გაუმართაობა 

Worm win32 dorkbot რა სახის პროგრამაა. სამართალდამცავმა ორგანოებმა დაშალეს Dorkbot ბოტნეტი

ერთი განკურნების ისტორია მავნე პროგრამის მაგალითის გამოყენებით AntiVir: Worm/Dorkbot.A.24, DrWeb: BackDoor.Butter.23, Kaspersky: Backdoor.Win32.Ruskill.dj, NOD32: Win32/Dorkbot.B.

სიმპტომებიამ მავნე პროგრამას ჰქონდა შემდეგი: ანტივირუსი არ არის განახლებული, კომპიუტერი მუშაობს ძალიან ცუდად: "საშინლად ნელია და იყინება", პერიოდულად წყვეტს რეაგირებას და ითიშება "სიკვდილის ლურჯი ეკრანით", ინტერნეტში ბევრი საიტი არ იხსნება, ვებ ძიების შედეგები იცვლება, დესკტოპზე გამოჩნდება ახალი მალსახმობები, დაწკაპუნებისას მომხმარებელი გადაჰყავთ სხვა ინფიცირებულ ვებსაიტებზე. გარდა ამისა, ტროას იპარავს კონფედენციალური ინფორმაცია: მონახულებული ვებ გვერდების სია, შესვლა და პაროლები საიტებისთვის, საკრედიტო ბარათებიდა ა.შ.

სიმპტომი No1,რომლითაც შეგიძლიათ აღმოაჩინოს მავნე პროგრამის არსებობასისტემაში: ჩადეთ USB ფლეშ დრაივი და შეხედეთ ფაილის მენეჯერი(V ამ შემთხვევაში სულ მეთაური) რაიმე ახალი ფაილი, საქაღალდე, მალსახმობები გამოჩნდა ფლეშ დრაივზე, ფარული ფაილებიდა საქაღალდეები. თუ კი, მაშინ სისტემაში არის მავნე პროგრამა 100% წარმოდგენილი. ამ შემთხვევაში გვაქვს შემდეგი სურათი:

რეალური საქაღალდეები ფაილებით ამ მომენტშიდამალული (1), ანუ როდესაც ვხსნიდით ფლეშ დრაივს Windows Explorer-ის საშუალებით (ჩემი კომპიუტერი - მოსახსნელი დისკი), ამ საქაღალდეებს ვერ ვხედავდით. მაგრამ მათ ადგილას გამოჩნდა მალსახმობები (2), რომლებსაც აქვთ იგივე სახელები, როგორც რეალური საქაღალდეები და ჰგავს რეალურ საქაღალდეებს, ასე ვიზუალურად რეგულარული მომხმარებელიდაჭერა შეიძლება ვერც კი შეამჩნიოთ. ასევე ჩანს დამალული საქაღალდე "RECYCLER" (3), რომელიც შეიცავს ფაილს „11afb2c9.exe“. კომპიუტერი ინფიცირდება შემდეგნაირად: უეჭველი მომხმარებელი ხსნის ფლეშ დრაივს და აჭერს მალსახმობს, ფიქრობს, რომ ხსნის საქაღალდეს. ამ შემთხვევაში, ფაილი 11afb2c9.exe იხსნება "RECYCLER" საქაღალდიდან (როგორც თქვენ მიხვდით, ეს არის ვირუსი) და ამავე დროს იხსნება. მომხმარებლისთვის საჭიროდამალული საქაღალდე, ისე, რომ კომპიუტერის ინფიცირების მომენტი სრულიად შეუმჩნეველი ხდება.

Პირველირაც თქვენ უნდა გააკეთოთ არის განახლება ანტივირუსული პროგრამადა ანტივირუსული მონაცემთა ბაზები მდე მოქმედი ვერსიადა შეამოწმეთ მუშაობს თუ არა ყველა ანტივირუსული მოდული. Avast დაინსტალირებული იყო ინფიცირებულ კომპიუტერზე, მაგრამ მისმა განახლებამ, სამწუხაროდ, არაფერი მოგვცა, ანტივირუსი პარტიზანივით ჩუმად იქცევა, თითქოს კომპიუტერზე ინფექცია არ იყოს.

