Relatório
Prenda-me
se for capaz
Peculiaridades de uma
rede de bots polimórfica
Sumário
Este relatório foi pesquisado
e redigido por:
Anand Bodke
Abhishek Karnik
Sanchit Karve
Raj Samani
Introdução
3
Conheça o worm
4
Evolução: como o W32/Worm-AAEH se transforma 5
Algoritmo de geração de domínio
6
Mecanismo de download encadeado
7
Mecanismo polimórfico que cria worms únicos
8
Coletor de amostra automatizado
11
Predomínio12
Prevenção contra infecções
13
A derrubada
14
Resumo
14
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 2
Introdução
A analogia que melhor explica o que é o crime cibernético é o jogo de gato
e rato — disputado entre aqueles que combatem o crime cibernético e aqueles
à procura de lucros ilícitos. Existem diversos exemplos em que a inovação
técnica, contemplando ambos os lados, serviu para abrir vantagem entre esses
competidores em algum momento, fazendo com que a parte deixada para trás
corresse atrás do rival para ultrapassá-lo. Essa competição se traduziu de diversas
formas, conforme os criminosos desenvolveram infraestruturas de comunicação
intricadas para promover recursos de controle de malware, de pagamentos
e serviços de lavagem de dinheiro em prol de seus ganhos ilícitos.
O McAfee Labs discute diversos exemplos em relatórios, white papers e blogues
que apresentam o ecossistema do crime cibernético, além de abordar as tendências
emergentes e o nosso compromisso com parceiros importantes para desestabilizar
ou derrubar tais operações ilegais. Os primeiros desenvolvimentos em malware
parecem rudimentares atualmente, mas não se pode negar que o crime cibernético
é, de fato, um grande negócio. Ano passado, a Intel Security encomendou um
relatório ao Center for Strategic and International Studies para estimar o custo
global do crime cibernético. O relatório estimou que o custo anual para a economia
internacional foi de mais de US$ 400 bilhões.
Embora seja fácil discutir se essa estimativa foi muito alta ou muito baixa,
é incontestável que o crime cibernético é um setor em crescimento; e que
os ataques cibernéticos são capazes de gerar receitas significativas. Com um
rendimento tão alto, não é de se admirar que hoje estejamos testemunhando
uma onda de inovações nunca antes vista em ambos os lados do conflito, desde
métodos de comunicação ponto a ponto incorporando dezenas de milhares de
domínios para a comunicação de hosts infectados, até técnicas avançadas de
evasão (AETs) introduzidas em pontos de controle de saída de redes confiáveis.
Este relatório ilustra um exemplo dessas inovações: os criminosos cibernéticos
criaram um worm autoexecutável que evita ser detectado mudando
continuamente sua forma a cada infecção. Sua evolução foi tão prolífica
que novas variantes surgiram até seis vezes por dia.
No início de abril de 2015, uma ação conduzida pelas autoridades internacionais
derrubou os servidores de controle dessa rede de bots. Informações detalhadas
e atualizadas sobre essa derrubada estão disponíveis aqui.
— Raj Samani, CTO do McAfee Labs para a Europa, Oriente Médio e África
Siga o McAfee Labs
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 3
Conheça o worm
Um worm é um tipo de malware
que se replica para infectar outros
computadores. Ele costuma
usar uma rede para se propagar,
contando com as vulnerabilidades
de segurança presentes em um
sistema-alvo para acessá-lo.
É comum que um worm instale
um backdoor no sistema infectado,
transformando-o em uma espécie
de “zumbi”, que fica sob o controle
do autor do worm. Uma rede
de sistemas zumbis também
é conhecida como rede de bots.
O W32/Worm-AAEH é digno
de destaque por ser capaz de
alterar suas impressões digitais
específicas de sistema várias vezes
por dia para escapar à detecção.
A criação de código para ganhos ilícitos é feita com um objetivo específico em
mente: em geral, visando o roubo de informações, como credenciais bancárias,
dados ou propriedade intelectual. Ao contrário dos fins de outras famílias de
malware, o objetivo final do criminoso cibernético por trás deste worm é manter
sua persistência na máquina da vítima.
