Приветствуем читателей блога iСover! В декабре этого года группа по борьбе с киберпреступностью, объединяющая специалистов Microsoft Cybercrime Center, польского бюро CERT, компании ESET, представителей ФБР, Интерпола, Европола и других служб Computer Emergency Response из нескольких стран провели масштабную операцию по обезвреживанию ботнета Win32/Dorkbot, поразившего компьютеры пользователей из более чем 200 стран мира. В статье вы найдете ссылку на небольшую программку ESET, которая позволит проверить компьютер и, при необходимости, удалить зловреда.

image

Вирусные аналитики ESET представили технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали пользователи более чем в 200 странах мира. Программа для проверки компьютера и удаления Dorkbot в конце статьи.

Зловред распространяется преимущественно через социальные сети, наборы эксплойтов, спам-рассылки в письмах электронной почты и съемные носители. Будучи установленным на ПК, Dorkbot способствует сбоям в работе антивирусных программ, блокирует их обновление, получает инструкции от злоумышленников по протоколу IRC.

«Масштабы распространения Dorkbot, без преувеличения, приобрели угрожающий характер. Количество пользователей, чьи компьютеры ежемесячно подвергаются заражению последней версией Dorkbot на момент проведения операции достигло 100 000». — сказал Танмай Ганачарья (Tanmay Ganacharya), главный научный руководитель Malware Microsoft Protection Center (MMPC).

Зловред крадет пароли от сервисов Facebook и Twitter, способствует установке другого вредоносного ПО, в частности ПО для проведения DDoS-атак — Win32/Kasidet и спам-бота Win32/Lethic. Весьма значительное число образцов Dorkbot было обнаружено на съемных носителях.

Специалисты выяснили, что при запуске дроппера Dorkbot с USB-носителя зловред пытается загрузить с удаленного сервера основной компонент вредоносной программы. А адрес сервера зашит в исполняемом файле дроппера. После загрузки код файла исполняет файл Win32/Dorkbot.L — обертку для установки основного компонента Win32/Dorkbot.B.

Win32/Dorkbot.B, в свою очередь, отвечает за взаимодействие с удаленным сервером по IRC. Обертка Win32/Dorkbot.L перехватывает АРI-функцию DnsQuery у основного компонента. Такой метод в определенной степени осложняет обнаружение подлинных управляющих серверов злоумышленников.

По факту установки бот пытается подключиться к IRC – серверу и получает команды от своих операторов по фиксированному каналу. Чаще всего Dorkbot передает команды на загрузку и исполнение нового вредоносного ПО.«После того, как устройство заражено, вредоносная программа буквально общается с преступниками и ждет от них указаний на то, что именно от нее потребуется,» — сказал Ричард Бошкович, помощник главного юрисконсульта по цифровым преступлениям в Microsoft (DCU). «Заражены миллионы машин, количество пингов между этими инфицированными устройствами и серверами, предоставляющими им указания просто ошеломляет. Мы можем говорить иногда о миллиардах пингов день».

Для подавления активности Dorkbot специалисты из центра по борьбе с киберпреступностью Microsoft Cybercrime Center использовали аналитическое ПО, работающее в «облаке», ежесекундно обрабатывающее огромные объемы информации и позволяющее визуализировать процесс распространения угроз. По результатам программного анализа специалисты пришли к неутешительному выводу: скорость распространения инфекции оказалась вдвое больше, чем они предполагали. Скоординированный удар по вирусу был нанесен в декабре этого года.

Серверы, через которых распространялось вредоносное ПО были физически отключены. После блокирования основных серверов трафик ботнета был перенаправлен на защищенные серверы под контролем Microsoft, что позволило идентифицировать зараженные компьютеры, оповестить их пользователей и провести инструктаж по алгоритму обезвреживания вируса и дальнейшим мерам по противодействию заражению.

Использование облачной технологии Microsoft Azure позволило обеспечить необходимую вычислительную мощность. Данные, полученные в процессе исследования ботнета, в свою очередь, дали возможность принять некоторые меры по повышению уровня защиты сервиса Azure Active Directory Premium. Этот сервис предоставляет ИТ — администраторам актуальную информацию для обеспечения требуемого уровня безопасности, информирует их о попытках инфицированных устройств подключиться к корпоративной сети и позволяет защититься от масштабных атак.