NOD32 ანტივირუსს შეუძლია მხოლოდ ვირუსის შედეგებთან ბრძოლა: ის შლის ვირუსის მიერ შექმნილ მალსახმობებს ფლეშ დრაივიდან, წაშლის ვირუსის ფაილები(მაგალითად f5399233.exe, 11afb2c9.exe) "RECYCLER" საქაღალდედან. ის ვერ ხედავს ინფექციის მიზეზს და როდესაც ინფიცირებულ კომპიუტერში სხვა ფლეშ დრაივს ჩავსვამთ, ჩვენ ვხედავთ იმავე სურათს, თუ როგორ ქმნის ანტივირუსი აქტივობის აურზაურს შემდეგი ფლეშ დრაივის დეზინფექციისთვის.

NOD32 ანტივირუსი ვერ ახერხებს კომპიუტერის ინფექციის მიზეზს

მეორერასაც ჩვენ ვაკეთებთ არის ანტი ტროას ცხენი Malwarebytes Anti-Malware(გაშვება - განახლება - სწრაფი სკანირება. სხვა ანტი-ჯაშუშური პროგრამების მიმოხილვა). Ერთდროულადატვირთეთ ფაილი "11afb2c9.exe" virustotal.com-ზე, რათა შეამოწმოთ:

როგორც ტესტის შედეგებიდან ჩანს, ჩვენი Avast ერთადერთია ნორმალური ანტივირუსები, რომელიც არ იცნობს ჩვენს ტროას. სწორედ ეს არის მისი „პარტიული დუმილის“ მიზეზი ამ საკითხთან დაკავშირებით. ( სხვათა შორის, ეს სიტუაცია ყველა ანტივირუსზე ხდება, იდეალური არ არსებობს, ხანდახან ყველაფერი ენატრება...) მაგრამ აქ არის ტესტის შედეგები Malwarebytes პროგრამაანტი-მავნე კმაყოფილია:

პირველი ორი ჩანაწერი, როგორც ჩანს, ჩვენი მავნე პროგრამაა. ჩვენ ვშლით ყველას და გადატვირთეთ.

გადატვირთვის შემდეგჩამოტვირთეთ უფასო სამკურნალო პროგრამა Dr.Web CureIt!® DrWeb ვებ-გვერდიდან (virustotal-ის შემოწმების შედეგებზე დაყრდნობით უკვე ვიცით, რომ DrWeb-მა იცის ეს ინფექცია და, შესაბამისად, შეუძლია მისი განეიტრალება), დაასკანირეთ კომპიუტერი. კომუნალურმა სხვა ვერაფერი იპოვა, რაც ნიშნავს, რომ Avast და Malwarebytes Anti-Malware გაუმკლავდნენ თავიანთ დავალებას: კომპიუტერი სუფთაა.

მოდით დავრწმუნდეთ, რომ Avast მოიცავს ამ ტროას თავის შემადგენლობაში ანტივირუსული მონაცემთა ბაზადა მისი აღმოჩენა დაიწყო მისი ყველა მომხმარებლის მიერ. ამისათვის თქვენ უნდა მოათავსოთ ფაილი "11afb2c9.exe" ანტივირუსულ კარანტინში და გაგზავნოთ იქიდან ანალიზისთვის:

გაგზავნეთ ფაილი ანალიზისთვის Avast-ში

ახლა თქვენ გჭირდებათ გაასუფთავეთ თქვენი ფლეშ დრაივი. ჩვენ ვშლით მალსახმობებს, "RECYCLER" საქაღალდეს და ვშლით ატრიბუტებს ფარული საქაღალდეებიდან. IN სულ მეთაურიკიდევ ერთხელ უფრო მოსახერხებელია ამის გაკეთება:

ფაილის ატრიბუტების მასობრივი ცვლილება სულ პროგრამამეთაური

ჩვენ ხაზს ვუსვამთ ყველა ჩვენს დამალული საქაღალდეებიდა გაუშვით ბრძანება ატრიბუტების შესაცვლელად. IN Windows Explorerეს უნდა გაკეთდეს თითოეული საქაღალდისთვის ცალკე.

საბოლოო შემოწმება.ამისათვის ჩვენ ვაკეთებთ „ფლეშ დრაივის საკონტროლო ჩასმას“ და ვრწმუნდებით, რომ მას აღარაფერი დაემართოს. კომპიუტერის მუშაობის მდგომარეობის ვიზუალური გაუმჯობესებაც აშკარაა: არ იყინება, ყველა ფაილი, საქაღალდე, პროგრამა იხსნება ნორმალურად, მუშაობს ინტერნეტი, იხსნება ყველა საიტი.

