Dorkbot féreg


2016. január 15. 09:18

CH azonosító

CH-12943

Angol cím

Win32/Dorkbot worm

Felfedezés dátuma

2014.09.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Dorkbot féreg képes ellopni a user online felhasználóneveit, és jelszavait. Ezeken kívül blokkolja azokat a weboldalakat ahonnan biztonsági frissítések tölthetőek le, továbbá a fertőzött számítógépek szolgáltatásmegtagadásos támadásban vehetnek részt.

Leírás

A Win32/Dorkbot variánsok a közösségi hálózatok üzeneteivel terjeszkednek. Az üzenet tartalmaz egy olyan linket, melyen a féreg egy másolata érhető el, és automatikusan letöltődik a számítógépre.

A kártevő az alábbi fájlneveket tartalmazhatja:

  • facebook-profile-pic-<random number>-JPEG.exe
  • facebook-pic00<random number>.exe
  • skype_<DDMMYYYY>_foto.exe , where <DDMMYYYY> is the day, ,month, and year, for example, “skype_06102012_foto.exe
  • skype_<DD-MM-YYYY>_foto.exe , where <DD-MM-YYYY> is the day, ,month, and year, for example, “skype_09-10-2012_image.exe

Mikor a kártevő aktiválódik, másolja magát a %APPDATA% mappákba véletlenszerűen generált 6 karakter hosszú fájlnévvel, majd törli az internetről letöltött telepítőjét.

A kártevő megváltoztatja az alábbi regisztrációs bejegyzéseket, hogy a Windowsal együtt indulhasson:
In subkey: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Sets value: “<randomly generated six letter string>
With data: “%APPDATA%<randomly generated six letter string>.exe

Ezek után tovább terjeszkedik hordozható meghajtók, azonnali üzenetküldő rendszerek, IRC hálózatok, és közösségi hálózatokon keresztül.

Payload:

A Win32/Dorkbot az alábbi IRC csatornákhoz kapcsolódik, majd várja az utasításokat:

  • av.shannen.cc
  • lovealiy.com
  • shuwhyyu.com
  • syegyege.com

A hátsó kapun keresztül egy támadó az alábbi parancsokat adhatja a kártevőnek:

  • Töltsön le, és futtasson egy fájlt egy URL-ről
  • Törölje a letöltött fájlt a következő újraindításnál
  • Frissítse magát, és várjon a következő újraindításig a futtatásával
  • Törölje magát
  • Törölje le az összes olyan kártevőt, mely hordozható meghajtón terjed, és IRC-n kommunikál
  • Gyűjtsön információkat, és jelszavakat FTP, POP3, Internet Explorer, és Firefox mentett adataiból
  • Tiltson, vagy irányítson át bizonyos domainekre, weboldalakra
  • Mutasson fertőzési statisztikákat
  • Indítson szolgáltatásmegtagadásos támadást, vagy állítsa le azt
  • Fertőzzön USB eszközön, azonnali üzeneteken, vagy közösségi hálózatokon keresztül
  • készítsen üzenetet HTTP linkkel, amivel a fertőzést készíti elő
  • készítsen információkat a botról
  • mutassa a bot verzióját

A féreg rootkit technikákat alkalmaz a rejtőzködéshez.

A nehezebb detektálás érdekében kódot fecskendez az explorer.exe-be, és más folyamatokba is.

Megpróbálja ellopni az alábbi weboldalakhoz használt felhasználóneveket és jelszavakat:

  • 4shared
  • Alertpay
  • AOL
  • Bcointernacional
  • BigString
  • Brazzers
  • Depositfiles
  • DynDNS
  • eBay
  • Facebook
  • Fastmail
  • Fileserve
  • Filesonic
  • Freakshare
  • Gmail
  • GMX
  • Godaddy
  • Hackforums
  • Hotfile
  • IKnowThatGirl
  • Letitbit
  • LogMeIn
  • Mediafire
  • Megaupload
  • Moneybookers
  • Moniker
  • Namecheap
  • Netflix
  • Netload
  • NoIP
  • OfficeBanking
  • Oron
  • PayPal
  • Runescape
  • Sendspace
  • Sms4file
  • Speedyshare
  • Steam
  • Thepiratebay
  • Torrentleech
  • Twitter
  • Uploaded
  • Uploading
  • Vip-file
  • Whatcd
  • Yahoo
  • YouPorn
  • YouTube

Minden olyan URL-t blokkol, mely tartalmazza az alábbi karaktereket:

  • avast
  • avg
  • avira
  • bitdefender
  • bullguard
  • clamav
  • comodo
  • emsisoft
  • eset
  • fortinet
  • f-secure
  • garyshood
  • gdatasoftware
  • heck.tc
  • iseclab
  • jotti
  • kaspersky
  • lavasoft
  • malwarebytes
  • mcafee
  • onecare.live
  • norman
  • norton
  • novirusthank
  • onlinemalwarescanner
  • pandasecurity
  • precisesecurity
  • sophos
  • sunbeltsoftware
  • symante
  • threatexpert
  • trendmicro
  • virscan
  • virus
  • virusbuster
  • nprotect
  • viruschief
  • virustotal
  • webroot

Megoldás

Az eltávolításhoz segítséget nyújthat az ESET Dorkbot Cleaner, a Norton Power Eraser vagy a Microsoft Security Scanner

Vagy használja az alábbi kártevő eltávolító programokat:

  • Malwarebytes Anti-Malware
  • HitmanPro
  • Emsisoft Anti-Malware szofver
  • A legtöbb vírusírtó szoftver képes felismerni és eltávolítani a efrtőzést.

Végezzen teljes rendszerellenőrzést, lehetőleg a Windows csökkentett módú futtatásában.

Manuális eltávolításhoz segíthet az alábbi leírás: http://blog.mitechmate.com/remove-wormwin32dorkbot-unistall-instructions/

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Other (Egyéb)
Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.microsoft.com
Egyéb referencia: www.symantec.com
Egyéb referencia: www.trendmicro.com
Egyéb referencia: www.us-cert.gov

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »