A Dorkbot féreg egy szerteágazó funkcionalitással rendelkező, komplex kártékony program, amely több terjedési csatornán keresztül képes veszélyeztetni a számítógépeket. A féreg elsősorban cserélhető meghajtókon terjed, azonban felbukkanhat azonnali üzenetküldőkön és közösségi oldalakon is. Így például a Windows Live Messenger, a Facebook valamint a Twitter felhasználóinak PC-it sem kíméli.
Az Isidor Biztonsági Központ jelentése szerint a Dorkbot a fertőzött rendszereken számos olyan műveletet hajt végre, amelyek révén egyrészt elrejti a saját állományait, folyamatait, másrészt kiszolgáltatottá teszi a számítógépeket. Az Internet Explorer valamint a Firefox böngészőn keresztül folyamatosan figyelemmel kíséri a felhasználó internetezési szokásait, és megpróbál hitelesítő adatokat gyűjteni népszerű webes szolgáltatásokhoz. Többek között Gmail, Facebook, Twitter, Yahoo, YouTube belépési adatokat fürkészik. Eközben a fertőzött számítógépekről elérhetetlenné teszi a biztonsági cégek weboldalait.
A Dorkbot féreg IRC-n keresztül egy hátsó kaput létesít, és az alábbi tevékenységek végrehajtására vehető rá:
- programok letöltése és futtatása
- weboldalak blokkolása
- DoS-támadások kezdeményezése
- azonnali üzenetküldők adatforgalmának manipulálása
- adatok kiszivárogtatása
- a féreg frissítése.
Amikor a Dorkbot féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
facebook-profile-pic-[véletlenszerű karakterek]-JPEG.exe
facebook-pic00 [véletlenszerű karakterek].exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/[véletlenszerű karakterek]/"%AppData%/[véletlenszerű karakterek].exe"
3. Az összes USB-s adattárlón létrehoz egy RECYCLER mappát.
4. Az elérhető cserélhető meghajtókra felmásolja a saját állományait, és egy Autorun.inf fájlt.
5. Megpróbál az alábbi szolgáltatások és alkalmazások segítségével terjedni:
Windows Live Messenger
Pidgin chat
Xchat
mIRC
Az azonnali üzenetküldők segítségével a címjegyzékekben szereplő felhasználóknak kártékony weboldalakra mutató linket tartalmazó üzeneteket küldözget.
6. Megkísérel az alábbi közösségépítőkön terjedni:
Facebook
Twitter
Bebo
Vkontakte
7. Nyit egy hátsó kaput, és várakozik a támadók parancsaira, akik az utasításaikat IRC-n keresztül juttathatják el a féreghez.
8. Rendszerinformációkat gyűjt össze a fertőzött számítógépekről.
9. Egy rootkit összetevő segítségével elrejti a saját állományait, folyamatait.
10. Megfertőzi az explorer.exe folyamatot.
11. Csatlakozik előre meghatározott IRC-szerverekhez.
12. Felülírja a következő fájlokat:
regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe
13. Folyamatosan monitorozza az internetes kommunikációt az Internet Explorer valamint a Firefox böngészőkön keresztül.
14. Megpróbál FTP-szerverekhez tartozó hitelesítő adatokat gyűjteni.
15. Különféle weboldalakhoz és webes szolgáltatásokhoz tartozó adatokat próbál összegyűjteni, naplózni. Többek között az alábbi webhelyek esetében aktivizálódik:
AOL
DynDNS
Facebook
Gmail
LogMeIn
PayPal
Twitter
Yahoo
YouPorn
YouTube
eBay
16. Egyes esetekben weboldalakba IFRAME-kódokat szúr be.
17. A fertőzött számítógépekről elérhetetlenné teszi egyes biztonsági cégek weboldalait.
18. A saját állományain egy integritásellenőrzést végez, és ha hibát észlel, akkor egy üzenetablakot jeleníti meg, és közli a felhasználóval, hogy a merevlemeze sérült.
1 hozzászólás
Nesze neked számítógépi biztonság. A pénzügyi tranzakciók elirányításáról ugyan nincs szó itt, de ha vírus készítője akarná, meg tudná tenni.