Ботнет Dorkbot ликвидирован при участии ESET

Александр Панасенко 07 Декабря 2015 - 11:29

...

Компания ESET приняла участие в ликвидации ботнета Dorkbot. Операция реализована совместно с польским CERT, Microsoft и правоохранительными органами нескольких стран.

Вирусные аналитики ESET представили технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали пользователи более чем в 200 странах мира.

Dorkbot распространяется через социальные сети, спам-рассылки по электронной почте, наборы эксплойтов, а также съемные носители. Установленный на ПК Dorkbot нарушает работу антивирусов, блокируя обновления, и использует протокол IRC для получения инструкций от злоумышленников.

Dorkbot поддерживает типичный для троянов функционал (кража паролей от сервисов Facebook и Twitter), а также позволяет устанавливать в скомпрометированной системе другое вредоносное ПО. Специалисты ESET фиксировали установку ПО для проведения DDoS-атак Win32/Kasidet и спам-бота Win32/Lethic.

Значительное число образцов Dorkbot, изученных специалистами ESET, обнаружено на съемных накопителях. При запуске дроппера Dorkbot с USB-носителя программа пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес сервера зашит в исполняемом файле дроппера. Код загруженного файла исполняет файл Win32/Dorkbot.L – обертку для установки основного компонента, Win32/Dorkbot.B.

В свою очередь Win32/Dorkbot.B отвечает за работу с удаленным сервером по IRC. Обертка Win32/Dorkbot.L специализируется на перехвате АРI-функции DnsQuery у основного компонента. Такой метод осложняет обнаружение настоящих управляющих серверов злоумышленников.

После установки бот пытается подключиться к IRC-серверу и ожидает команд от своих операторов по фиксированному каналу. Как правило, Dorkbot получает команды на загрузку и исполнение новых вредоносных программ.

Вредоносная программа Dorkbot по-прежнему распространена во многих странах мира. Вирусная лаборатория ESET ежедневно получает свежие образцы бота. Для проверки своей системы на заражение Dorkbot и его удаления можно воспользоваться бесплатным инструментом Dorkbot Cleaner.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 30 Апреля 2025 - 17:44

Фишинг Мошенничество Онлайн-мошенничество Соответствие законодательству РФ Домашние пользователи Государство

Мошенники, обокравшие продавцов на Авито, отправлены в колонию на 5 лет

Красносельский суд Санкт-Петербурга вынес приговор по делу мошенников, опустошавших счета продавцов на Авито с помощью фишинговых ссылок. Станислав Виеру и Илья Мальков наказаны лишением свободы на 5,5 и 5 лет соответственно.

По версии следствия, Виеру в 2022 году создал ОПГ, в состав которой привлек Малькова. Свою вину в преступном сговоре оба осужденных так и не признали.

Действуя в рамках мошеннической схемы, подельники отыскивали на Авито объявления о продаже товаров (телефонов, электрогитар и проч.), связывались с продавцом и для уточнения деталей предлагали перенести общение в WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta).

В ходе переписки мнимый покупатель сообщал, что хочет заказать курьерскую доставку и просил указать имейл, на который можно выслать форму для получения перевода.

Присланная письмом ссылка вела на фишинговую страницу с логотипом и копией формы Авито. Введенные на ней банковские реквизиты попадали к мошенникам и в дальнейшем использовались для отъема денежных средств.

Выявлено 12 пострадавших, у которых украли от 4,6 тыс. до 52 тыс. рублей.

Схема обмана, по которой работали осужденные, напоминает сценарий «Мамонт», в рамках которого мошенники притворялись покупателями. Только Виеру и Мальков действовали проще — не тратили усилия на сбор информации о мишенях, помогающий сыграть роль убедительнее.

Ботнет Dorkbot ликвидирован при участии ESET

Читайте также