Bezpečné PC: Worm:Win32/Dorkbot.I

Encyklopedický vstup
Aktualizováno: 16.listopadu 2011 | Zveřejněno: Červen 15, 2011 Aliasy

Win-Trojan/Injector.636416.D

AhnLab

W32/Dorkbot.B.gen!Eldorado (Command)
Trojan.Injector!mcxcCCeftrA (VirusBuster)
W32.IRCBot.NG (Symantec)
WORM_DORKBOT.QUN (Trend Micro)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace:
Definice: 1.127.250.0
Vydáno: 18.května 2012

Detekce původně vytvořeny:
Definice: 1.105.2002.0
Vydáno: 15.června 2011

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

Shrnutí

Worm:Win32/Dorkbot.I je členem Win32/Dorkbot rodina, rodina IRC založených červů, který se šíří prostřednictvím vyměnitelných disků, instant messaging programy a sociální sítě. Win32/Dorkbot.Imůže zachytit uživatelská jména a hesla, komunikace monitorovací sítě a mohou blokovat webové stránky, které jsou spojené s aktualizací zabezpečení. To může také zahájit omezenýdenial of service (DoS) Útok.

Top

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

Přítomnost těchto souborů:

facebook-profile-pic-<náhodné číslo> -JPEG.exe
facebook-pic00<random číslo>.exe
Zobrazení následující zprávy:

Top

Technické informace (analýza)

Instalace

Worm:Win32/Dorkbot.I může přijít jako odkaz pomocí v rychlé zprávě nebo sociální sítě zpráva, odkaz ukazuje na kopii červa, který si můžete stáhnout a popraven na postiženém počítači uživatele. Červ může být přítomen jako následující:

facebook-profile-pic- <random číslo>-JPEG.exe
facebook-pic00 <random číslo>.exe

Po spuštění Worm:Win32/Dorkbot.I zkopíruje do %AppData% adresáři pomocí náhodně generované šest dopis název souboru, který je založen na HDDpořadové číslo, na telefonním čísle GetVolumeInformation() API (Například "ozkqke.exe").

Upravuje následující položku registru tak, aby jeho kopie provádí na každém Windows start:

V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "<randomly generována šest dopis string>"
Vzhledem k objemu dat: "%AppData%\<randomly generována šest dopis string>.exe"

Například:

V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "ozkqke"
S údaje: "%AppData%\ozkqke.exe"

Poznámka: %AppData%odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro%AppData%složka pro Windows 2000, NT a XP je C:\Documents and Settings\<user>\Application Data, A pro Vista a Windows 7 je C:\Users\<user>\AppData\Roaming.

Se šíří ...

Vyjímatelné disky

Worm:Win32/Dorkbot.I vytvoří složku s názvem "RECYCLER"Ve všech přístupných USB disky, a registruje ji jako Recycle Binsložky. Červ registruje zařízení oznámení tak, že je informována o všech případechUSBPřístroj je zapojen do postiženého počítače. To pak zkopíruje doUSB zařízení, pomocí proměnné název souboru a vytváří Autorun konfigurační soubor s názvem "autorun.inf"Ukazuje na červa kopii. Pokud je disk přistupovat z počítače podporujícíAutorun funkce, je červ spuštěn automaticky.

Instant messaging / Instant Relay Chat

Použití backdoor funkce (viz bod níže Payload), může červ být nařízeno vzdálenému útočníkovi šířit přes instant messaging platforem, jako jsou Windows Live Messenger, Pidgin chat, Xchat a mIRC. Zprávy jsou zasílány všem postiženého uživatele kontaktů. Zprávy poslán, a frekvence, při které jsou zprávy odesílány jsou konfigurovány pomocí dálkového útočník.