სხვათა შორის, ეს ტექნიკა შესაფერისია არა მხოლოდ ამ ტროას, არამედ მრავალი სხვას მოსაშორებლად. იმედი მაქვს, რომ ეს ერთ დღეს დაგეხმარება!

Win32.Dorkbot არის IRC ჭიების ოჯახი (მყისიერი შეტყობინებების პროტოკოლის ჭიები), რომლებიც ვრცელდება მოსახსნელი დისკები, გაცვლითი პროგრამები მყისიერი შეტყობინებებიდა სოციალური მედია.

Win32.Dorkbot-ის ვარიანტებს შეუძლიათ იპოვონ და მოიპარონ მომხმარებლის სახელები და პაროლები ინტერნეტ ტრაფიკის გაფილტვრით და შეუძლიათ დაბლოკონ ვებსაიტები, რომლებიც დაკავშირებულია უსაფრთხოების განახლებებთან. მას ასევე შეუძლია განახორციელოს DoS შეტევა თქვენი კომპიუტერიდან.

Win32.Dorkbot მავნე აქტივობა

  1. ხსნის წვდომას (backdoor) თქვენს კომპიუტერზე.
  2. ახორციელებს მავნე კოდი explorer.exe-ში.
  3. უკავშირდება დისტანციურ ჰოსტს.
  4. ცვლის სისტემის ფაილები(regsvr32.exe, cmd.exe, rundll32.exe, regedit.exe, verclsid.exe, ipconfig.exe)
  5. იპარავს კონფიდენციალურ ინფორმაციას შემდეგი საიტებიდან: (4shared AOL Alertpay Bcointernacional BigString Brazzers Depositfiles DynDNS Facebook Fastmail Fileserve Filesonic Freakshare GMX Gmail Godaddy Hackforums Hotfile IKnowThatGirl Letitbit LogMeIn Mediafirekingixap PayPal-ზე Runescape Sendspace Sms4file Speedyshare Steam atebay Torrentleech Twitter აიტვირთა ატვირთვა Vip-ფაილი Whatcd Yahoo YouPorn YouTube eBay)
  6. ბლოკავს წვდომას უმეტეს ანტივირუსულ საიტებზე.

როგორ წავშალო Win32.Dorkbot?

უფასო პროგრამები

ნებისმიერი საშუალო ანტივირუსი, რომ აღარაფერი ვთქვათ უფრო მოწინავეზე, უნდა შეეძლოს Win32.Dorkbot მკურნალობა. თუ ანტივირუსმა ვერაფერი იპოვა, წაიკითხეთ. აქ მე აღვწერ უფასო და ფასიან სპეციალიზებულ ინსტრუმენტებს ამის მოსაშორებლად კომპიუტერული ჭიასხვადასხვა დეველოპერებისგან.

ფასიანი პროგრამები

Win32.Dorkbot Removal Tool - სპეციალიზებული პროდუქტიგანვითარებული რუსული კომპანია უსაფრთხოების საყრდენი. წაშალეთ ავტომატური რეჟიმი, გადახდა მხოლოდ აღმოჩენის შემთხვევაში მავნე ფაილები. პროგრამა იყიდება წლიურ ტექნიკურ მხარდაჭერასთან ერთად. True Sword antispyware-ის მხარდაჭერა და ლიცენზია. შეგიძლიათ ჩამოტვირთოთ

ვირუსით დაინფიცირება ყოველთვის უსიამოვნოა, არ აქვს მნიშვნელობა, თქვენ თვითონ მიიღეთ ეს მეგობრისგან თუ ჩვენ ვსაუბრობთშენი კომპიუტერი. ზოგჯერ კომპიუტერული ვირუსები უფრო უსიამოვნოა, ვიდრე ჩვეულებრივი, მაგალითად, როდესაც, ინტრუზიული ფანჯრის გამო, მთელი ეკრანი დაბლოკილია სამუშაოებით ან ყველა ფლეშ დრაივი ჩამოკიდებულია, ინფიცირებული კიდევ ერთი ჭიით.

რა არის dorkbot.as?

ეს ვირუსი არის ჭია, რომლის მთელი ოჯახია. ყველა მათგანი „გავრცელდა“ მონაცემთა გადაცემის მოწყობილობების, სოციალური ქსელებისა და მესიჯის პროგრამების მეშვეობით. მას შეუძლია მონაწილეობა მიიღოს DoS შეტევებში. მიუხედავად იმისა, რომ მასთან დაკავშირებული მთავარი პრობლემა არის სისტემის მიერ გადმოწერილი განახლების საიტების დაბლოკვა, რისთვისაც ის ახსოვს მომხმარებლის პაროლებს და შესვლას.

