Microsoft: Вирус Dorkbot активно используется для хищения банковских данных
Dorkbot несет в себе функционал клавиатурного шпиона и использует IRC протокол для управления ботнетом.
Как сообщает Центр защиты от вирусов корпорации Microsoft (Microsoft Malware Protection Center), в этом месяце в сигнатуры Microsoft Malicious Software Removal Tool была добавлена угроза Win32/Dorkbot.
Вирус Win32/Dorkbot – это червь, использующий IRC протокол для управления ботнетом. У данной программы присутствует функционал руткита и клавиатурного шпиона. Используя простейший протокол связи с командными серверами, данному вирусу удалось на протяжении нескольких лет создать сеть из значительного количества пораженных систем. Сотрудники Microsoft сравнивают этот вирус с печально известным Win32/EyeStye в связи со схожестью в работе и функционале.
В Dorkbot реализован сложный руткит, применяющий технику перехвата, такую же, как и EyeStye. Перехват используется для скрытия реестра и файлов компонента вредоносной программы от антивирусов. Обе вышеупомянутые угрозы похожи тем, что их изучение выявило длительную работу опытных разработчиков, которые поставили перед собой цель похитить учетные данные, личную информацию и банковские реквизиты жертв.
При этом, по сравнению с EyeStye, оператору легче управлять ботнетом Dorkbot, так как он более прост в настройке, менее агрессивен и дешевле, чем его предшественник.
Для распространения Win32/Dorkbot использует такие методы:
USB накопители: при подключении содержащего вирус накопителя к системе, он осуществляет попытку компрометации
Службы мгновенной передачи сообщений (Instant Messaging): оператор ботнета подключают Win32/Dorkbot к определенному IRC клиенту. Червь подсоединяется к ряду API, что позволяет следить за обменом сообщениями. Когда пользователь пораженной системы общается с другими контактами, червь перехватывает отправляемые сообщения и вставляет в них ссылки на вредоносный ресурс. При переходе по ссылке, на систему адресата устанавливается исполняемый файл, содержащий вирус.
Социальные сети: Также как и при распространении через IM-службы, Dorkbot следит за большим количеством популярных социальных сетей. При использовании, например, Facebook для обмена сообщениями, вирус также распространяет вредоносные ссылки.
Как сообщает Центр защиты от вирусов корпорации Microsoft (Microsoft Malware Protection Center), в этом месяце в сигнатуры Microsoft Malicious Software Removal Tool была добавлена угроза Win32/Dorkbot.
Вирус Win32/Dorkbot – это червь, использующий IRC протокол для управления ботнетом. У данной программы присутствует функционал руткита и клавиатурного шпиона. Используя простейший протокол связи с командными серверами, данному вирусу удалось на протяжении нескольких лет создать сеть из значительного количества пораженных систем. Сотрудники Microsoft сравнивают этот вирус с печально известным Win32/EyeStye в связи со схожестью в работе и функционале.
В Dorkbot реализован сложный руткит, применяющий технику перехвата, такую же, как и EyeStye. Перехват используется для скрытия реестра и файлов компонента вредоносной программы от антивирусов. Обе вышеупомянутые угрозы похожи тем, что их изучение выявило длительную работу опытных разработчиков, которые поставили перед собой цель похитить учетные данные, личную информацию и банковские реквизиты жертв.
При этом, по сравнению с EyeStye, оператору легче управлять ботнетом Dorkbot, так как он более прост в настройке, менее агрессивен и дешевле, чем его предшественник.
Для распространения Win32/Dorkbot использует такие методы:
USB накопители: при подключении содержащего вирус накопителя к системе, он осуществляет попытку компрометации
Службы мгновенной передачи сообщений (Instant Messaging): оператор ботнета подключают Win32/Dorkbot к определенному IRC клиенту. Червь подсоединяется к ряду API, что позволяет следить за обменом сообщениями. Когда пользователь пораженной системы общается с другими контактами, червь перехватывает отправляемые сообщения и вставляет в них ссылки на вредоносный ресурс. При переходе по ссылке, на систему адресата устанавливается исполняемый файл, содержащий вирус.
Социальные сети: Также как и при распространении через IM-службы, Dorkbot следит за большим количеством популярных социальных сетей. При использовании, например, Facebook для обмена сообщениями, вирус также распространяет вредоносные ссылки.