Sociální sítě

Worm:Win32/Dorkbot.I lze objednat k šíření prostřednictvím sociálních sítí služeb, jako jsou Facebook, Twitter, Bebo, A Vkontakte(Ruská sociální sítě).Podobně jako v chatu šíří se červ unést odeslané zprávy a nahradit ji vlastní zprávu, která obsahuje odkaz na červa kopii. Počet zpráv odeslaných do červ bude aplikovat vlastní zprávu s nebezpečným odkazem je nastaven pomocí dálkového útočník.

Užitečná

Umožňuje backdoor přístup a kontrolu

Worm:Win32/Dorkbot.I připojí k IRCserver, připojí kanál a čeká na příkazy. Ve volné přírodě, jsme pozorovali červa s využitímIRC servery na těchto doménách pro tento účel:

shuwhyyu.com
lovealiy.com
syegyege.com
av.shannen.cc

Pomocí tohoto backdoor, může vzdálený útočník provádět řadu různých akcí na postiženém počítači. Stejně jako je schopen se šířit přes instant messaging aplikace (podrobně v rozpětí přes ... kapitola), červ také uložena provádět následující akce:

Získání informací o počítači
Chraňte sebe

Červ využívá uživatelském režimu rootkit, aby se zabránilo postižené uživatele z prohlížení nebo manipulace s jeho soubory. To se provádí hákování následující funkce pro všechny procesy, v jejichž rámci vstříknutí je následující:

NtQueryDirectoryFile
NtEnumerateValueKey
CopyFileA/W
DeleteFileA/W

Vstřikuje kód

Po spuštění červ vkládá kód do "explorer.exe", Stejně jako mnoho jiných běžících procesů na příslušném počítači. Všimněte si, že počet procesů je schopen vstřikování do závisí na tom, zda byl spuštěn s oprávněními správce.

Kontakty vzdálený hostitel

Worm:Win32/Dorkbot.I To vytváří na IRC přezdívku 'tím, připojení k api.wipmania, Který kombinuje kód země, verzi operačního systému, uživatelské typ a náhodný řetězec, v následujícím formátu:

n {<country kód> | <OS version> <uživatelské <typ} <random string>

kde:

Verzi operačního systému - by mohl být některý z následujících akcí: XP, 2K3, VIS, 2K8, W7, ERR (Chyba)
Kód země je dvoumístný kód země (např. US - USA, RU - Rusko, atd.)
Uživatel typu je buď "a"(Správce) nebo"u"(Uživatel)

Např. 'přezdívka': n{US|XPa}xkfnalw

Pomocí tvoří "přezdívku 'a IRC Informace o serveru od její vnitřní uspořádání, připojí se IRC Server pro načtení další údaje nebo infekce parametry jako odkaz ke stažení, Windows Live Messenger zprávy a seznamy domén mezi jiné informace.

Worm:Win32/Dorkbot.I může přijímat příkazy od útočníka provést jednu nebo více z následujících akcí:

Stáhněte si soubor z uvedené URL a spustit ji v příslušném počítači
Aktualizujte svou hlavní spustitelný soubor z uvedené URL a počkat do příštího restartu spustit (nebo, pokud je uvedeno v příkazu k restartování okamžitě)
Sbírejte přihlášení a hesla z formuláře popadat, FTP, POP3, Internet Explorer a Firefox cache přihlášení
Blokování nebo přesměrování určité domény a webové stránky
Zobrazit infekce statistiky
Spuštění a zastavení odmítnutí služby (SYN a UDP povodním)
Šířit prostřednictvím USB, Instant messaging a sociální sítě
Změna Windows Live Messenger a HTTP šíření zpráv
Zprávu informaci o bota

Pokud je povoleno protokolování podle útočníka je každý provedený příkaz přihlášen a odeslat na server IRC a zobrazí se na IRC kanálu, kde je připojen bot.