Conhecido como W32/Worm-AAEH (bem como W32/Autorun.worm.aaeh, VObfus,
VBObfus, Beebone, Changeup, entre outros nomes), o objetivo dessa família
é oferecer suporte para download de outro malware — incluindo ladrões de
senhas bancárias, rootkits, antivírus falsos e ransomware. O malware vem com
uma funcionalidade que se parece com um worm, para se propagar rapidamente
em novas máquinas através de redes, unidades removíveis (USB/CD/DVD)
e arquivos compactados ZIP e RAR.
O worm foi criado no Visual Basic 6. Ao aproveitar a natureza inerentemente
complexa e não documentada do Visual Basic 6, e empregar estratégias de
polimorfismo e ocultação, o W32/Worm-AAEH foi bem-sucedido em manter
sua relevância desde sua descoberta em junho de 2009.
O malware polimórfico, capaz de mudar sua forma a cada infecção, é uma
ameaça muito difícil de combater. O W32/Worm-AAEH é um worm polimórfico
do tipo downloader, com mais de cinco milhões de amostras únicas conhecidas
pelo McAfee Labs. Esse worm teve um impacto devastador sobre os sistemas
dos clientes (mais de 100.000 sistemas infectados desde março de 2014).
Uma vez dentro do sistema, ele passa por mutações a intervalos de algumas
horas e se espalha rapidamente por toda a rede, fazendo download de uma
grande quantidade de malware, incluindo ladrões de senhas, ransomware,
rootkits, bots de spam e outros downloaders. Nosso monitoramento desse
worm desde março de 2014 mostra que o servidor de controle substitui as
amostras por novas variantes de uma a seis vezes por dia, e que o mecanismo
polimórfico no lado do servidor apresenta amostras específicas de clientes,
garantindo uma amostra única com cada nova solicitação de download.
O monitoramento automatizado e proativo ajudou o McAfee Labs a manter-se
à frente desses adversários no que tange sua detecção e remoção, evitando
ataques de malware aos ambientes dos clientes.
Neste relatório, apresentamos um sistema de automação criado em março de
2014 pelo McAfee Labs para imitar o comportamento de comunicação do worm
e explorar seus servidores de controle para coletar malware. Esse sistema deu
a nossos pesquisadores acesso de dia zero ao malware, e tem ajudado o McAfee
Labs a monitorar a atividade da rede de bots antes desta infectar os clientes.
A automação reduziu consideravelmente o número de infecções de sistemas
dos clientes e transferências de alertas.
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 4
Evolução: como o W32/Worm-AAEH se transforma
A primeira amostra conhecida do W32/Worm-AAEH (6ca70205cdd67682d6e86c8394ea459e) foi encontrada em 22 de junho de 2009 (compilada no dia
20 de junho). Esse worm é detectado como Generic Packed.c. Apesar de ser
a primeira versão lançada in the wild (à solta), os autores desse worm quiseram
dificultar sua análise e, para tanto, armazenaram cada cadeia como caracteres
individuais, concatenando-os no momento da execução. No entanto, exceto
por essa etapa, nenhuma outra funcionalidade impediu a análise do malware.
A amostra tinha recursos modestos:
■■
■■
■■
■■
Executar na inicialização do sistema e se esconder no diretório do
perfil do usuário.
Copiar a si mesma em todas as unidades removíveis e utilizar um
arquivo autorun.inf oculto para iniciar sua execução automaticamente.
Utilizar a cadeia de caracteres “Abrir pasta para exibir arquivos” como
o texto de ação no idioma local, compatível com 16 idiomas europeus.
Desativar o recurso do gerenciador de tarefas do Microsoft Windows
que encerra aplicativos, evitando que ele seja encerrado manualmente
pelo usuário.
Entrar em contato com um domínio predefinido (ns1.theimageparlour.net)
para fazer download e executar outros malware.
Com o passar do tempo, os autores acrescentaram novos recursos.
