Компания-разработчик антивирусного ПО Eset поучаствовала в уничтожении ботнета Dorkbot. Eset провела операцию вместе с Microsoft, польским CERT и правоохранителями из нескольких государств.
Специалистами Eset был проведен технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали пользователи из 200 стран мира. Распространение Dorkbot осуществляется через съемные носители, наборы эксплоитов, спам-рассылки по электронной почте, а также социальные сети. Dorkbot вызывает нарушения в работе антивирусных программ путем блокировки обновлений и применяет протокол IRC, чтобы получать инструкции от хакеров.
Dorkbot имеет функционал, типичный для троянских программ (хищение паролей от аккаунтов в Twitter и Facebook), а также позволяет осуществлять установку другого вредоносного программного обеспечения. Специалистами Eset была зафиксирована установка спам-бота Win32/Lethic и программы для проведения DDoS-атак Win32/Kasidet.
Большое число образцов Dorkbot, проанализированных экспертами Eset, было обнаружено на съемных носителях. Если файл-носитель вируса запускается с USB-носителя, то программа пытается произвести загрузку основного компонента Dorkbot с удаленного сервера. Адрес сервера внедрен в файл-носитель вируса.
После того, как бот был установлен, он осуществляет попытку подключения к IRC-серверу и ожидает инструкций от своих операторов по фиксированному каналу. Чаще всего Dorkbot получает команду загружать новые вредоносные программы.
Как утверждают представители компании, вредоносная программа Dorkbot распространена во многих странах мира. Для того, чтобы проверить свою систему на заражение Dorkbot и удалить его, пользователь может использовать бесплатный инструмент Dorkbot Cleaner.