უფრო ხშირად კი ვიდრე თან გარე მედია, ეს „ინფექცია“ ხვდება საკუთარი თავის ბმულების მეშვეობით პეიჯერის პროგრამებიდან (Skype, ICQ) ან სოციალური ქსელებიდან, რომლებიც გაგზავნილია ყველა კონტაქტში. მისამართების წიგნიინფიცირებული კომპიუტერი. თავად ფაილი ინახება %APPDATA% დირექტორიაში (C:\Users\\AppData\Roaming) და მისი სახელი გენერირდება შემთხვევით სერიული ნომერიმყარი დისკი და მოთავსებულია გაშვებაში (რეესტრის ფილიალი HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

ამის შემდეგ მას შეუძლია საკუთარი თავის კოპირება ყველა დაკავშირებულზე გარე დისკებისმარტფონის მეხსიერების ბარათების ჩათვლით, იმალება RECYCLER საქაღალდედა იყენებთ autorun.inf-ს ავტომატური გასაშვებად ყოველ ჯერზე, როცა თქვენს კომპიუტერს უკავშირდებით.

ყველაზე მზაკვრული რამ მის რეპროდუცირებაში არის ის, რომ ვირუსს შეუძლია მომხმარებლისგან ფარულად გადაჭრას შეტყობინებები და დაუმატოს მათ ბმული.

ის ოსტატურად იმალება მომხმარებლისგან საკუთარი rootkit-ის გამოყენებით. ყველაზე გავრცელებული ვარიანტია მისი შეყვანა explorer.exe-ში, თუმცა ზოგიერთ მსხვერპლს ეს mspaint.exe-შიც კი შეხვედრია.

ყველაზე დიდი სისასტიკე, რომელიც ელოდება უიღბლო მომხმარებელს, რომელიც ცდილობდა მის „განკურნებას“, არის ჩაშენებული მთლიანობის შემოწმება, რომლის წყალობითაც dorkbot.as დაცულია წაშლისგან, ნაგვით შევსებისგან და დისკის დაზიანებისგან.

ბრძოლა Dorkbot.as: კლასიკური მეთოდი

ამ უბედურების დამარცხების ყველაზე მარტივი გზა კლასიკურის გამოყენებაა ანტივირუსული საშუალებები. ამ მიმართულებით ლიდერები არიან კასპერსკის ცნობილი AVZ და AVPTool. მართალია, არიან სამწუხარო ადამიანები, ვისთვისაც ეს პროგრამები არ დაეხმარა.

კიდევ ერთი პროგრამა, რომლის გამოყენებაც შესაძლებელია, არის “Dr.Web CureIt!”, Doctor Web-ის ბრენდის ნაყოფი. პროგრამა, ისევე როგორც წინა ორი, უფასოა, ამიტომ ის ყველასთვის ხელმისაწვდომია.

სამივე პროდუქტი ხელმისაწვდომი და გასაგებია იმ მომხმარებლებისთვისაც კი, რომლებიც სრულიად არ იციან კომპიუტერის სირთულეებში. მაგრამ ისინი ყოველთვის ვერ უმკლავდებიან dorkbot.as, კერძოდ, იმიტომ, რომ ისინი არ აშორებენ ან არ მკურნალობენ აქტიურ ვირუსებს და ის ავტოჩატვირთვაშია, ე.ი. მუდმივად გაშვებული. ამიტომ, ბევრს უწევს დახმარების თხოვნა ნაცნობ (ან უცნობ) პროფესიონალებს.

მოცილება სპეციალური კომუნალური საშუალებების გამოყენებით

ყველაზე საშიში ან გავრცელებული ვირუსებისთვის, სპეციალური კომუნალური საშუალებებიმოხსნა. ასევე არის დორკბოტების ოჯახისთვის.

ინტერნეტში შეგიძლიათ იპოვოთ იმპორტირებული პროგრამა SpyHunter 4, რომელიც შემუშავებულია ამერიკული კომპანიის Enigma Software Group-ის მიერ. ის დაგეხმარებათ ამოიღოთ dorkbot.as უპრობლემოდ ოპერაციული სისტემაფანჯრები.
შიდა პროგრამირების მიმდევრებისთვის შესაფერისია Win32/Dorkbot Security Stronghold-დან.