Hoje, o worm consegue:
■■
Detectar máquinas virtuais e software antivírus.
■■
Encerrar conexões da Internet com endereços IP de empresas de segurança.
■■
Utilizar um algoritmo de geração de domínio (DGA) para encontrar
seus servidores de controle.
■■
Injetar malware em processos existentes.
■■
Utilizar criptografia.
■■
Desativar ferramentas que finalizem sua execução.
■■
Propagar-se através de unidades de CD/DVD removíveis.
■■
Explorar uma vulnerabilidade de arquivo LNK (CVE-2010-2568).
■■
Inserir-se em arquivos ZIP ou RAR para auxiliar sua persistência e propagação.
O conjunto de recursos inclui dois componentes: Beebone e VBObfus (também
conhecido como VObfus). O primeiro componente atua como um downloader
para o VBObfus, enquanto o segundo contém toda a funcionalidade do worm
e do cavalo de Troia.
Diversos truques de ocultação e antianálise dificultam a detecção, as técnicas de
criptografia são atualizadas com frequência e os projetos de software de código
aberto às vezes são acrescentados para dificultar ainda mais a análise. Não nos
surpreende que esses truques tenham mantido esse worm relevante desde sua
descoberta em 2009.
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 5
Algoritmo de geração de domínio
Um algoritmo de geração de
domínio é usado pelo malware
para gerar periodicamente um
grande número de nomes de
domínio que, por sua vez, podem
ser usados pelo malware para
troca de informações. O grande
volume de domínios gerados
torna difícil para as autoridades
desativar as redes de bots.
O W32/Worm-AAEH usa um DGA simples, porém eficaz, que permite que os
distribuidores de malware alterem os IPs do servidor e os nomes de domínio
sob demanda (por exemplo, quando bloqueados por produtos de segurança)
enquanto se comunicam com as infecções existentes.
■■
O algoritmo pode ser representado como {cadeia_secreta}{N}.{TLD},
onde cadeia_secreta é uma cadeia oculta predefinida armazenada
na amostra de malware.
■■
N é um número de zero a 20.
■■
TLD é qualquer uma das seguintes cadeias: com, org, net, biz, info.
Enquanto N e TLD permanecem praticamente constantes, a cadeia oculta às
vezes muda. A qualquer momento, o distribuidor de malware define os registros
DNS apropriados, tanto para a cadeia oculta atual quanto para a cadeia anterior,
para assegurar que as amostras antigas consigam se conectar aos servidores
novos para receber atualizações.
Por exemplo, em 14 de setembro de 2014, o endereço IP do servidor de controle
era 188.127.249.119. Esse endereço IP foi registrado sob vários nomes de domínio
usando a cadeia oculta atual, ns1.dnsfor, e a cadeia anterior, ns1.backdates. Alguns
dos nomes de domínio do DGA resultaram em boas soluções, conforme mostra
a imagem abaixo:
O mesmo endereço IP do servidor de controle é registrado contra várias cadeias ocultas.
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 6
Mecanismo de download encadeado
Um dos motivos pelos quais o software antivírus tem dificuldade para lidar com
essa ameaça é que o worm consegue substituir a si próprio por novas variantes
antes que sejam criadas assinaturas para combatê-las. Essa tática é implementada
usando um mecanismo de download encadeado, em que ambos os componentes
do W32/Worm-AAEH (Beebone e VBObfus) fazem download de novas variantes
de cada um deles. Essa etapa assegura a persistência do worm mesmo que
o software de segurança detecte um dos componentes — porque o componente
não detectado eventualmente fará download de uma versão não detectada da
sua contraparte.
