Ботнет Dorkbot ликвидирован при участии ESET

Александр Панасенко 07 Декабря 2015 - 11:29

...

Компания ESET приняла участие в ликвидации ботнета Dorkbot. Операция реализована совместно с польским CERT, Microsoft и правоохранительными органами нескольких стран.

Вирусные аналитики ESET представили технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали пользователи более чем в 200 странах мира.

Dorkbot распространяется через социальные сети, спам-рассылки по электронной почте, наборы эксплойтов, а также съемные носители. Установленный на ПК Dorkbot нарушает работу антивирусов, блокируя обновления, и использует протокол IRC для получения инструкций от злоумышленников.

Dorkbot поддерживает типичный для троянов функционал (кража паролей от сервисов Facebook и Twitter), а также позволяет устанавливать в скомпрометированной системе другое вредоносное ПО. Специалисты ESET фиксировали установку ПО для проведения DDoS-атак Win32/Kasidet и спам-бота Win32/Lethic.

Значительное число образцов Dorkbot, изученных специалистами ESET, обнаружено на съемных накопителях. При запуске дроппера Dorkbot с USB-носителя программа пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес сервера зашит в исполняемом файле дроппера. Код загруженного файла исполняет файл Win32/Dorkbot.L – обертку для установки основного компонента, Win32/Dorkbot.B.

В свою очередь Win32/Dorkbot.B отвечает за работу с удаленным сервером по IRC. Обертка Win32/Dorkbot.L специализируется на перехвате АРI-функции DnsQuery у основного компонента. Такой метод осложняет обнаружение настоящих управляющих серверов злоумышленников.

После установки бот пытается подключиться к IRC-серверу и ожидает команд от своих операторов по фиксированному каналу. Как правило, Dorkbot получает команды на загрузку и исполнение новых вредоносных программ.

Вредоносная программа Dorkbot по-прежнему распространена во многих странах мира. Вирусная лаборатория ESET ежедневно получает свежие образцы бота. Для проверки своей системы на заражение Dorkbot и его удаления можно воспользоваться бесплатным инструментом Dorkbot Cleaner.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 16:25

Атаки на сайты DDoS-атаки Малый и средний бизнес ГК «Солар»

ГК Солар фиксирует волну атак на сайты малого и среднего бизнеса

В преддверии летнего сезона специалисты сервиса Solar Space (ГК «Солар») фиксируют резкий рост кибератак на сайты санаториев, гостиниц, пансионатов, небольших туроператоров, а также фитнес-клубов и сервисов аренды свадебного декора.

Как отмечают в ГК «Солар», это отражает общую тенденцию увеличения количества атак на веб-ресурсы малого и среднего бизнеса. За ними могут стоять как политически мотивированные хактивисты, так и недобросовестные конкуренты.

С технической точки зрения атаки делятся на два основных типа. Первый — классические DDoS-атаки, цель которых — сделать сайт недоступным для пользователей. Второй — атаки с использованием ботов, создающих фиктивные бронирования и мешающих настоящим клиентам воспользоваться услугами.

Эксперты рекомендуют бизнесу как минимум обеспечить базовую защиту от DDoS и автоматизированной вредоносной активности. Также необходимо организовать постоянный мониторинг, чтобы своевременно оценивать нагрузку на сайт и оперативно реагировать на инциденты.

«Подобные атаки направлены как на нанесение ущерба пользователям, которые могут остаться без нужных услуг, так и на подрыв деятельности самих компаний, теряющих потенциальную прибыль. При этом злоумышленниками могут быть как идеологически мотивированные группы, так и хакеры, действующие по заказу конкурентов», — комментирует Артём Избаенков, директор платформы облачной киберзащиты Solar Space ГК «Солар».

Ботнет Dorkbot ликвидирован при участии ESET

Читайте также