Европол, ФБР и Ко атаковали ботнет Dorkbot

08.12.2015 | 11:01
На прошлой неделе борцы с ботнетами нанесли сокрушительный удар по инфраструктуре одного из самых распространенных зловредов – Dorkbot. По экспертным оценкам, за четыре года этот Windows-червь с функционалом бэкдора заразил более 1 млн. компьютеров в 190 странах мира.

В трансграничной операции приняли участие работающий на базе Европола европейский центр по борьбе с киберпреступностью (EC3), европейская объединенная группа по противодействию киберпреступности (J-CAT), Интерпол, ФБР, а также правоохранительные органы Канады, Бельгии, Франции, Литвы, Испании, Нидерландов, Албании и Черногории. В частности, полицейские Канады помогли надзорному органу этой страны воплотить в жизнь первое в своем роде постановление в рамках действующего закона о спаме – отключить C&C-сервер Dorkbot, функционировавший в Торонто.

Экспертную поддержку силовикам оказали Microsoft, ESET, польская и американская CERT. В настоящее время участники совместной операции заняты подсчетом пострадавших от действий ботоводов.

Microsoft и ESET наблюдают Dorkbot (на черном рынке известен как NgrBot) с 2011 года. Этот червь распространяется через USB-накопители, IM-каналы, социальные сети почтовый спам и drive-by загрузки посредством эксплойта. По свидетельству экспертов, некоторые операторы ботнетов на основе Dorkbot применяют также специальный модуль-загрузчик.

Основным назначением зловреда, по данным Microsoft, является кража идентификаторов к учетным записям и персональных данных. Dorkbot мониторит сеансы связи через браузер и отслеживает заходы на определенные сайты. Зловреда, в частности, интересуют почтовые сервисы (AOL, Gmail, Yahoo), социальные сети (Facebook, Twitter), а также eBay, PatPal, Steam, YouTube, Netflix и проч.

После запуска на машине жертвы Dorkbot открывает бэкдор и ждет команды своих повелителей. Первое, что ему обычно доводится выполнять, – это самораспространение или загрузка другого зловреда. В последнем случае выбор бывает широк, от даунлоудеров вроде Gamarue/Andromeda или Necurs до криптоблокеров (Crowti/Cryptowall) и спамботов, таких как Waledac, Kelihos и Lethic.

Dorkbot также умеет по команде блокировать доступ жертвы к ИБ-сайтам, чтобы воспрепятствовать обновлению наличных средств антивирусной защиты. Он также фиксирует время первого исполнения и при получении апдейта сверяется с этой меткой: разница не должна составлять менее 48 часов, в противном случае обращение к URL будет обнаружено, если запуск произошел в песочнице.

Управление Dorkbot осуществляется по IRC-каналам, некоторые варианты червя, по свидетельству Microsoft, используют защищенные соединения (SSL). Адреса C&C-серверов обычно запрограммированы в IRC-модуле зловреда. При первом подключении Dorkbot сообщает ботоводам свое местоположение, версию Windows жертвы и персональный идентификатор. После этого он готов к выполнению команд.

Последние полгода защитные решения Microsoft в среднем фиксируют по 100 тыс. заражений Dorkbot в месяц. Наибольшее количество ботов выявлено в Индии (21% общего количества), Индонезии (17%), России и Аргентине (16 и 14% соответственно). При этом на десять ведущих стран по этому показателю совокупно пришлось 61% детектов.
ботнеты, вредоносные программы, кибероборона
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код