Worm.Dorkbot

Worm.Dorkbot är en elakartad mask som sprids via instant messaging-tjänster som Windows Live och Yahoo! Messenger och flyttbara enheter. Den här elakartade masken har även funktion som bakdörr viket garanterar full åtkomst för avlägsna angripare av den infekterade datorn. Worm.Dorkbot arbetar även under diverse alias. En av dom är:

Trojan.Win32.Scar.drih

Den här masken släpptes för första gången 9 mars 2011 och har infekterat tusentals datorer världen över. Vad som gör den ännu mer farlig är det faktum att Worm.Dorkbot inte uppvisar några tydliga symptom. De enda symptomen som skulle kunna indikera maskens närvaro i datorn kommer från installerade säkerhetsprogram. Det här gör det mycket svårare för användaren att upptäcka och ta bort Worm.Dorkbot från systemet.

Efter att Worm.Dorkbot tar sig in i systemet kommer den att starta och kopiera sig själv till direktivet AppData med hjälp av slumpmässigt genererade 6-bokstavliga filnamn. Ett exempel är ozkqke.exe. Den kommer att modifiera följande post för att köra den här filen vid varje uppstart av Windows:

In subkey: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Sets value: ""
With data: "%appdata%.exe"

När den väl körs kommer Worm.Dorkbot injicera sin kod i explorer.exe så väl som i många andra processer som körs i den infekterade datorn. Antalet processer som Worm.Dorkbot kan injicera i beror på huruvida den har körts med administratörsbehörighet.

Worm.Dorkbot kopplar upp till specifika IRC-servrar, kopplar ihop kanaler och väntar på vidare kommandon från dess skapare. Här följer en lista av servrar som Worm.Dorkbot är känd för att koppla upp till utan användarens vetskap:

shuwhyyu.com
lovealiy.com
yegyege.com

Skaparna bakom Worm.Dorkbot kan instruera ormen att skaffa IP-adressen och platsen till den drabbade datorn genom att koppla upp till api.wipmania.com. Den kommer sedan att samla in den infekterade datorns typ av operativsystem behörighetsnivå och plats.

Ormen kommer även att instrueras att hindra användaren från att se eller ändra sina filer. Detta görs genom att haka följande funktioner inifrån:

NtQueryDirectoryFile
NtEnumerateValueKey
CopyFileA/W
DeleteFileA/W

Ormen kommer även att blockera användarens åtkomst till följande säkerhetshemsidor:

avast.
avg.
avira.
bitdefender.
bullguard.
clamav.
comodo.
emsisoft.
eset.
fortinet.
f-secure.
garyshood.
gdatasoftware.
heck.tc
iseclab.
jotti.
kaspersky.
lavasoft.
malwarebytes.
mcafee.
necare.live.
norman.
norton.
novirusthanks
onlinemalwarescanner.
pandasecurity.
precisesecurity.
sophos.
sunbeltsoftware.
symantec

För att kunna bli av med Worm.Dorkbot och begränsa skadan som detta elakartade hot kan orsaka din dator så förinta Worm.Dorkbot med hjälp av ett kraftfullt säkerhetsverktyg som även kan skydda din dator emot liknande attacker i framtiden.