aber auch weiterhelfen ^^

Joah, auch wissen will.

On Vista and 7, elevation is required for this function to work properly

Was is mit Windoof 8?
Brauchts da keine Adminrechte?

 

[Grantig]

@JuggernautX
Im Falle von Avast! merkst du davon nix, der wird nicht abgeschossen, sondern nur umgangen.
Sobald der Bot Avast! umgangen hat kann er sich einnisten ohne erkannt zu werden:

Custom Injection Techniques
Beta Bot incorporates three unique and custom methods of injection, including a new zombie process method. The bot is able to bypass even the most sophisticated Anti Virus Proactive Defenses and Firewall Restrictions.
A complete list of AVs and IS solutions bypasses by Beta Bot:
[...]
Avast - Bypass
[...]

-------------------

Was is mit Windoof 8?
Brauchts da keine Adminrechte?

Doch.

 

[megajoop]

Das ist doch das gute an UAC das ich Nein sagen kann. Wer klickt denn da immer auf Ja ohne Nachzudenken? Das führt das UAC et absurdum.

 

[hugo1337]

Malware braucht schon ne Weile keine Adminrechte mehr um sich einzunisten und erstmal drinn besorgt sie sich die Rechte die sie braucht ... dazu gabs vor ein paar Monaten nen interessanten Artikel auf CT bzw. heise security (wär hätte es gedacht ;p)

Ob mit oder ohne Adminrechte bzw UAC spielt also keine Rolle mehr ... nur mal so am Rande!

@cb: jetzt wäre mal interessant wie man ihn findet sollte er sich schon eingenistet haben! CT kann da aber auch weiterhelfen ^^

Malware die ernsthaft etwas anrichten will wird IMMER admin rechte brauchen. Irgendwo einnisten aber nichts können, ja dafür werden keine admin rechte benötigt.

Ohne admin rechte gibt es nunmal keinen zugriff auf bestimmte funktionen.

Allerdings gibt es viele schädlinge die sich selbst adminrechte verschaffen. Die ist allerdings nicht möglich wenn man den Adminzugriff mit einem Passwort sichert.

 

[c_k]

Wenn man das hier so liest, wundere ich mich schon, dass einige keine UAC mehr haben. Eigentlich sollte man doch immer nur mit einem Zweit-Account arbeiten.

 

[Kamikazedoc]

Ein paar mehr Klicks ist gut!..Ich würde eher sagen, dass Du dann nur noch am Klicken bist und überhaupt kein Komfort mehr hast...man kann einfach nicht mehr normal arbeiten und hantieren.....

Ich hatte es mal 1 Stunde auf höchste Stufe, ich hätte bald in den Monitor geschlagen und den PC umgetreten!...

Versteh ich nich, ich hab die bei allen PCs im Haus auf höchster Stufe und keiner hat bisher rumgemotzt. Ja, bestimmte Programme kommen beim Start daher und fragen ob se wirklich starten dürfen, aber das stellt auch nich die Masse dar (bei mir AIDA, CCleaner und Installationsroutinen). Aber gut, is dein Rechner...

 

[Sebbi]

Normalerweise folgen solche Meldungen ja auf selbst initiierte Aktionen.

Insofern sollte man nochmal darauf hinweisen, irgendwelche Meldungen nicht ungelesen mit JA oder NEIN wegzuklicken.
Das grenzt an Leichtsinn.

Festplattenfehler warten nicht auf Useraktionen, sie passieren einfach

Aber die Fehlermeldung ansich würde mich schon stutzig machen .... denn diese sieht schon ohne Text komisch aus, da Windows normalerweise solche Fehler egal sind, solange es sich nicht um Systemdateien handelt

 

[c_k]

... Aber gut, is dein Rechner...

Ich vervollständige mal...
, der dann zur Gefahr für alle anderen wird. ;-) Leicht übertrieben.

 

[grenn]

Ich will jetzt nicht gegen Windows motzen, aber nicht ohne Grund habe ich für Frau und Kinder Ubuntu auf die Platte gerödelt....
Leider, leider kommt man als Gamer an Windows bisher nicht vorbei.

Wenn Linux später mal einen höheren Marktanteil haben sollte, werden sich die Malwareschreiber auch darauf konzentrieren und auch dafür Schadsoftware entwickeln.

 

[hugo1337]

Ich will jetzt nicht gegen Windows motzen, aber nicht ohne Grund habe ich für Frau und Kinder Ubuntu auf die Platte gerödelt....
Leider, leider kommt man als Gamer an Windows bisher nicht vorbei.

Deutlich schlimmere bots gibt es übrigens für Linux Distributionen / Mac OSX zum gratis download. Meistens ohne AV-Killer was auch nicht notwendig ist da die meisten Linux / Mac user dumm genug sind um keinen AV zu verwenden

 

[c_k]

Stimmt schon unter Unix und Linux bleiben Schwachstellen länger offen als bei Windows-Systemen. Unter Unix und Linux werden aber eher Services angegriffen. Hier geht es meist entweder darum, weitere Systeme zu infizieren, oder direkt auf Datenbanken zu zugreifen.

 

[Der Puritaner]

Würde mich schon wundern wenn dort die Fehlermeldung "das es zu einem kritischen Festplattenfehler gekommen, welcher im Ordner „Eigene Dokumente“ zu einem Datenverlust führen kann" kommen würde da es auf meinem PC keinen Ordner mit Namen "Eigene Dokumente" gibt.

Aber ich denke es gibt schon genügend die sich der kleinen Bot ins Boot Holen werden

 

[minustaurusrex]

Danke für den Hinweis, auch wenn es so manchen nicht kümmern muss ,schliesslich gibt es mittel und wege Schadsoftware welcher Art auch immer, nicht den Hauch einer chance zu lassen :-)