O download encadeado é iniciado através de outro componente, detectado
pelo McAfee Labs como Generic VB.kk. Essa amostra vem junto com os kits
de exploração e ataques de engenharia social; ela existe somente para fazer
download do Beebone. Um componente não relacionado, detectado como
Downloader-BJM, é um bot de IRC que se comunica com o mesmo servidor de
controle, mas não interage com o W32/Worm-AAEH. Esse processo é ilustrado
no diagrama abaixo:
Downloader-BJM (bot de IRC)
Máquina vítima nº2
Servidor de controle
Disponível para o malware através do algoritmo de geração de domínio
3
4
O Generic VB.kk
contacta o servidor
de controle usando
as informações
da vítima
O servidor de
controle retorna
o Beebone
5
O Beebone
contacta o servidor
de controle
6
O servidor de
controle retorna
uma lista de
malware, incluindo
o VBObfus e outros
malware criados
por terceiros, como
o Cutwail, Necurs,
Upatre e Zbot
7
O VBObfus
contacta
o servidor
de controle
8
O servidor de
controle retorna
o Beebone
(de novo)
1
A vítima visita uma página maliciosa
2
O kit de exploração instala o Generic VB.kk
Kit de
exploração
Máquina vítima nº1
O processo de infecção do worm W32/Worm-AAEH.
No diagrama acima, o Beebone (na etapa 4) faz download de uma variante do
VBObfus (6) que substitui o antigo Beebone por uma nova variante do Beebone
(8). Segue um acompanhamento da cadeia de download:
A resposta recebida pelo Generic VB.kk na etapa 3.
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 7
Essa resposta inclui o comando (download), o URL e o nome do arquivo a ser
usado ao salvar o Beebone cujo download acabou de ser concluído. O URL
retorna um objeto binário grande (blob) criptografado usando o algoritmo RC4,
que descriptografa o Beebone.
Blob criptografado
Binário descriptografado
Descobrimos uma nova variante do Beebone ao descompactar esse blob.
O Beebone contacta novamente o servidor de controle (7) e obtém um blob
criptografado para descriptografar um conjunto de URLs (8):
URLs descriptografados proporcionam mais malware para o local atual.
Cada URL retorna blobs criptografados que descriptografam o Beebone
e outros malware, e esse ciclo se repete indefinidamente.
Mecanismo polimórfico que cria worms únicos
Antes do worm passar a usar encriptadores prontos em julho de 2014,
o W32/Worm-AAEH usava um mecanismo polimórfico no lado do servidor
único, que gerava binários de worm específicos para cada vítima. Para tanto,
o mecanismo usava as informações (número de série da unidade C e nome
do usuário) contidas na solicitação de download como semente para gerar
cadeias aleatórias. Essas cadeias eram substituídas em locais específicos
no arquivo; uma delas foi usada como chave de descriptografia para cadeias
incorporadas ou binárias, exigindo que todas as informações em texto claro
fossem criptografadas usando as novas cadeias criadas aleatoriamente:
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 8
Comparação byte a byte entre os dois binários gerados pelo mecanismo polimórfico.
O cabeçalho do executável é idêntico.
As diferenças destacadas em vermelho entre essas duas amostras indicam a mutabilidade
do malware.
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 9
As diferenças destacadas em vermelho mostram que os nomes do projeto são modificados
cada vez que um novo binário é gerado.
Alterações em cadeias e dados criptografados.
O mecanismo polimórfico também armazenava nele mesmo informações sobre
a origem da amostra e a assinalava com um marcador. Caracteres alfabéticos
com apenas uma letra eram mapeados para portas individuais de download nos
intervalos 7001–7008, 8000–8003 e 9002–9004, indicando que o download da
amostra foi feito pelo Beebone. Números de dois dígitos indicavam que o download
foi feito pelo malware VBObfus a partir do intervalo de portas 20000–40000.
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 10
Coletor de amostra automatizado
Em março de 2014, o McAfee Labs desenvolveu um sistema de automação para
se comunicar com os servidores de controle do W32/Worm-AAEH para fazer
download de worms novos assim que eles fossem servidos pelo distribuidor de
malware. Nosso mecanismo de automação é projetado para imitar a comunicação
do worm com seu servidor de controle em todas as etapas da sequência de
comunicação descrita na seção anterior.
