Difference between revisions of "YoYo"
Jump to navigation
Jump to search
m (1 revision imported) |
m (Text replacement - "=Unknown" to "=") |
||
(One intermediate revision by the same user not shown) | |||
Line 1: | Line 1: | ||
{{Botnet | {{Botnet | ||
| Introduction=YoYo ou YoYoDDoS est un botnet spécialisé dans les attaques par dénis de service distribués. D'après Arbor, les serveurs C&C sont répartis entre la Chine, la Corée et les Etats-Unis, il en va de même pour les victimes<ref>http://ddos.arbornetworks.com/2010/08/yoyoddos-a-new-family-of-ddos-bots/</ref>. La présence des symboles de débogage dans certains bots permet d'avancer l'hypothèse de fonctionnalités rootkit. Le nom de domaine du C&C est codé en dur et le protocole de communication utilisé est artisanal (blob binaire de 232 octets envoyé au C&C). Le chiffrement semble basé sur une table de substitution dont la variable d'entrée dépend de la version du bot. | |Introduction=YoYo ou YoYoDDoS est un botnet spécialisé dans les attaques par dénis de service distribués. D'après Arbor, les serveurs C&C sont répartis entre la Chine, la Corée et les Etats-Unis, il en va de même pour les victimes<ref>http://ddos.arbornetworks.com/2010/08/yoyoddos-a-new-family-of-ddos-bots/</ref>. La présence des symboles de débogage dans certains bots permet d'avancer l'hypothèse de fonctionnalités rootkit. Le nom de domaine du C&C est codé en dur et le protocole de communication utilisé est artisanal (blob binaire de 232 octets envoyé au C&C). Le chiffrement semble basé sur une table de substitution dont la variable d'entrée dépend de la version du bot. | ||
| Fonctionnalités=* Déni de service distribué (requêtes HTTP, UDP/TCP flood) | |Target=Microsoft Windows, | ||
|UserAgent=Mozilla/4.1 (compatible; MSIE 6.0; Windows 5.1) | |||
|CCProtocol=HTTP, | |||
|Status= | |||
|BeginYear=2010 | |||
|EndYear= | |||
|Group=DDoSing, | |||
|Fonctionnalités=* Déni de service distribué (requêtes HTTP, UDP/TCP flood) | |||
* Fonctionnalités suspectées de rootkit | * Fonctionnalités suspectées de rootkit | ||
* Récupération de logiciel malveillant | * Récupération de logiciel malveillant | ||
| Commandes=* 0x00100000 (20-25 requêtes/seconde HTTP) | |Commandes=* 0x00100000 (20-25 requêtes/seconde HTTP) | ||
* 0x80040000 (UDP+SYN flood) | * 0x80040000 (UDP+SYN flood) | ||
* 0x00000004 (télécharge et exécute un programme) | * 0x00000004 (télécharge et exécute un programme) | ||
* 0xc1000000 (inconnue) | * 0xc1000000 (inconnue) | ||
| Infrastructure= | |Infrastructure= | ||
| Commercialisation= | |Commercialisation= | ||
|Victime1=Chine | |||
|Victime2=USA | |||
|Victime3=Corée | |||
|Victime4= | |||
| Victime1=Chine | |||
| Victime2=USA | |||
| Victime3=Corée | |||
| Victime4 | |||
}} | }} |
Latest revision as of 15:49, 8 August 2015
(Botnet) Link to the old Wiki page : [1] / Google search: [2]
YoYo | |
---|---|
Alias | |
Group | DDoSing |
Parent | |
Sibling | |
Family | |
Relations | Variants: Sibling of: |
Target | Microsoft Windows |
Origin | |
Distribution vector | |
UserAgent | Mozilla/4.1 (compatible; MSIE 6.0; Windows 5.1) |
CCProtocol | HTTP (Centralized) |
Activity | 2010 / |
Status | |
Language | |
Programming language | |
Operation/Working group |
Introduction
YoYo ou YoYoDDoS est un botnet spécialisé dans les attaques par dénis de service distribués. D'après Arbor, les serveurs C&C sont répartis entre la Chine, la Corée et les Etats-Unis, il en va de même pour les victimes[1]. La présence des symboles de débogage dans certains bots permet d'avancer l'hypothèse de fonctionnalités rootkit. Le nom de domaine du C&C est codé en dur et le protocole de communication utilisé est artisanal (blob binaire de 232 octets envoyé au C&C). Le chiffrement semble basé sur une table de substitution dont la variable d'entrée dépend de la version du bot.
Features
Associated images
Checksums / AV databases
Publications
Author | Editor | Year | |
---|---|---|---|
The anatomy of a botnet | ASERT | Arbor SERT | 2010 |