Ликвидирован ботнет Dorkbot
Процедура была выполнена вместе с CERT, Майкрософт, ESET и правоохранительными органами нескольких стран.
Организация ESET участвовала в ликвидации ботнета Dorkbot. Процедура была выполнена вместе с чешским CERT, Майкрософт и правоохранительными органами нескольких стран.
Dorkbot разносится через соцсети, спам-рассылки по электронной почте, комплекты эксплойтов, и сменные обладатели. Поставленный на ПК, он не соблюдает работу антивирусных программ, закрывая обновления, и применяет акт IRC для принятия инструкций от мошенников.
Dorkbot сохраняет типический для троянцев перечень возможностей (воровство паролей от сервисов Фейсбук и Твиттер), и дает возможность ставить в скомпрометированной системе другое вредное ПО. Эксперты ESET отмечали установку ПО для выполнения DDoS-атак Win32/Kasidet и спам-бота Win32/Lethic.
Существенное количество примеров Dorkbot, исследованных экспертами ESET, найдено на сменных накопителях. При запуске дроппера Dorkbot с USB-носителя платформа старается скачать с сервера основной элемент вредной платформы. Адрес компьютера починит в выполняемом документе дроппера. Код нагруженного документа выполняет документ Win32/Dorkbot.B, обертку для установки главного компонента — Win32/Dorkbot.L. К тому же Win32/Dorkbot.B отвечает за работу с сервером по IRC. Обертка Win32/Dorkbot.L работает на перехвате АРI-функции DnsQuery у главного компонента. Такой способ затрудняет установление реальных правящих компьютеров мошенников.
После установки бот старается присоединиться к IRC-серверу и ждет команд от собственных операторов по прочному каналу. Обычно, Dorkbot приобретает команды на загрузку и выполнение свежих вредных программ.