Dorkbot несет в себе функционал клавиатурного шпиона и использует IRC протокол для управления ботнетом.
Dorkbot несет в себе функционал клавиатурного шпиона и использует IRC протокол для управления ботнетом.<br />
<br />
Как сообщает Центр защиты от вирусов корпорации Microsoft (Microsoft Malware Protection Center), в этом месяце в сигнатуры Microsoft Malicious Software Removal Tool была добавлена угроза Win32/Dorkbot.<br />
<br />
Вирус Win32/Dorkbot – это червь, использующий IRC протокол для управления ботнетом. У данной программы присутствует функционал руткита и клавиатурного шпиона. Используя простейший протокол связи с командными серверами, данному вирусу удалось на протяжении нескольких лет создать сеть из значительного количества пораженных систем. Сотрудники Microsoft сравнивают этот вирус с печально известным Win32/EyeStye в связи со схожестью в работе и функционале.<br />
<br />
В Dorkbot реализован сложный руткит, применяющий технику перехвата, такую же, как и EyeStye. Перехват используется для скрытия реестра и файлов компонента вредоносной программы от антивирусов. Обе вышеупомянутые угрозы похожи тем, что их изучение выявило длительную работу опытных разработчиков, которые поставили перед собой цель похитить учетные данные, личную информацию и банковские реквизиты жертв.<br />
<br />
При этом, по сравнению с EyeStye, оператору легче управлять ботнетом Dorkbot, так как он более прост в настройке, менее агрессивен и дешевле, чем его предшественник.<br />
<br />
Для распространения Win32/Dorkbot использует такие методы:<br />
<br />
-USB накопители: при подключении содержащего вирус накопителя к системе, он осуществляет попытку компрометации<br />
<br />
-Службы мгновенной передачи сообщений (Instant Messaging): оператор ботнета подключают Win32/Dorkbot к определенному IRC клиенту. Червь подсоединяется к ряду API, что позволяет следить за обменом сообщениями. Когда пользователь пораженной системы общается с другими контактами, червь перехватывает отправляемые сообщения и вставляет в них ссылки на вредоносный ресурс. При переходе по ссылке, на систему адресата устанавливается исполняемый файл, содержащий вирус.<br />
<br />
-Социальные сети: Также как и при распространении через IM-службы, Dorkbot следит за большим количеством популярных социальных сетей. При использовании, например, Facebook для обмена сообщениями, вирус также распространяет вредоносные ссылки.