Até o momento, o sistema reuniu mais de 20.000 amostras únicas de mais de
35 servidores de controle — todos localizados na Europa (consulte o mapa na
página 12) — e tem ajudado os pesquisadores de ameaças do McAfee Labs
a criar detecções para as amostras antes que elas infectem nossos clientes.
Nosso sistema também detectou que o worm substituiu seu encriptador no
dia 21 de julho de 2014. Em 15 de setembro de 2014, o worm introduziu
o 29A-Loader, que é vendido no mercado clandestino por US$ 300.
Ao utilizar um novo algoritmo de formação de clusters do McAfee Labs,
descobrimos que o coletor reuniu mais de 350 variantes entre março
e agosto de 2014, com cerca de 55 amostras para cada variante.
Em outras palavras, temos uma média de 58 novas variantes por mês.
Clusters encontrados pelo coletor de amostras do McAfee Labs
Hash do código do Visual Basic
Número de amostras
e9e18926d027d7edf7d659993c4a40ab
934
2381fb3e2e40af0cc22b11ac7d3e3074
540
d473569124daab37f395cb786141d32a
500
7738a5bbc26a081360be58fa63d08d0a
379
d25a5071b7217d5b99aa10dcbade749d
362
7856a1378367926d204f936f1cfa3111
353
13eae0e4d399be260cfc5b631a25855d
335
987e0ad6a6422bec1e847d629b474af8
335
0988b64de750539f45184b98315a7ace
332
63463a5529a2d0d564633e389c932a37
320
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 11
Todos os servidores de controle do worm detectados pelo McAfee Labs entre
14 de março de 2014 e 14 de setembro de 2014 estavam localizados na Europa.
Predomínio
O zoológico de malware do McAfee Labs tem mais de cinco milhões de amostras
únicas do W32/Worm-AAEH. Nós detectamos mais de 205.000 amostras de
23.000 sistemas em 2013–2014. Esses sistemas se espalharam por mais de
195 países, demonstrando o alcance global da ameaça. Os Estados Unidos
relataram, de longe, o maior número de infecções.
Total de sistemas infectados pelo
W32/Worm-AAEH em 2013-2014
Os sistemas nos Estados Unidos
são o principal alvo deste worm.
9.000
8.000
7.000
6.000
5.000
4.000
3.000
2.000
1.000
0
Suécia
Holanda
Itália
México
Rússia
França
China
Brasil
Taiwan
EUA
Fonte: McAfee Labs, 2015
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 12
Saiba como a Intel Security pode
ajudá-lo a se proteger contra
essa ameaça.
Os números anteriores são uma estimativa conservadora da propagação da
infecção com base em dados coletados a partir de detecções relatadas pelos
nós do McAfee Labs, que constituem um pequeno subconjunto do total de
infecções. As informações sobre geolocalização aqui contidas podem estar
inconsistentes com a propagação real, já que a distribuição geográfica dos
nós pode não ser uniforme.
Prevenção contra infecções
Os produtos da Intel Security detectam todas as variantes dessa família.
Nossos nomes das detecções têm os prefixos abaixo:
■■
W32/Autorun.worm.aaeh
■■
W32/Worm-AAEH
■■
VBObfus
■■
Generic VB
Embora a ameaça seja sistematicamente polimórfica, o comportamento básico
se manteve praticamente o mesmo, permitindo que os clientes facilmente
evitem infecções tomando as medidas de precaução abaixo:
Regras de proteção de acesso para impedir o avanço
do W32/Worm-AAEH
Categoria
Regra
Proteção máxima comum
Impedir o registro de programas
para execução automática
Definida pelo usuário
Impedir a execução de arquivos
no diretório %USERPROFILE%
Definida pelo usuário
Bloquear conexões de saída para
as portas 7001–7008, 8000–8003,
9002–9004 e 20000–40000
(Os aplicativos legítimos poderão
usar essas portas)
Outras regras estão publicadas em https://kc.mcafee.com/corporate/
index?page=content&id=KB76807.