ექიმები ამბობენ, რომ თუ ვირუსს უმკურნალებენ. ის ქრება 7 დღეში, მკურნალობის გარეშე - ერთ კვირაში. სამწუხაროდ, თან კომპიუტერული ვირუსებიეს ასე არ არის და მკურნალობის დაგვიანების ყოველი დღე შეიძლება ფაქტიურად ბოლო იყოს ელექტრონული მეგობარი. ამიტომ, თუ dorkbot.as გამოჩნდა კომპიუტერში ან შენიშნეს ფლეშ დრაივებზე, მკურნალობა დაუყოვნებლივ უნდა დაიწყოს.

ვირუსით დაინფიცირება ყოველთვის უსიამოვნოა, არ აქვს მნიშვნელობა, მეგობრისგან მიიღეთ თუ თქვენი კომპიუტერიდან. ზოგჯერ კომპიუტერული ვირუსები უფრო უსიამოვნოა, ვიდრე ჩვეულებრივი, მაგალითად, როდესაც, ინტრუზიული ფანჯრის გამო, მთელი ეკრანი დაბლოკილია სამუშაოებით ან ყველა ფლეშ დრაივი ჩამოკიდებულია, ინფიცირებული კიდევ ერთი ჭიით.

რა არის dorkbot.as?

ეს ვირუსი არის ჭია, რომლის მთელი ოჯახია. ყველა მათგანი „გავრცელდა“ მონაცემთა გადაცემის მოწყობილობების, სოციალური ქსელებისა და მესიჯის პროგრამების მეშვეობით. მას შეუძლია მონაწილეობა მიიღოს DoS შეტევებში. მიუხედავად იმისა, რომ მასთან დაკავშირებული მთავარი პრობლემა არის სისტემის მიერ გადმოწერილი განახლების საიტების დაბლოკვა, რისთვისაც ის ახსოვს მომხმარებლის პაროლებს და შესვლას.

უფრო ხშირად, ვიდრე გარე მედიიდან, ეს „ინფექცია“ გაჟონავს თავისთვის ბმულების მეშვეობით პეიჯერის პროგრამებიდან (Skype, ICQ) ან სოციალური ქსელებიდან, რომლებიც იგზავნება ინფიცირებული კომპიუტერის მისამართების წიგნის ყველა კონტაქტზე. თავად ფაილი ინახება %APPDATA% დირექტორიაში (C:\Users\\AppData\Roaming) და მისი სახელი შემთხვევით გენერირებულია მყარი დისკის სერიული ნომრიდან და მოთავსებულია გაშვებაში (რეესტრის ფილიალი HKCU\Software\Microsoft\Windows\ CurrentVersion\Run).

ამის შემდეგ, მას შეუძლია დააკოპიროს საკუთარი თავი ყველა დაკავშირებულ გარე დისკზე, მათ შორის სმარტფონის მეხსიერების ბარათებზე, იმალება RECYCLER საქაღალდეში და გამოიყენოს autorun.inf ავტომატური ჩართვისას ყოველ ჯერზე, როცა ის კომპიუტერთან არის დაკავშირებული.

ყველაზე მზაკვრული რამ მის რეპროდუცირებაში არის ის, რომ ვირუსს შეუძლია მომხმარებლისგან ფარულად გადაჭრას შეტყობინებები და დაუმატოს მათ ბმული.

ის ოსტატურად იმალება მომხმარებლისგან საკუთარი rootkit-ის გამოყენებით. ყველაზე გავრცელებული ვარიანტია მისი შეყვანა explorer.exe-ში, თუმცა ზოგიერთ მსხვერპლს ეს mspaint.exe-შიც კი შეხვედრია.

ყველაზე დიდი სისასტიკე, რომელიც ელოდება უიღბლო მომხმარებელს, რომელიც მის „განკურნებას“ ცდილობდა, არის ჩაშენებული მთლიანობის შემოწმება, რომლის წყალობითაც dorkbot.as დაცულია წაშლისაგან, მისი ნაგვით შევსებისგან და დისკის დაზიანებისგან.

ბრძოლა Dorkbot.as: კლასიკური მეთოდი

ამ უბედურების დამარცხების ყველაზე მარტივი გზა არის კლასიკური ანტივირუსული საშუალებების გამოყენება. ამ მიმართულებით ლიდერები არიან კასპერსკის ცნობილი AVZ და AVPTool. მართალია, არიან სამწუხარო ადამიანები, ვისთვისაც ეს პროგრამები არ დაეხმარა.

