ESET přispěl ke zničení botnetu Dorkbot

  |   Virus Lab

Společnost ESET spolupracovala s Microsoftem, CERT.PL a dalšími úřady na přerušení provozu botnetové sítě Dorkbot. ESET sdílel technické analýzy, statistické informace o používaném malware a C&C doménách a IP adresách. Dorkbot infikoval počítače ve 190 zemích po celém světě.

1449583982_DORKBOT_SMA_470x246_CZ.jpg

Win32/Dorkbot se šíří různými kanály od sociálních sítí, spam, výměnná média až po exploit kity. Po úspěšné instalaci se snaží narušit běžnou činnost nalezeného antivirového řešení tím, že blokuje jeho aktualizační servery. Poté se připojí na IRC server a čeká na další instrukce.

Primárně Dorkbot krade hesla různých populárních služeb jako je Facebook nebo Twitter. Nicméně dále na infikovaný počítač stahuje další malware - Win32/Kasidet, který se používá k DDoS útokům nebo Win32/Lethic, což je známý spambot. 

Následující diagram znázorňuje jednotlivé moduly posledních verzí DorkBotu, které ESET analyzoval.

dorkbot
zdroj: welivesecurity.com

Pro názornost si zvolíme scénář, ve kterém dojde k infikování počítače z USB média.

Jednou z funkcí Dorkbota je hledat připojená výměnná zařízení k infikovanému PC, které poté použije k vlastní replikaci a šíření na další počítače. Typicky se na USB zařízení nachází dropper a přidružené .LNK soubory.

Po spuštění dropperu, který ESET detekuje jako Win32/Dorkbot.I, z USB zařízení, se nejprve pokusí stáhnout hlavní komponentu z C&C řídícího serveru. Stažený balíček rozbalí a spustí Win32/Dorkbot.L, což je wrapper, který hlavní komponentu nainstaluje.

Následně dojde ke spuštění hlavní Dorkbot IRC komponenty (Win32/Dorkbot.B), přičemž se zároveň provede tzv. hook DnsQuery API funkce. To je nezbytné, protože hlavní komponenty neobsahují pravé C&C domény. Ve skutečnosti pak v momentě, kdy se IRC komponenta snaží přeložit tyto domény pomocí zmanipulované API funkce, wrapper namísto toho provede pokus je přeložit jako jednu z domén, které obsahuje. Takto složitý proces samozřejmě pomáhá maskovat reálné adresy C&C serverů.

Po dokončení instalace se systém pokusí spojit s IRC serverem, připojí se na specifický kanál a čeká na příkazy od botmastera. Obvykle netrvá moc dlouho a infikovaný počítač dostane příkaz ke stažení dalšího škodlivého kódu.

Pokud máte podezření, že je Váš počítač nebo síť Dorkbotem infikována, můžete pro vyčištění použít ESET nástroj zdarma.

Příklady domén, na které Dorkbot cílil:

*paypal.*
*google.*
*aol.*
*screenname.aol.*
*bigstring.*
*fastmail.*
*gmx.*
*login.live.*
*login.yahoo.*
*facebook.*
*hackforums.*
*steampowered*
*no-ip*
*dyndns*
*runescape*
*.moneybookers.*
*twitter.com/sessions*
*secure.logmein.*
*oron.com/login*
*what.cd/login*
*letitbit.net*
*sms4file.com/*
*vip-file.com/*
*torrentleech.org/*
*thepiratebay.org/login
*officebanking.cl/*
*signin.ebay*
*depositfiles.*
*megaupload.*
*sendspace.com/login*
*mediafire.com/*
*freakshare.com/login*
*netload.in/index*
*4shared.com/login*
*hotfile.com/login*
*fileserv.com/login*
*uploading.com/*
*uploaded.to/*
*filesonic.com/*
*twitter.com/sessions*
*secure.logmein.*
*oron.com/login*
*what.cd/login*
*letitbit.net*
*sms4file.com/*
*vip-file.com/*
*torrentleech.org/*
*thepiratebay.org/login
*netflix.com/*
*alertpay.com/login*

*godaddy.com/login*
*namecheap.com/*
*moniker.com/*
*1and1.com/xml/config*
*enom.com/login*

*netflix.com/*
*alertpay.com/login*
*godaddy.com/login*
*namecheap.com/*
*moniker.com/*
*1and1.com/xml/config*
*enom.com/login*
*dotster.com/*
*webnames.ru/*

*bcointernacional*
*members.brazzers.com*
*youporn.*
*members*

   


Dvojklik