■■
■■
Firewall: bloqueie o acesso aos domínios DGA ns1.dnsfor{N}.{TLD},
onde N é um número de zero a 20, e TLD é qualquer das alternativas
seguintes: com, net, org, biz, info.
McAfee Network Security Platform: aproveite essa regra do
Snort para impedir downloads de malware (instruções em
https://community.mcafee.com/docs/DOC-6086):
–– alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:
“W32/Worm-AAEH C2 Server Communication Detected”;
flow: to_server,established; content: “User-Agent: Mozilla/4.0
(compatible\; MSIE 7.0\; Windows NT 5.1\; SV1)”; classtype:
trojan-activity; )
Compartilhe este relatório
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 13
A derrubada
No início de abril de 2015, uma ação conduzida pelas autoridades internacionais
derrubou os servidores de controle dessa rede de bots. O FBI, o European
Cybercrime Centre (EC3), a Intel Security e a Shadowserver Foundation
juntaram forças para identificar e desestabilizar a infraestrutura dessa rede
de bots.
As informações detalhadas e atualizadas sobre essa derrubada estão
disponíveis aqui.
Resumo
O crime cibernético é um grande negócio — que está ficando cada vez maior —
por isso, não é novidade que os criminosos cibernéticos continuam a atacar.
Como esse exemplo bem mostra, os ladrões fazem de tudo para se esconder
dos profissionais de segurança de TI, da indústria de segurança e das
autoridades internacionais, para que possam continuar a roubar livremente.
Para impedir esses ataques, é necessário um esforço cooperativo. Os fornecedores
de segurança devem compartilhar informações cruciais uns com os outros; as
empresas devem se proteger contra ações legais para, junto com outras empresas
e seus respectivos governos, impedirem ataques; e as autoridades internacionais
devem trabalhar em colaboração com a indústria de segurança e as empresas
afetadas para derrubar os ataques mais graves. Somente através de um esforço
conjunto conseguiremos desacelerar o avanço do roubo cibernético.
Prenda-me se for capaz: peculiaridades de uma rede de bots polimórfica | 14
Sobre o McAfee Labs
Siga o McAfee Labs
O McAfee Labs é uma das maiores fontes do mundo em pesquisa de ameaças,
informações sobre ameaças e liderança em ideias sobre segurança cibernética.
Com dados de milhões de sensores nos principais vetores de ameaça — arquivos,
Web, mensagens e rede — o McAfee Labs oferece informações sobre ameaças em
tempo real, análises críticas e a opinião de especialistas para aprimorar a proteção
e reduzir os riscos.
www.mcafee.com/br/mcafee-labs.aspx
Sobre a Intel Security
A McAfee agora é parte da Intel Security. Com sua estratégia Security Connected,
sua abordagem inovadora para a segurança aprimorada por hardware e a exclusiva
Global Threat Intelligence, a Intel Security está sempre empenhada em desenvolver
soluções de segurança proativas e comprovadas e serviços para a proteção de
sistemas, redes e dispositivos móveis para uso pessoal ou corporativo no mundo
todo. A Intel Security combina a experiência e o conhecimento da McAfee com
a inovação e o desempenho comprovado da Intel para tornar a segurança um
elemento essencial em toda arquitetura e plataforma de computação. A missão
da Intel Security é oferecer a todos a confiança para viver e trabalhar de forma
segura no mundo digital.
www.intelsecurity.com
McAfee. Part of Intel Security.
Av. das Nações Unidas, 8.501 - 16° andar
CEP 05425-070 - São Paulo - SP - Brasil
Telefone: +55 (11) 3711-8200
Fax: +55 (11) 3711-8286
www.intelsecurity.com
As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee.
As informações aqui contidas estão sujeitas a alterações sem aviso prévio, sendo fornecidas “no estado”, sem garantia de
qualquer espécie quanto à exatidão ou aplicabilidade das informações a qualquer circunstância ou situação específica.
Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee e o logotipo da
McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros
nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são
fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia
de qualquer espécie, expressa ou implícita. Copyright © 2015 McAfee, Inc. 61788rpt_polymorphic-botnet_0315