Ботнет Dorkbot ликвидирован с участием ESET

На текущей неделе компания ESET сообщила об участии в ликвидации ботнета Dorkbot. Проводилась эта операция совместно с Microsoft, польским CERT и правоохранительными органами нескольких стран. Специалисты и вирусные аналитики ESET представили технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали системы в более чем двухсот стран мира. Dorkbot распространялся через спам-рассылку по электронной почте, социальные сети, съемные носители и наборы эксплоитов. Установленный Dorkbot нарушал обновления, работу антивирусов и получали инструкции от злоумышленников по IRС-протоколу. Его активность на смартфонах и планшетах блокировал мобильный антивирус ESET NOD 32, с ПК ситуация сложнее. Drokbot поддерживает характерный для троянов функционал с кражей паролей от социальных сетей и установке другого вредоносного программного обеспечения.

Специалисты ESET фиксировали установку спам-бота Win32/Lethi и ПО для DDoS-атак Win32/Kasidet. Большое количество копий трояна обнаружено на флешках и картах памяти. При автоматическом запуске программа загружает с удаленного сервера основной компонент вредоносного кода. Адрес сервера зашит в исполняемом файле. Код загруженного файла исполняет файл Win32/Dorkbot.L – обертку для установки основного компонента, Win32/Dorkbot.B. В дальнейшем открывается связь с удаленным сервером по IRC. Обертка перехватывает API-функции у основного компонента. Такой подход очень усложняет обнаружение настоящих управляющих серверов злоумышленников. Именно с этих серверов идут команды от операторов по фиксированному каналу. Обычно, Dorkbot получает команды на загрузку и исполнение новых вредоносных программ. Вредоносная программа продолжает распространяться во многих странах мира. Инженеры ESET ежедневно получают свежие образцы троянской программы. Для удаления и обнаружения предлагается загрузить бесплатную утилиту Dorkbot Cleaner.