Die Strafverfolgung hat das Dorkbot-Botnetz abgebaut

    ESET hat Microsoft, das polnische CERT und Strafverfolgungsbehörden auf der ganzen Welt dabei unterstützt, das Dorkbot-Botnetz durch einen Sinkhole-Mechanismus für die C & C-Server des Bots zu eliminieren. Wir möchten einen technischen Überblick über diese Malware, einige Statistiken zu Infektionen und Informationen zu C & C-Servern veröffentlichen.



    Um die notwendige Unterstützung bei der Beseitigung dieses Botnetzes zu bieten, haben wir viel Erfahrung in die Verfolgung dieser Bedrohung und den Schutz der Benutzer vor ihr investiert. Umfassende Informationen über diese Bedrohung wurde vorgestellt im Jahr 2012 einen Forscher ESET Pablo Ramos auf der Konferenz Virus Bulletin zurück.

    Angreifer haben es geschafft, viele Benutzer in mehr als 200 Ländern mit Dorkbot zu infizieren. Die Malware wird von den Antivirenprodukten von ESET als Win32 / Dorkbot erkannt, und soziale Netzwerke, Spam-Mailings, Exploit-Kits sowie Verteilungsmechanismen über Wechselmedien wurden verwendet, um sie zu verbreiten. Bei der Installation auf einem PC unterbricht Dorkbot die installierten Antivirenprodukte und blockiert deren Zugriff, um Updates zu erhalten. Der Bot verwendet das IRC-Protokoll, um Anweisungen von Eindringlingen zu erhalten.

    Dorkbot führt nicht nur Funktionen aus, die Trojanern vertraut sind, wie beispielsweise das Stehlen von Passwörtern aus beliebten Facebook- und Twitter-Diensten, sondern ist auch auf die Installation eines oder mehrerer anderer Schadprogramme in einem gefährdeten System spezialisiert. Wir setzten die Installation von Bot - Malware wie die Win32 / Kasidet (bietet Neutrino RTOS) sowie die Win32 / Lethic . Der erste wird von Cyberkriminellen verwendet, um DDoS-Angriffe durchzuführen, und der zweite ist ein Spam-Bot.

    Dorkbot ist in vielen Ländern der Welt immer noch sehr verbreitet. Jede Woche beobachten wir Tausende von Infektionen durch Benutzer dieser Malware, und täglich kommen frische Bot-Proben in unser Antivirenlabor. Es überrascht nicht, dass Dorkbot zum Ziel der Strafverfolgung wurde. Verwenden Sie unser kostenloses Dorkbot Cleaner- Tool, um Ihr System auf Dorkbot-Infektionen und deren anschließende Entfernung zu überprüfen .


    Abb. Verbreitungsgeographie Dorkbot.

    Das folgende Diagramm zeigt die verschiedenen Komponenten, die in den neuesten Versionen von Dorkbot verwendet werden. Wir konnten sie analysieren.



    Stellen Sie sich einen typischen Malware-Infektionsprozess über ein austauschbares USB-Laufwerk vor, um die Rolle der einzelnen Module besser zu veranschaulichen. Da Dorkbot nach Wechselmedien sucht, die mit dem infizierten System verbunden sind, um später Kompromisse einzugehen, haben viele unserer Erkennungen von Beispielen dieses Schadprogramms auf Wechselmedien funktioniert. Gleichzeitig wurden zwei Arten von Dorkbot-Dateien entdeckt: die ausführbare Dropper-Datei und .LNK-Dateien mit Phishing-Namen, die auf die Dropper-Datei verweisen.

