Ботнет Dorkbot ликвидирован при участии ESET

Александр Панасенко 07 Декабря 2015 - 11:29

...

Компания ESET приняла участие в ликвидации ботнета Dorkbot. Операция реализована совместно с польским CERT, Microsoft и правоохранительными органами нескольких стран.

Вирусные аналитики ESET представили технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали пользователи более чем в 200 странах мира.

Dorkbot распространяется через социальные сети, спам-рассылки по электронной почте, наборы эксплойтов, а также съемные носители. Установленный на ПК Dorkbot нарушает работу антивирусов, блокируя обновления, и использует протокол IRC для получения инструкций от злоумышленников.

Dorkbot поддерживает типичный для троянов функционал (кража паролей от сервисов Facebook и Twitter), а также позволяет устанавливать в скомпрометированной системе другое вредоносное ПО. Специалисты ESET фиксировали установку ПО для проведения DDoS-атак Win32/Kasidet и спам-бота Win32/Lethic.

Значительное число образцов Dorkbot, изученных специалистами ESET, обнаружено на съемных накопителях. При запуске дроппера Dorkbot с USB-носителя программа пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес сервера зашит в исполняемом файле дроппера. Код загруженного файла исполняет файл Win32/Dorkbot.L – обертку для установки основного компонента, Win32/Dorkbot.B.

В свою очередь Win32/Dorkbot.B отвечает за работу с удаленным сервером по IRC. Обертка Win32/Dorkbot.L специализируется на перехвате АРI-функции DnsQuery у основного компонента. Такой метод осложняет обнаружение настоящих управляющих серверов злоумышленников.

После установки бот пытается подключиться к IRC-серверу и ожидает команд от своих операторов по фиксированному каналу. Как правило, Dorkbot получает команды на загрузку и исполнение новых вредоносных программ.

Вредоносная программа Dorkbot по-прежнему распространена во многих странах мира. Вирусная лаборатория ESET ежедневно получает свежие образцы бота. Для проверки своей системы на заражение Dorkbot и его удаления можно воспользоваться бесплатным инструментом Dorkbot Cleaner.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 16:36

Соответствие законодательству РФ Корпорации Соответствие требованиям регуляторов Стахановец

Компания Стахановец получила лицензию ФСТЭК России

Компания «Стахановец» получила бессрочную лицензию ФСТЭК России на разработку и производство средств защиты конфиденциальной информации. Продукт, представленный на рынке с 2009 года, входит в Реестр российского программного обеспечения.

Согласно лицензии № Л050-00107-77/02210986, компания имеет право разрабатывать и производить программно-технические комплексы для защиты, обработки и контроля информации, а также внедрять их на объектах критической информационной инфраструктуры.

Ранее система «Стахановец», предназначенная для защиты от утечек данных и мониторинга сотрудников, получила сертификат соответствия ФСТЭК России по 4 уровню доверия.

«Для нас, как для разработчика, критически важно не только расширять функциональность решения, но и обеспечивать максимально высокий уровень безопасности», — отметил генеральный директор компании Дмитрий Исаев.

«Это цель, которую ставят перед собой лидеры рынка, и важный критерий для наших клиентов. Мы ценим их обратную связь и считаем принципиально важным соответствовать требованиям регуляторов в области ИТ-безопасности».

Ботнет Dorkbot ликвидирован при участии ESET

Читайте также