კიდევ ერთი პროგრამა, რომლის გამოყენებაც შესაძლებელია, არის “Dr.Web CureIt!”, Doctor Web-ის ბრენდის ნაყოფი. პროგრამა, ისევე როგორც წინა ორი, უფასოა, ამიტომ ის ყველასთვის ხელმისაწვდომია.

სამივე პროდუქტი ხელმისაწვდომი და გასაგებია იმ მომხმარებლებისთვისაც კი, რომლებიც სრულიად არ იციან კომპიუტერის სირთულეებში. მაგრამ ისინი ყოველთვის ვერ უმკლავდებიან dorkbot.as, კერძოდ, იმიტომ, რომ ისინი არ აშორებენ ან არ მკურნალობენ აქტიურ ვირუსებს და ის ავტოჩატვირთვაშია, ე.ი. მუდმივად გაშვებული. ამიტომ, ბევრს უწევს დახმარების თხოვნა ნაცნობ (ან უცნობ) პროფესიონალებს.

მოცილება სპეციალური კომუნალური საშუალებების გამოყენებით

ყველაზე საშიში ან ფართოდ გავრცელებული ვირუსებისთვის იწარმოება სპეციალური მოცილების საშუალებები. ასევე არის დორკბოტების ოჯახისთვის.

ინტერნეტში შეგიძლიათ იპოვოთ იმპორტირებული პროგრამა SpyHunter 4, რომელიც შემუშავებულია ამერიკული კომპანიის Enigma Software Group-ის მიერ. ის დაგეხმარებათ ამოიღოთ dorkbot.as Windows ოპერაციული სისტემიდან უპრობლემოდ.
შიდა პროგრამირების მიმდევრებისთვის შესაფერისია Win32/Dorkbot Security Stronghold-დან.

ექიმები ამბობენ, რომ თუ ვირუსი მკურნალობს. ის ქრება 7 დღეში, მკურნალობის გარეშე - ერთ კვირაში. სამწუხაროდ, ეს ასე არ არის კომპიუტერული ვირუსების შემთხვევაში და ელექტრონული მეგობრისთვის მკურნალობის შეფერხების ყოველი დღე შესაძლოა ფაქტიურად ბოლო იყოს. ამიტომ, თუ dorkbot.as გამოჩნდა კომპიუტერში ან შენიშნეს ფლეშ დრაივებზე, მკურნალობა დაუყოვნებლივ უნდა დაიწყოს.

2015 წლის 4 დეკემბერი, 10:06 საათი

სამართალდამცავები Dorkbot ბოტნეტი დაიშალა

  • ESET NOD32 ბლოგი

მოწოდებულია ESET Microsoft-ის დახმარება, პოლონური CERT და სამართალდამცავი ორგანოები მთელს მსოფლიოში Dorkbot-ის ბოტნეტის აღმოფხვრაში ამ ბოტნეტის C&C სერვერების კონტროლის მექანიზმის გამოყენებით. ჩვენ გვსურს გამოვაქვეყნოთ მიმოხილვა ტექნიკური ანალიზიეს მავნე პროგრამა, ზოგიერთი სტატისტიკური ინფორმაციაინფექციებზე და ინფორმაციას C&C სერვერების შესახებ.

Უზრუნველყოფა საჭირო დახმარებაამ ბოტნეტის აღმოფხვრისას, ჩვენ გამოვიყენეთ ჩვენი დიდი გამოცდილება ამ საფრთხის თვალყურის დევნებაში და მისგან მომხმარებლების დასაცავად. ყოვლისმომცველი ინფორმაცია ამ საფრთხის შესახებ ჯერ კიდევ 2012 წელს მოგვაწოდა ESET-ის მკვლევარმა პაბლო რამოსმა Virus Bulletin კონფერენციაზე.

თავდამსხმელებმა Dorkbot-ის გამოყენებით 200-ზე მეტ ქვეყანაში ბევრი მომხმარებლის დაინფიცირება მოახერხეს. მავნე პროგრამა აღმოჩენილია ESET ანტივირუსული პროდუქტების მიერ, როგორც Win32/Dorkbotდა მისი გავრცელებისთვის გამოყენებული იყო სოციალური ქსელები, სპამის გაგზავნა, ექსპლოიტის ნაკრები და განაწილების მექანიზმები მოსახსნელი მედიის საშუალებით. კომპიუტერზე დაინსტალირების შემდეგ, Dorkbot არღვევს დაინსტალირებული ანტივირუსული პროდუქტების მუშაობას, ბლოკავს მათ წვდომას განახლებების მისაღებად. ბოტი იყენებს IRC პროტოკოლს თავდამსხმელებისგან ინსტრუქციების მისაღებად.

