Win32/Dorkbot - вредоносное ПО для управления ботнетом


Win32/Dorkbot – червь, использующий IRC протокол для управления ботнетом. У данной программы присутствует функционал руткита и клавиатурного шпиона. Используя простейший протокол связи с командными серверами, данному вирусу удалось на протяжении нескольких лет создать сеть из значительного количества пораженных систем. Сотрудники Microsoft сравнивают этот вирус с печально известным Win32/EyeStye в связи со схожестью в работе и функционале.

В Dorkbot реализован сложный руткит, применяющий технику перехвата, как и EyeStye. Перехват используется для скрытия реестра и файлов компонента вредоносной программы от антивирусов.

По сравнению с EyeStye, оператору легче управлять ботнетом Dorkbot, так как он более прост в настройке, менее агрессивен и дешевле, чем его предшественник.

Для распространения Win32/Dorkbot использует такие методы:

  • USB накопители. При подключении содержащего вирус накопителя к системе, он осуществляет попытку компрометации.

  • Службы мгновенной передачи сообщений (Instant Messaging). Оператор ботнета подключают Win32/Dorkbot к определенному IRC клиенту. Червь подсоединяется к ряду API, что позволяет следить за обменом сообщениями. Когда пользователь пораженной системы общается с другими контактами, червь перехватывает отправляемые сообщения и вставляет в них ссылки на вредоносный ресурс. При переходе по ссылке, на систему адресата устанавливается исполняемый файл, содержащий вирус.

  • Социальные сети. Dorkbot следит за большим количеством популярных социальных сетей. При использовании, например, Facebook для обмена сообщениями, вирус также распространяет вредоносные ссылки.