Dorkbot féreg

CH azonosító

CH-12943

Angol cím

Win32/Dorkbot worm

Felfedezés dátuma

2014.09.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Dorkbot féreg képes ellopni a user online felhasználóneveit, és jelszavait. Ezeken kívül blokkolja azokat a weboldalakat ahonnan biztonsági frissítések tölthetőek le, továbbá a fertőzött számítógépek szolgáltatásmegtagadásos támadásban vehetnek részt.

Leírás

A Win32/Dorkbot variánsok a közösségi hálózatok üzeneteivel terjeszkednek. Az üzenet tartalmaz egy olyan linket, melyen a féreg egy másolata érhető el, és automatikusan letöltődik a számítógépre.

A kártevő az alábbi fájlneveket tartalmazhatja:

  • facebook-profile-pic-<random number>-JPEG.exe
  • facebook-pic00<random number>.exe
  • skype_<DDMMYYYY>_foto.exe , where <DDMMYYYY> is the day, ,month, and year, for example, “skype_06102012_foto.exe
  • skype_<DD-MM-YYYY>_foto.exe , where <DD-MM-YYYY> is the day, ,month, and year, for example, “skype_09-10-2012_image.exe

Mikor a kártevő aktiválódik, másolja magát a %APPDATA% mappákba véletlenszerűen generált 6 karakter hosszú fájlnévvel, majd törli az internetről letöltött telepítőjét.

A kártevő megváltoztatja az alábbi regisztrációs bejegyzéseket, hogy a Windowsal együtt indulhasson:
In subkey: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Sets value: “<randomly generated six letter string>
With data: “%APPDATA%<randomly generated six letter string>.exe

Ezek után tovább terjeszkedik hordozható meghajtók, azonnali üzenetküldő rendszerek, IRC hálózatok, és közösségi hálózatokon keresztül.

Payload:

A Win32/Dorkbot az alábbi IRC csatornákhoz kapcsolódik, majd várja az utasításokat:

  • av.shannen.cc
  • lovealiy.com
  • shuwhyyu.com
  • syegyege.com

A hátsó kapun keresztül egy támadó az alábbi parancsokat adhatja a kártevőnek:

  • Töltsön le, és futtasson egy fájlt egy URL-ről
  • Törölje a letöltött fájlt a következő újraindításnál
  • Frissítse magát, és várjon a következő újraindításig a futtatásával
  • Törölje magát
  • Törölje le az összes olyan kártevőt, mely hordozható meghajtón terjed, és IRC-n kommunikál
  • Gyűjtsön információkat, és jelszavakat FTP, POP3, Internet Explorer, és Firefox mentett adataiból
  • Tiltson, vagy irányítson át bizonyos domainekre, weboldalakra
  • Mutasson fertőzési statisztikákat
  • Indítson szolgáltatásmegtagadásos támadást, vagy állítsa le azt
  • Fertőzzön USB eszközön, azonnali üzeneteken, vagy közösségi hálózatokon keresztül
  • készítsen üzenetet HTTP linkkel, amivel a fertőzést készíti elő
  • készítsen információkat a botról
  • mutassa a bot verzióját

A féreg rootkit technikákat alkalmaz a rejtőzködéshez.

A nehezebb detektálás érdekében kódot fecskendez az explorer.exe-be, és más folyamatokba is.

Megpróbálja ellopni az alábbi weboldalakhoz használt felhasználóneveket és jelszavakat:

  • 4shared
  • Alertpay
  • AOL
  • Bcointernacional
  • BigString
  • Brazzers
  • Depositfiles
  • DynDNS
  • eBay
  • Facebook
  • Fastmail
  • Fileserve
  • Filesonic
  • Freakshare
  • Gmail
  • GMX
  • Godaddy
  • Hackforums
  • Hotfile
  • IKnowThatGirl
  • Letitbit
  • LogMeIn
  • Mediafire
  • Megaupload
  • Moneybookers
  • Moniker
  • Namecheap
  • Netflix
  • Netload
  • NoIP
  • OfficeBanking
  • Oron
  • PayPal
  • Runescape
  • Sendspace
  • Sms4file
  • Speedyshare
  • Steam
  • Thepiratebay
  • Torrentleech
  • Twitter
  • Uploaded
  • Uploading
  • Vip-file
  • Whatcd
  • Yahoo
  • YouPorn
  • YouTube

Minden olyan URL-t blokkol, mely tartalmazza az alábbi karaktereket:

  • avast
  • avg
  • avira
  • bitdefender
  • bullguard
  • clamav
  • comodo
  • emsisoft
  • eset
  • fortinet
  • f-secure
  • garyshood
  • gdatasoftware
  • heck.tc
  • iseclab
  • jotti
  • kaspersky
  • lavasoft
  • malwarebytes
  • mcafee
  • onecare.live
  • norman
  • norton
  • novirusthank
  • onlinemalwarescanner
  • pandasecurity
  • precisesecurity
  • sophos
  • sunbeltsoftware
  • symante
  • threatexpert
  • trendmicro
  • virscan
  • virus
  • virusbuster
  • nprotect
  • viruschief
  • virustotal
  • webroot

Megoldás

Az eltávolításhoz segítséget nyújthat az ESET Dorkbot Cleaner, a Norton Power Eraser vagy a Microsoft Security Scanner

Vagy használja az alábbi kártevő eltávolító programokat:

  • Malwarebytes Anti-Malware
  • HitmanPro
  • Emsisoft Anti-Malware szofver
  • A legtöbb vírusírtó szoftver képes felismerni és eltávolítani a efrtőzést.

Végezzen teljes rendszerellenőrzést, lehetőleg a Windows csökkentett módú futtatásában.

Manuális eltávolításhoz segíthet az alábbi leírás: http://blog.mitechmate.com/remove-wormwin32dorkbot-unistall-instructions/