Как и Microsoft, вирусные лаборатории ESET практически ежедневно получают от пользователей модифицированные образцы зловреда. Для проверки компьютера на присутствие Dorkbot и его последующего удаления ESET предлагает воспользоваться небольшой бесплатной программкой Dorkbot Cleaner, скачать которую можно здесь. После скачивания программы сканирование, как правило, занимает меньше минуты.

Подробнее


Уважаемые читатели, мы всегда с удовольствием встречаем и ждем вас на страницах нашего блога. Мы готовы и дальше делиться с вами самыми свежими новостями, обзорными статьями и другими публикациями и постараемся сделать все возможное для того, чтобы проведенное с нами время было для вас полезным. И, конечно, не забывайте подписываться на наши рубрики.

Специальная подборка Новогодних подарков от iCover

Другие наши статьи и события

Комментарии (9)


  1. GunneR666
    30.12.2015 11:39
    +2

    Спасибо за статью, такой легкий утренний детективчик и немного познавательно.
    Я просто не смог удержатся:

    главный научный руководитель Центра защиты от Microsoft (MMPC).


    1. icover
      30.12.2015 11:51

      И вам спасибо за мнение и адекватную реакцию в нужном месте) Лишнее убрали.


  1. lostpassword
    30.12.2015 13:15

    Круто они работают все-таки.) Отрубить сервера, перенаправить трафик, проинформировать пользователей…
    Крупная операция.


  1. teecat
    30.12.2015 13:37

    > Использование облачной технологии Microsoft Azure позволило обеспечить необходимую вычислительную мощность. Данные, полученные в процессе исследования ботнета, в свою очередь, дали возможность принять некоторые меры по повышению уровня защиты сервиса Azure Active Directory Premium.

    > Для подавления активности Dorkbot специалисты из центра по борьбе с киберпреступностью Microsoft Cybercrime Center использовали аналитическое ПО, работающее в «облаке», ежесекундно обрабатывающее огромные объемы информации и позволяющее визуализировать процесс распространения угроз. По результатам программного анализа специалисты пришли к неутешительному выводу: скорость распространения инфекции оказалась вдвое больше, чем они предполагали

    Тоесть всю эту мощу использовали для подсчета количества заражений (рекомендации по улучшению защищенности можно получить по итогам работы вирус — аналитика). А подсчет заражений можно было получить и без визуализации — простым счетчиком заражений. Не подвергая сомнению саму операцию по уничтожению ботнета — чем помогло в этом облако?


    1. lostpassword
      30.12.2015 14:48
      +1

      Может быть, упор был на этом?

      позволяющее визуализировать процесс распространения угроз
      То есть их интересовала динамика + графическое ее представление.

      С другой стороны, мне так и осталось неясным, как это все помогло улучшить защиту Azure Active Directory Premium. Странный выхлоп, не очень понятно, откуда он.)


      1. teecat
        30.12.2015 15:01

        Я конечно не знаю, что там визуализировалось, но наши внутренние проекты сравнимого назначения сверхвысоких вычислительных мощностей насколько мне известно не требуют. Что там визуализировать? Уровень заражений по регионам и места расположения источников заражений? Всё простые достаточно счетчики работающие по выборке из базы данных. Ну положим 100тыс заражений ежемесячно. Даже в год порядка миллиона записей в базе. Ну не тянет это на страшные вычисления.

        Скорее всего просто было выбрано подходящее ПО, а по итогам его похвалили не очень удачно


        1. alaev
          31.12.2015 02:52

          Главный вопрос, нафига нужно было всё визуализировать?
          Неужели без красивенького отчёта топам нельзя было начинать лечить?
          =)
          Статья прекрасна.

          Суперкомпьютер помог нам построить модель дома с детализацией до 0,1 миллиметра, именно это помогло нам замесить 300 кубов бетона.


    1. IgorGolov
      31.12.2015 08:36

      Облако помогло принять и обработать огромное количество


      1. IgorGolov
        31.12.2015 09:07

        данных