Win32/Dorkbot - технический анализ вредоносной программы


ESET NOD32После ликвидации ботнета Dorkbot, международная антивирусная компания ESET представила технический анализ вредоносной программы Win32/Dorkbot. Напомним, от вредоносной деятельности данной вредоносной программы пострадали пользователи более чем в 200 странах мира.

Распространялся Dorkbot через:

  • социальные сети;
  • спам-рассылки по электронной почте;
  • наборы эксплойтов;
  • съемные носители.


Установленный на ПК Dorkbot нарушает работу антивирусов, блокируя обновления, и использует протокол IRC для получения инструкций от злоумышленников.

Dorkbot наделен типичным для троянов функционалом (кража паролей от сервисов Facebook и Twitter). Кроме того, он позволяет устанавливать в скомпрометированной системе другое вредоносное ПО. Так, например, специалистами ESET была зафиксирована установка ПО для проведения DDoS-атак Win32/Kasidet и спам-бота Win32/Lethic.

Значительное число изученных специалистами ESET образцов Dorkbot были обнаружены на съемных накопителях. При запуске дроппера Dorkbot с USB-носителя, программа пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес сервера зашит в исполняемом файле дроппера. Код загруженного файла исполняет файл Win32/Dorkbot.L – обертку для установки основного компонента, Win32/Dorkbot.B.

В свою очередь Win32/Dorkbot.B отвечает за работу с удаленным сервером по IRC. Обертка Win32/Dorkbot.L предназначена для перехвата АРI-функции DnsQuery у основного компонента. Такой метод осложняет обнаружение настоящих управляющих серверов злоумышленников.

После своей установки бот пытается подключиться к IRC-серверу, после чего ожидает команд от своих операторов по фиксированному каналу. Зачастую Dorkbot получает команды на загрузку и исполнение новых вредоносных программ.

Несмотря на ликвидацию ботнета, вредоносная программа Dorkbot по-прежнему распространена во многих странах мира. Даже сейчас, спустя несколько дней после его ликвидации, вирусная лаборатория ESET ежедневно получает свежие образцы бота.


Обновлено (07.12.2015 18:30)