Подробности о ботнете Dorkbot
Как сообщила компания ESET, ее специалисты приняли участие в ликвидации ботнета Dorkbot – эта операция была реализована совместно с польским CERT, компанией Microsoft и правоохранительными органами нескольких стран. Вирусные аналитики ESET представили технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали пользователи более чем в 200 странах мира.
Dorkbot распространяется через социальные сети, спам-рассылки по электронной почте, наборы эксплойтов, а также съемные носители. Будучи установлен на ПК, он нарушает работу антивирусов, блокируя обновления, и использует протокол IRC для получения инструкций от злоумышленников. Dorkbot поддерживает типичный для троянов функционал (кража паролей от сервисов Facebook и Twitter), а также позволяет устанавливать в скомпрометированной системе другое вредоносное ПО. Так, специалисты ESET фиксировали установку ПО для проведения DDoS-атак Win32/Kasidet и спам-бота Win32/Lethic.
Значительное число образцов Dorkbot, изученных аналитиками, обнаружено на съемных накопителях. При запуске дроппера Dorkbot с USB-носителя программа пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес сервера зашит в исполняемом файле дроппера. Код загруженного файла исполняет файл Win32/Dorkbot.L – обертку для установки основного компонента, Win32/Dorkbot.B.
В свою очередь Win32/Dorkbot.B отвечает за работу с удаленным сервером по IRC. Обертка Win32/Dorkbot.L специализируется на перехвате АРI-функции DnsQuery у основного компонента. Такой метод осложняет обнаружение настоящих управляющих серверов злоумышленников.
После установки бот пытается подключиться к IRC-серверу и ожидает команд от своих операторов по фиксированному каналу. Как правило, Dorkbot получает команды на загрузку и исполнение новых вредоносных программ.
Вредоносная программа Dorkbot по-прежнему распространена во многих странах мира, вирусная лаборатория ESET ежедневно получает свежие образцы бота. Для проверки своей системы на заражение Dorkbot и его удаления компания предлагает воспользоваться бесплатным инструментом Dorkbot Cleaner.