ESET i CERT Polska pomogli w dezaktywacji botnetu Dorkbot

Następny artykuł
2015-12-04

Międzynarodowa grupa złożona z ekspertów z firmy ESET, CERT Polska, Microsoft i organów ścigania z całego świata, m.in. FBI, Europolu i Interpolu, przejęła dziś kontrolę nad serwerami C&C, które służyły do zarządzania botnetem Dorkbot. Złośliwe oprogramowanie Win32/Dorkbot zainfekowało ponad milion komputerów w ponad 200 krajach na całym świecie, w tym w Polsce. Celem działalności botnetu była kradzież haseł do kont w serwisach PayPal, Facebook czy Google, a także instalacja złośliwego oprogramowania.

Zagrożenia, które ESET wykrywa jako Win32/Dorkbot rozpowszechniane są za pośrednictwem sieci społecznościowych, wiadomości spamowych, nośników wymiennych czy zestawów exploitów. Po zainstalowaniu na komputerze, złośliwe oprogramowanie próbuje zakłócić normalne funkcjonowanie oprogramowania antywirusowego poprzez blokowanie dostępu do serwerów z aktualizacjami baz sygnatur wirusów. Następnie złośliwy program łączy się z serwerem IRC, służącym do komunikacji pomiędzy internautami i czeka na dalsze polecenia. Poza tym, że Dorkbot kradnie hasła m.in. do Google, PayPal, Facebooka czy Twittera, po przejęciu kontroli nad systemem instaluje dodatkowe złośliwe oprogramowanie. Na zainfekowanych komputerach instalowane jest na przykład zagrożenie Kasidet, znane również jako botnet Neutrino, wykorzystywane do ataków DDoS czy dobrze znany złośliwy program wysyłający wiadomości spamowe – Lethic.

Dzięki staraniom wielu podmiotów, dzisiaj udało się zdestabilizować działanie botnetu, tworzonego przez komputery użytkowników z całego świata, zainfekowane zagrożeniem Dorkbot. Swój udział w tym przedsięwzięciu miała m.in. firmaESET, która podzieliła się analizą techniczną i informacjami statystycznymi na temat działania samego zagrożenia. Eksperci ESET uzyskali także informacje nt. domen i adresów internetowych serwerów C&C (służących do zarządzania zainfekowanymi wcześniej komputerami). Istotna w tym przypadku okazała się również wiedza historyczna o zagrożeniu Dorkbot, jaką eksperci z firmy ESET zdobywali przez kilka lat działalności tego botnetu. Zespół CERT Polska podzielił się swoimi analizami i danymi dotyczącymi tego botnetu. Dzięki współpracy wyżej wymienionych organizacji i skutecznej akcji organów ścigania, infrastruktura zarządzająca botnetem Dorkbot została unieszkodliwiona.

Warto przypomnieć, że zagrożenie Dorkbot, w różnych wersjach, rozpowszechniane jest od kilku lat, a analitycy zagrożeń z firmy ESET codziennie zauważają setki nowych próbek tego złośliwego programu, pochodzących z całego świata. Specjaliści bezpieczeństwa radzą, by użytkownicy zachowali ostrożność podczas otwierania plików zapisanych na nośnikach przenośnych, a także tych załączanych do wiadomości mailowych, czy tych przesyłanych za pomocą social media.

Firma ESET udostępniła narzędzie, dzięki któremu każdy internauta może sprawdzić, czy jego komputer nie został zainfekowany Dorkbotem i nie dołączył do komputerów zombie. Narzędzie jest dostępne pod adresem: www.eset.com/int/download/utilities/detail/family/179/