Как сообщает Центр защиты от вирусов корпорации Microsoft (Microsoft Malware Protection Center), в этом месяце в сигнатуры Microsoft Malicious Software Removal Tool была добавлена угроза Win32/Dorkbot.
Вирус Win32/Dorkbot – это червь, использующий IRC протокол для управления ботнетом. У данной программы присутствует функционал руткита и клавиатурного шпиона. Используя простейший протокол связи с командными серверами, данному вирусу удалось на протяжении нескольких лет создать сеть из значительного количества пораженных систем. Сотрудники Microsoft сравнивают этот вирус с печально известным Win32/EyeStye в связи со схожестью в работе и функционале.
В Dorkbot реализован сложный руткит, применяющий технику перехвата, такую же, как и EyeStye. Перехват используется для скрытия реестра и файлов компонента вредоносной программы от антивирусов. Обе вышеупомянутые угрозы похожи тем, что их изучение выявило длительную работу опытных разработчиков, которые поставили перед собой цель похитить учетные данные, личную информацию и банковские реквизиты жертв.
При этом, по сравнению с EyeStye, оператору легче управлять ботнетом Dorkbot, так как он более прост в настройке, менее агрессивен и дешевле, чем его предшественник.
Для распространения Win32/Dorkbot использует такие методы:
USB накопители: при подключении содержащего вирус накопителя к системе, он осуществляет попытку компрометации
Службы мгновенной передачи сообщений (Instant Messaging): оператор ботнета подключают Win32/Dorkbot к определенному IRC клиенту. Червь подсоединяется к ряду API, что позволяет следить за обменом сообщениями. Когда пользователь пораженной системы общается с другими контактами, червь перехватывает отправляемые сообщения и вставляет в них ссылки на вредоносный ресурс. При переходе по ссылке, на систему адресата устанавливается исполняемый файл, содержащий вирус.
Социальные сети: Также как и при распространении через IM-службы, Dorkbot следит за большим количеством популярных социальных сетей. При использовании, например, Facebook для обмена сообщениями, вирус также распространяет вредоносные ссылки.
.png)