Háčky API

Worm:Win32/Dorkbot.I háky více APIje pro různé účely, například skrývá své komponenty (jako položky registru a klesl souborů a procesů jména), šíření a čichání uživatelská jména a hesla. Některé příklady, které jsme pozorovali Worm:Win32/Dorkbot.I hákování ve volné přírodě jsou:

CopyFileA/W
CreateFileA/W
DeleteFileA/W
DnsQuery_A/W
GetAddrInfoW
HttpSendRequestA/W
InternetWriteFile
LdrLoadDll
MoveFileA/W
NtEnumerateValueKey
NtQueryDirectoryFile
NtResumeThread
PR_Write
RegCreateKeyExA/W
send
URLDownloadToFileA/W

Odstraňuje soubory

Worm:Win32/Dorkbot.I obsahuje pokyny, jak smazat stažené soubory a popraven po restartu. Je třeba tuto funkci zapnout v útočníkem. Po instalaciWorm:Win32/Dorkbot.I smaže jeho počáteční kapací spustitelný soubor.

Odstraňuje libovolné soubory

Worm:Win32/Dorkbot.I používá "chování monitoring" identifikovat a odstranit soubory, které se objevují komunikovat přes Internet Relay Chat (IRC) Nebo výstava červ chování, jako je šíření prostřednictvím vyměnitelných jednotek, nebo USB média.

Upraví soubory

Červ může být poučeni, aby přepsat tyto soubory, aby se bránit malwaru diagnózy a odstranění:

regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe

Krade citlivé informace

Červ je schopen zachycení InternetProhlížeč komunikace s různých webových stránkách, a získání citlivých informací. To se provádí hákování různéAPIje v rámci Firefox a Internet Explorer. Červ může také zaměřitFTP pověření.

Worm:Win32/Dorkbot.I se zaměřuje na tyto webové stránky, ze které chcete ukrást uživatelská jména a hesla:

4shared
AOL
Alertpay
Bcointernacional
BigString
Brazzers
Depositfiles
DynDNS
Facebook
Fastmail
Fileserve
Filesonic
Freakshare
GMX
Gmail
Godaddy
Hackforums
Hotfile
IKnowThatGirl
Letitbit
LogMeIn
Mediafire
Megaupload
Moneybookers
Moniker
Namecheap
Netflix
Netload
NoIP
OfficeBanking
Oron
PayPal
Runescape
Sendspace
Sms4file
Speedyshare
Steam
Thepiratebay
Torrentleech
Twitter
Uploaded
Uploading
Vip-file
Whatcd
Yahoo
YouPorn
YouTube
eBay

Napadá webové stránky

Červ může být požadováno pro přihlášení do vzdáleného FTP server a infikovat různé HTML soubory podle přidání IFrame. Tato akce může usnadnit šíření červa funkci.

Blokuje přístup k bezpečnosti webových stránek

Červ může být nařízeno blokovat přístup uživatele na stránky s těmito řetězců ve svém oboru:

avast
avg
avira
bitdefender
bullguard
clamav
comodo
emsisoft
eset
fortinet
f-secure
garyshood
gdatasoftware
heck.tc
iseclab
jotti
kaspersky
lavasoft
malwarebytes
mcafee
onecare.live
norman
norton
novirusthank
onlinemalwarescanner
pandasecurity
precisesecurity
sophos
sunbeltsoftware
symante
threatexpert
trendmicro
virscan
virus
virusbuster.nprotect
viruschief
virustotal
webroot

Červ může také stáhnout další domény nebo aktualizovat seznam ze vzdáleného internetových stránkách.

Další informace

O výkonu se provádí vlastní kontrolu integrity. Pokud selže, zobrazí okno se zprávou níže a pokouší se poškození pevného disku tím, že píše nesmyslné data na pevný disk.

To také vytváří mutex, aby se zabránilo více instancí sobě a označte jeho přítomnost. Většina variant použití "hex-Mutex", Ale jiné byly pozorovány pomocí náhodných mutex jako"t2f-Mutex"A"f4448e25-Mutex".

Bezpečné PC

pondělí 21. května 2012

Worm:Win32/Dorkbot.I