გარდა ტროას პროგრამებისთვის ნაცნობი ფუნქციების შესრულებისა, როგორიცაა პაროლების მოპარვა პოპულარული სერვისები Facebook და Twitter, Dorkbot სპეციალიზირებულია ერთი ან რამდენიმე მეორის დაყენებაში მავნე პროგრამა. ჩვენ ჩავწერეთ ისეთი მავნე პროგრამის ინსტალაცია ბოტის მიერ, როგორიცაა Win32/Kasidet(ნეიტრინო ბოტი) და ასევე Win32/Lethic. პირველს იყენებენ თავდამსხმელები DDoS შეტევების განსახორციელებლად, ხოლო მეორე არის სპამის ბოტი.

Dorkbot ჯერ კიდევ ძალიან გავრცელებულია მსოფლიოს მრავალ ქვეყანაში. ყოველ კვირას ჩვენ ვხედავთ, რომ ათასობით მომხმარებელი ინფიცირდება ამ მავნე პროგრამით და ბოტის ახალი ნიმუშები შემოდის ჩვენს საიტზე ანტივირუსული ლაბორატორიაყოველდღიურად. გასაკვირი არ არის, რომ დორკბოტი სამართალდამცავების სამიზნე გახდა. თქვენი სისტემის შესამოწმებლად დორკბოტის ინფექციადა მისი შემდგომი მოცილება, გამოიყენეთ ჩვენი უფასო ინსტრუმენტი Dorkbot Cleaner.


ბრინჯი. დორკბოტის გავრცელების გეოგრაფია.

ქვემოთ მოყვანილი დიაგრამა აჩვენებს სხვადასხვა კომპონენტებს, რომლებიც გამოიყენება უახლესი ვერსიები Dorkbot, ჩვენ მოვახერხეთ მათი ანალიზი.

განვიხილოთ ტიპიური პროცესიმავნე პროგრამების ინფექცია მოსახსნელი USB დისკის საშუალებით, რაც ხელს შეუწყობს თითოეული მოდულის როლის უკეთ ილუსტრირებას. მას შემდეგ, რაც Dorkbot ეძებს ინფიცირებულ სისტემასთან დაკავშირებულ მოსახსნელ საცავის მოწყობილობებს, რათა შემდგომში მათ კომპრომეტირება მოახდინოს, ამ მავნე პროგრამის ნიმუშების ჩვენმა აღმოჩენებმა კონკრეტულად გამოიწვია მოსახსნელი მედია. ამავდროულად, მათზე ნაპოვნი იქნა ორი ტიპის Dorkbot ფაილი: შესრულებადი ფაილი dropper და .LNK ფაილები ფიშინგის სახელებით, რომლებიც მიუთითებენ dropper ფაილზე.

როდესაც მომხმარებელი უშვებს Dorkbot dropper-ს USB დისკიდან (აღდგენილია ESET AV პროდუქტების მიერ, როგორც Win32/Dorkbot.I), ის ცდილობს ჩამოტვირთოთ მავნე პროგრამის ძირითადი კომპონენტი დისტანციური სერვერიდან. თავად სერვერის მისამართი ხისტი კოდირებულია საწვეთურის შესრულებად ფაილში. გადმოწერილი ფაილი ძლიერ შეფუთულია და მისი კოდი ამოიღებს და ახორციელებს Win32/Dorkbot.L შესრულებად ფაილს, რომელიც არის მარტივი შეფუთვა(შეფუთვა) გამოიყენება ძირითადი კომპონენტის დასაყენებლად. ეს მთავარი კომპონენტი ჩვენ მიერ არის აღმოჩენილი, როგორც Win32/Dorkbot.B და პასუხისმგებელია მასთან მუშაობაზე დისტანციური სერვერი IRC-ზე. შეფუთვა ასევე სპეციალიზირებულია API ფუნქციების ჩაჭრაში DnsQueryძირითად კომპონენტში. ამ მეთოდს იყენებს Dorkbot, რათა გაართულოს ანტივირუსული ანალიტიკოსებისთვის რეალური C&C სერვერების დომენების აღმოჩენა, რადგან ამ შემთხვევაში გაშვებულ კომპონენტს არ აქვს თავდამსხმელთა რეალური C&C სერვერების მისამართები. როდესაც ის ცდილობს შეასრულოს დომენის თარგმნა მეშვეობით DnsQuery, ფუნქციის გამოძახება ჩაიშლება და wrapper გადასცემს რეალური C&C სერვერის მისამართს API ფუნქციას, როგორც ერთ-ერთ არგუმენტს.

