Nem válogat a módszerekben a romboló Dorkbot féreg

A Dorkbot.I féreg számos módon képes terjedni, és jelentős mértékben tudja manipulálni a fertőzött számítógépeket.

A Dorkbot.I féreg elsősorban azzal hívja fel magára a figyelmet, hogy számos technika igénybevételével terjed. A féreg cserélhető meghajtókon, azonnali üzenetküldőkön valamint közösségi hálózatokon is felbukkanhat. Az utóbbi két esetben olyan üzeneteket küldözget, amelyekben egy-egy kártékony weboldalra mutató hivatkozást is elhelyez.

Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Dorkbot.I legfontosabb feladata, hogy bizalmas adatokat szivárogtasson ki a számítógépekről. A károkozó az Internet Explorer és a Firefox böngészők által elmentett információkat gyűjti össze, majd FTP-kiszolgálókhoz tartozó hitelesítési adatokat próbál zsákmányolni. Ezt követően a fertőzött rendszereken nyit egy hátsó kaput, amelyen keresztül a támadók az alábbi tevékenységek elvégzésére adhatnak parancsot:
- szolgáltatásmegtagadási támadások
- hálózati adatforgalom manipulálása
- bizalmas adatok gyűjtése és feltöltése
- fájlok letöltése
- programok futtatása.

Amint a Dorkbot.I betöltődik, akkor egy integritásellenőrzést végez a saját állományain. Amennyiben rendellenességet észlel, akkor egy hibaüzenetet jelenít meg. Eközben pedig a fertőzött PC-ről elérhetetlenné teszi a biztonsági cégek weboldalait.

Amikor a Dorkbot.I trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%AppData%/[véletlenszerű karakterek].exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/[véletlenszerű karakterek]="%AppData%/]véletlenszerű karakterek].exe"

3. Megpróbál cserélhető meghajtókon keresztül terjedni. Az adattárolók gyökérkönyvtárába egy autorun.inf fájlt is bemásol.

4. Megkísérel az alábbi üzenetküldő alkalmazások segítségével terjedni:
- Windows Live Messenger
- Pidgin chat
- Xchat
- mIRC

5. Megpróbál közösségépítő szolgáltatások révén további számítógépekre felkerülni. Ezáltal többek között az alábbi webhelyeken bukkanhat fel:
- Facebook
- Twitter
- Bebo
- Vkontakte

6. Nyit egy hátsó kaput a fertőzött rendszeren, és csatlakozik egy IRC-szerverhez, amelyen keresztül parancsokat fogad.

7. Egy rootkit összetevő segítségével elrejti a saját állományait és bejegyzéseit.

8. Megfertőzi az explorer.exe folyamatot.

9. Megpróbál bizalmas adatokat kiszivárogtatni. Ennek során felhasználóneveket és jelszavakat gyűjt az Internet Explorer valamint a Firefox böngészőkből.

10. FTP-szerverekhez tartozó hitelesítési adatokat gyűjt össze.

11. Interneten keresztül további kártékony programokat juttat fel a rendszerre.

12. Felülírja az alábbi fájlokat:
regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe

13. A fertőzött rendszerekről biztonsági cégek weboldalait teszi elérhetetlenné.

A hír megjelenését a Biztonságportál támogatta.