    Wenn ein Benutzer Dorkbot Dropper von einem USB-Laufwerk startet (von ESET AV-Produkten als Win32 / Dorkbot.I erkannt), versucht er, die Hauptkomponente des Schadprogramms vom Remote-Server herunterzuladen. Die Adresse des Servers selbst ist in der ausführbaren Dropper-Datei fest codiert. Die heruntergeladene Datei ist sehr gepackt, und ihr Code extrahiert aus sich selbst und führt die ausführbare Datei Win32 / Dorkbot.L aus, bei der es sich um einen einfachen Wrapper handelt, mit dem die Hauptkomponente installiert wird. Diese Hauptkomponente wird von uns als Win32 / Dorkbot.B erkannt und ist für die Arbeit mit dem Remote-Server über IRC verantwortlich. Der Wrapper ist auch auf das Einbinden der DnsQuery- API-Funktion spezialisiert .an der Hauptkomponente. Diese Methode wird von Dorkbot verwendet, um die Erkennung von Domänen realer C & C-Server durch Antiviren-Analysten zu erschweren, da in diesem Fall die gestartete Komponente nicht die Adressen realer C & C-Server von Angreifern enthält. Wenn er versucht, Domänen über DnsQuery zu übersetzen , wird der Funktionsaufruf abgefangen, und als eines der Argumente übergibt der Wrapper die Adresse des realen C & C-Servers an die API-Funktion.

    Nach Abschluss der Installation des Schadprogramms versucht der Bot, eine Verbindung zum IRC-Server herzustellen, und wartet auf den Empfang bestimmter Befehle auf dem festen Kanal durch die Angreifer. In der Regel erhält der Bot Befehle zum Herunterladen und Ausführen neuer Schadprogramme im System, die oben erwähnt wurden.

    Das auf Dorkbot basierende Botnetz ist seit langem aktiv und wird von Angreifern bis heute erfolgreich eingesetzt. Die Infrastruktur der verwaltenden C & C-Server dieses Botnetzes ist eine der Infrastrukturen, deren Aktivitäten von ESET-Spezialisten überwacht werden. Solche Informationen sind sehr wichtig, um Änderungen im Verhalten eines Schadprogramms zu verfolgen und um Informationen darüber zu sammeln, damit sie von Strafverfolgungsbehörden verwendet werden können.

    Die Dorkbot-Malware verwendet keine neuen Methoden, um neue Systeme zu gefährden. Benutzer sollten beim Öffnen von Dateien auf Wechselmedien sowie von Dateien, die sie über E-Mail und soziale Netzwerke erhalten, vorsichtig sein. Um Ihr System auf Dorkbot-Infektionen zu überprüfen, können Sie hier unser kostenloses Tool verwenden. Bisher enthalten ESET-Antivirenprodukte Tausende verschiedener Modifikationen von Dorkbot-Dateien sowie Malware-Dateien, die von diesem Botnetz verbreitet werden.

    Im Folgenden finden Sie Beispiele für URLs oder deren Komponenten, auf die die Password Thief-Komponente von Dorkbot abzielt.

    * paypal. *
    * google. *
    * aol. *
    * screenname.aol. *
    * bigstring. *
    * fastmail. *
    * gmx. *
    * login.live. *
    * login.yahoo. *
    * facebook. *
    * hackforums. *
    * Steampowered *
    * No-IP *
    * Dyndns *
    * Runescape *
    * .Moneybookers. *
    * Twitter.com / Sessions *
    * Secure.logmein. *
    * Officebanking.cl / *
    * signin.ebay *
    * Einzahlungsdateien. *
    * Megaupload. *
    * sendspace.com / login *
    * mediafire.com / *
    * freakshare.com / login *
    * netload.in / index *
    * 4shared.com / login *
    * hotfile.com / login *
    * fileserv.com/login*
    * uploading.com / *
    * uploaded.to / *
    * filesonic.com / *
    * oron.com / login *
    * what.cd / login *
    * letitbit.net *
    * sms4file.com / *
    * vip-file.com/*
    * torrentleech.org / *
    * thepiratebay.org / login *
    * netflix.com / *
    * alertpay.com / login *
    * godaddy.com / login *
    * namecheap.com / *
    * moniker.com / *
    * 1and1.com / xml / config *
    * enom.com / login *
    * dotster.com / *
    * webnames.ru / *
    *: 2082 / login * (möglicherweise auf cpanel ausgerichtet)
    *: 2083 / login * (möglicherweise auf cpanel ausgerichtet)
    *: 2086 / login * (möglicherweise auf GNUnet ausgerichtet)
    * whcms *
    *: 2222 / CMD_LOGIN * (möglicherweise Targeting DirectAdmin)
    * bcointernacional *
    * members.brazzers.com *
    * youporn. *
    * Mitglieder *


    Jetzt auch beliebt: