• Win32/Dorkbot.B

  • 0
Автор
КатегорияЧервь
Дата обнаружения16.05.2011
Размер172032
Другие названия
Worm.Win32.Ngrbot.gqj (Касперский)
W32/Kolab.gen.p (McAfee)
Worm:Win32/Dorkbot (Microsoft)

Краткое описание

Win32/Dorkbot.B-это червь, который распространяется через съемные носители. Червь служит backdoor. Он может управляться дистанционно.

Как устанавливается

После запуска червь копирует себя в следующие папки:

  • %appdata%\­%variable%.exe

Для автоматического запуска с системой, червь создает следующие записи в реестре:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable%" = "%appdata%\­%variable%.exe"
  • "%variable%" = "%appdata%\­%variable%.exe"

Вместо %variable% используется строка с разным содержанием

Червь создает и запускает новый поток с собственным программным кодом во всех запущенных процессах, кроме следующих:

  • lsass.exe

Распространение на съёмных носителях

Win32/Dorkbot.B-это червь, который распространяется через съемные носители.

Червь копирует себя в следующие местоположения:

  • %removabledrive%\­RECYCLER\­%variable%.exe

Вместо %variable% используется строка с разным содержанием

Червь создает следующий файл:

  • %removabledrive%\­RECYCLER.lnk

Файл-это ярлык на вредоносный файл.

Червь создает следующие файлы:

  • %removabledrive%\­%existingfoldername%.lnk

Распространение

Червь распространяется через ссылки в социальных сетях.

Следующие сайты социальных сетей влияют:

  • Bebo
  • Facebook
  • Friendster
  • Twitter
  • VKontakte

Кража информации

Червь собирает конфиденциальные сведения, при просмотре определенных веб-сайтов.

Червь собирает информацию, относящуюся к следующим сервисам:

Собирается следующая информация:

  • login user names for certain applications/services
  • login passwords for certain applications/services
  • POP3 account information
  • FTP account information

Червь пытается отправить собранную информацию на удаленный компьютер, используя HTTP протокол.

Дополнительная информация

Червь служит backdoor. Он может управляться дистанционно.

Червь подключается по следующим адресам:

  • bt1.yakizzy.com
  • bt1.oyoba.com
  • bt1.divalium.com

IRC-протокол используется.

Поддерживается выполнение следующих операций:

Червь блокирует доступ к любым доменам, которые содержат любую из следующих строк в их имени:

Червь перехватывает следующие функции API Windows:

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *