Вирусные аналитики ESET представили технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали пользователи более чем в 200 странах мира. Программа для проверки компьютера и удаления Dorkbot в конце статьи.
Зловред распространяется преимущественно через социальные сети, наборы эксплойтов, спам-рассылки в письмах электронной почты и съемные носители. Будучи установленным на ПК, Dorkbot способствует сбоям в работе антивирусных программ, блокирует их обновление, получает инструкции от злоумышленников по протоколу IRC.
«Масштабы распространения Dorkbot, без преувеличения, приобрели угрожающий характер. Количество пользователей, чьи компьютеры ежемесячно подвергаются заражению последней версией Dorkbot на момент проведения операции достигло 100 000». — сказал Танмай Ганачарья (Tanmay Ganacharya), главный научный руководитель Malware Microsoft Protection Center (MMPC).
Зловред крадет пароли от сервисов Facebook и Twitter, способствует установке другого вредоносного ПО, в частности ПО для проведения DDoS-атак — Win32/Kasidet и спам-бота Win32/Lethic. Весьма значительное число образцов Dorkbot было обнаружено на съемных носителях.
Специалисты выяснили, что при запуске дроппера Dorkbot с USB-носителя зловред пытается загрузить с удаленного сервера основной компонент вредоносной программы. А адрес сервера зашит в исполняемом файле дроппера. После загрузки код файла исполняет файл Win32/Dorkbot.L — обертку для установки основного компонента Win32/Dorkbot.B.
Win32/Dorkbot.B, в свою очередь, отвечает за взаимодействие с удаленным сервером по IRC. Обертка Win32/Dorkbot.L перехватывает АРI-функцию DnsQuery у основного компонента. Такой метод в определенной степени осложняет обнаружение подлинных управляющих серверов злоумышленников.
По факту установки бот пытается подключиться к IRC – серверу и получает команды от своих операторов по фиксированному каналу. Чаще всего Dorkbot передает команды на загрузку и исполнение нового вредоносного ПО.«После того, как устройство заражено, вредоносная программа буквально общается с преступниками и ждет от них указаний на то, что именно от нее потребуется,» — сказал Ричард Бошкович, помощник главного юрисконсульта по цифровым преступлениям в Microsoft (DCU). «Заражены миллионы машин, количество пингов между этими инфицированными устройствами и серверами, предоставляющими им указания просто ошеломляет. Мы можем говорить иногда о миллиардах пингов день».
Для подавления активности Dorkbot специалисты из центра по борьбе с киберпреступностью Microsoft Cybercrime Center использовали аналитическое ПО, работающее в «облаке», ежесекундно обрабатывающее огромные объемы информации и позволяющее визуализировать процесс распространения угроз. По результатам программного анализа специалисты пришли к неутешительному выводу: скорость распространения инфекции оказалась вдвое больше, чем они предполагали. Скоординированный удар по вирусу был нанесен в декабре этого года.
Серверы, через которых распространялось вредоносное ПО были физически отключены. После блокирования основных серверов трафик ботнета был перенаправлен на защищенные серверы под контролем Microsoft, что позволило идентифицировать зараженные компьютеры, оповестить их пользователей и провести инструктаж по алгоритму обезвреживания вируса и дальнейшим мерам по противодействию заражению.
Использование облачной технологии Microsoft Azure позволило обеспечить необходимую вычислительную мощность. Данные, полученные в процессе исследования ботнета, в свою очередь, дали возможность принять некоторые меры по повышению уровня защиты сервиса Azure Active Directory Premium. Этот сервис предоставляет ИТ — администраторам актуальную информацию для обеспечения требуемого уровня безопасности, информирует их о попытках инфицированных устройств подключиться к корпоративной сети и позволяет защититься от масштабных атак.
Как и Microsoft, вирусные лаборатории ESET практически ежедневно получают от пользователей модифицированные образцы зловреда. Для проверки компьютера на присутствие Dorkbot и его последующего удаления ESET предлагает воспользоваться небольшой бесплатной программкой Dorkbot Cleaner, скачать которую можно здесь. После скачивания программы сканирование, как правило, занимает меньше минуты.
Подробнее
Уважаемые читатели, мы всегда с удовольствием встречаем и ждем вас на страницах нашего блога. Мы готовы и дальше делиться с вами самыми свежими новостями, обзорными статьями и другими публикациями и постараемся сделать все возможное для того, чтобы проведенное с нами время было для вас полезным. И, конечно, не забывайте подписываться на наши рубрики.
Другие наши статьи и события
- Подборка новогодних подарков до 2016 рублей от iCover
- Покупая iMac или Macbook выигрывай гарнитуру
- Обзор портативного аудиоплеера Cowon Plenue M: Дело в звуке
- Игровая периферия Cougar. Press «X» to win
- Умная уборка с iRobot + подарки
- Эксклюзивные пластинки от iCover и Warner Music
- Скидка 20% на футуризм и классику
Комментарии (9)
lostpassword
30.12.2015 13:15Круто они работают все-таки.) Отрубить сервера, перенаправить трафик, проинформировать пользователей…
Крупная операция.
teecat
30.12.2015 13:37> Использование облачной технологии Microsoft Azure позволило обеспечить необходимую вычислительную мощность. Данные, полученные в процессе исследования ботнета, в свою очередь, дали возможность принять некоторые меры по повышению уровня защиты сервиса Azure Active Directory Premium.
> Для подавления активности Dorkbot специалисты из центра по борьбе с киберпреступностью Microsoft Cybercrime Center использовали аналитическое ПО, работающее в «облаке», ежесекундно обрабатывающее огромные объемы информации и позволяющее визуализировать процесс распространения угроз. По результатам программного анализа специалисты пришли к неутешительному выводу: скорость распространения инфекции оказалась вдвое больше, чем они предполагали
Тоесть всю эту мощу использовали для подсчета количества заражений (рекомендации по улучшению защищенности можно получить по итогам работы вирус — аналитика). А подсчет заражений можно было получить и без визуализации — простым счетчиком заражений. Не подвергая сомнению саму операцию по уничтожению ботнета — чем помогло в этом облако?lostpassword
30.12.2015 14:48+1Может быть, упор был на этом?
позволяющее визуализировать процесс распространения угроз
То есть их интересовала динамика + графическое ее представление.
С другой стороны, мне так и осталось неясным, как это все помогло улучшить защиту Azure Active Directory Premium. Странный выхлоп, не очень понятно, откуда он.)teecat
30.12.2015 15:01Я конечно не знаю, что там визуализировалось, но наши внутренние проекты сравнимого назначения сверхвысоких вычислительных мощностей насколько мне известно не требуют. Что там визуализировать? Уровень заражений по регионам и места расположения источников заражений? Всё простые достаточно счетчики работающие по выборке из базы данных. Ну положим 100тыс заражений ежемесячно. Даже в год порядка миллиона записей в базе. Ну не тянет это на страшные вычисления.
Скорее всего просто было выбрано подходящее ПО, а по итогам его похвалили не очень удачноalaev
31.12.2015 02:52Главный вопрос, нафига нужно было всё визуализировать?
Неужели без красивенького отчёта топам нельзя было начинать лечить?
=)
Статья прекрасна.
Суперкомпьютер помог нам построить модель дома с детализацией до 0,1 миллиметра, именно это помогло нам замесить 300 кубов бетона.
GunneR666
Спасибо за статью, такой легкий утренний детективчик и немного познавательно.
Я просто не смог удержатся:
icover
И вам спасибо за мнение и адекватную реакцию в нужном месте) Лишнее убрали.