მავნე პროგრამის ინსტალაციის დასრულების შემდეგ, ბოტი შეეცდება დაკავშირდეს IRC სერვერთან და დაელოდება გარკვეული ბრძანებების მიღებას თავდამსხმელებისგან ფიქსირებულ არხზე. როგორც წესი, ბოტი იღებს ბრძანებებს სისტემაში ახალი მავნე პროგრამების ჩამოტვირთვისა და შესრულებისთვის, რომლებიც ზემოთ იყო ნახსენები.

Dorkbot-ზე დაფუძნებული ბოტნეტი დიდი ხანია აქტიურია და თავდამსხმელები მას დღემდე წარმატებით იყენებენ. ამ ბოტნეტის საკონტროლო C&C სერვერების ინფრასტრუქტურა ერთ-ერთია, რომლის საქმიანობაც მონიტორინგს ატარებს ESET-ის სპეციალისტების მიერ. ასეთი ინფორმაცია ძალზე მნიშვნელოვანია მავნე პროგრამის ქცევაში ცვლილებების თვალყურის დევნებისთვის, ასევე მის შესახებ ინფორმაციის დაგროვებისთვის სამართალდამცავი ორგანოების მიერ მისი გამოყენების მიზნით.

მავნე Dorkbot პროგრამაარ იყენებს ახალ მეთოდებს ახალი სისტემების კომპრომისისთვის. მომხმარებლები ფრთხილად უნდა იყვნენ ფაილების გახსნისას მოსახსნელი მედია, ისევე როგორც იმ ფაილებს, რომლებსაც ისინი იღებენ ელდა სოციალური ქსელები. თქვენი სისტემის Dorkbot ინფექციის შესამოწმებლად, შეგიძლიათ გამოიყენოთ ჩვენი უფასო ინსტრუმენტი აქ. დღეს ანტივირუსი ESET პროდუქტები Dorkbot ფაილების ათასობით სხვადასხვა მოდიფიკაცია, ასევე მავნე პროგრამების ფაილები, რომლებიც ნაწილდება ამ ბოტნეტის მიერ.

ქვემოთ მოცემულია URL-ების ან მათი ნაწილების მაგალითები, რომლებსაც Dorkbot-ის პაროლის მოპარვის კომპონენტი მიზნად ისახავს.

*პეიპალი.*
*google.*
*აოლ.*
*screenname.aol.*
*დიდი სიმებიანი.*
*fastmail.*
*gmx.*
*login.live.*
*login.yahoo.*
*ფეისბუქი.*
*ჰაკფორუმები.*
*ორთქლზე მომუშავე*
*არა-ip*
*dyndns*
*runescape*
*.moneybookers.*
*twitter.com/sessions*
*secure.logmein.*
*officebanking.cl/*
*signin.ebay*
*დეპოზიტის ფაილები.*
*მეგაატვირთვა.*
*sendspace.com/login*
*mediafire.com/*
*freakshare.com/login*
*netload.in/index*
*4shared.com/login*
*hotfile.com/login*
*fileserv.com/login*
*uploading.com/*
*ატვირთული.to/*
*filesonic.com/*
*oron.com/login*
*what.cd/login*
*letitbit.net*
*sms4file.com/*
*vip-file.com/*
*torrentleech.org/*
*thepiratebay.org/login*
*netflix.com/*
*alertpay.com/login*
*godaddy.com/login*
*namecheap.com/*
*moniker.com/*
*1and1.com/xml/config*
*enom.com/login*
*dotster.com/*
*webnames.ru/*
*:2082/შესვლა* (შესაძლოა გამიზნული cpanel)
*:2083/შესვლა* (შესაძლოა გამიზნული cpanel)
*:2086/login* (შესაძლოა გათვლილი იყოს GNUnet)
*whcms*
*:2222/CMD_LOGIN* (შესაძლოა გათვლილი იყოს DirectAdmin)
*bcointernacional*
*members.brazzers.com*
*შენ პატარა.*
*წევრები*



გაქვთ შეკითხვები?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა