• Win32/Dorkbot.B

  • 0
Автор
Категория Червь
Дата обнаружения 16.05.2011
Размер 172032
Другие названия
Worm.Win32.Ngrbot.gqj (Касперский)
W32/Kolab.gen.p (McAfee)
Worm:Win32/Dorkbot (Microsoft)

Краткое описание

Win32/Dorkbot.B-это червь, который распространяется через съемные носители. Червь служит backdoor. Он может управляться дистанционно.

Как устанавливается

После запуска червь копирует себя в следующие папки:

  • %appdata%\­%variable%.exe

Для автоматического запуска с системой, червь создает следующие записи в реестре:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable%" = "%appdata%\­%variable%.exe"
  • "%variable%" = "%appdata%\­%variable%.exe"

Вместо %variable% используется строка с разным содержанием

Червь создает и запускает новый поток с собственным программным кодом во всех запущенных процессах, кроме следующих:

  • lsass.exe

Распространение на съёмных носителях

Win32/Dorkbot.B-это червь, который распространяется через съемные носители.

Червь копирует себя в следующие местоположения:

  • %removabledrive%\­RECYCLER\­%variable%.exe

Вместо %variable% используется строка с разным содержанием

Червь создает следующий файл:

  • %removabledrive%\­RECYCLER.lnk

Файл-это ярлык на вредоносный файл.

Червь создает следующие файлы:

  • %removabledrive%\­%existingfoldername%.lnk

Распространение

Червь распространяется через ссылки в социальных сетях.

Следующие сайты социальных сетей влияют:

  • Bebo
  • Facebook
  • Friendster
  • Twitter
  • VKontakte

Кража информации

Червь собирает конфиденциальные сведения, при просмотре определенных веб-сайтов.

Червь собирает информацию, относящуюся к следующим сервисам:

  • 4shared
  • Alertpay
  • AOL
  • Bcointernacional
  • BigString
  • Brazzers
  • Depositfiles
  • DynDNS
  • eBay
  • Facebook
  • Fastmail
  • Fileserve
  • Filesonic
  • Freakshare
  • Gmail
  • GMX
  • Godaddy
  • Hackforums
  • Hotfile
  • IKnowThatGirl
  • Letitbit
  • Live
  • LogMeIn
  • Mediafire
  • Megaupload
  • Moneybookers
  • Moniker
  • Namecheap
  • Netflix
  • Netload
  • OfficeBanking
  • Oron
  • PayPal
  • Runescape
  • Sendspace
  • Sms4file
  • Speedyshare
  • Steam
  • Thepiratebay
  • Torrentleech
  • Twitter
  • Uploading
  • Vip-file
  • Webnames
  • Whatcd
  • Yahoo
  • YouPorn
  • YouTube
Показать больше
Показать меньше

Собирается следующая информация:

  • login user names for certain applications/services
  • login passwords for certain applications/services
  • POP3 account information
  • FTP account information

Червь пытается отправить собранную информацию на удаленный компьютер, используя HTTP протокол.

Дополнительная информация

Червь служит backdoor. Он может управляться дистанционно.

Червь подключается по следующим адресам:

  • bt1.yakizzy.com
  • bt1.oyoba.com
  • bt1.divalium.com

IRC-протокол используется.

Поддерживается выполнение следующих операций:

  • download files from a remote computer and/or the Internet
  • run executable files
  • update itself to a newer version
  • perform DoS/DDoS attacks
  • spread via removable drives
  • spread via MSN network
  • monitor network traffic
  • modify network traffic
  • redirect network traffic
  • block access to specific websites
  • post messages on social networks
  • insert IFRAME tag(s) into HTML pages with a specific URL pointing to malicious software
  • open a specific URL address
  • set up a proxy server
  • send gathered information
Показать больше
Показать меньше

Червь блокирует доступ к любым доменам, которые содержат любую из следующих строк в их имени:

  • avast
  • avg
  • avira
  • bitdefender
  • bullguard
  • clamav
  • comodo
  • emsisoft
  • eset
  • fortinet
  • f-secure
  • garyshood
  • gdatasoftware
  • heck.tc
  • iseclab
  • jotti
  • kaspersky
  • lavasoft
  • malwarebytes
  • mcafee
  • norman
  • norton
  • novirusthanks
  • onecare.live
  • onlinemalwarescanner
  • pandasecurity
  • precisesecurity
  • sophos
  • sunbeltsoftware
  • symante
  • threatexpert
  • trendmicro
  • virscan
  • virus
  • virusbuster.nprotect
  • viruschief
  • virustotal
  • webroot
Показать больше
Показать меньше

Червь перехватывает следующие функции API Windows:

  • ZwEnumerateValueKey (ntdll.dll)
  • ZwQueryDirectoryFile (ntdll.dll)
  • NtEnumerateValueKey (ntdll.dll)
  • NtQueryDirectoryFile (ntdll.dll)
  • CopyFileA (kernel32.dll)
  • CopyFileW (kernel32.dll)
  • MoveFileA (kernel32.dll)
  • MoveFileW (kernel32.dll)
  • CreateFileA (kernel32.dll)
  • CreateFileW (kernel32.dll)
  • DnsQuery_A (dnsapi.dll)
  • DnsQuery_W (dnsapi.dll)
  • send (ws2_32.dll)
  • getaddrinfo (ws2_32.dll)
  • HttpSendRequestA (wininet.dll)
  • HttpSendRequestW (wininet.dll)
  • InternetWriteFile (wininet.dll)
Показать больше
Показать меньше

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности *

Следите за нами:

Яндекс.Метрика