(11.04.2013)
Червеят атакува въпреки пуснатите пачове, целящи елиминирането му
„Новият“ Dorkbot може да краде пароли и да използва заразения компютър за DDoS атаки
Нов вариант на вируса Dorkbot, използващ Skype, за да се разпространява, бе разкрит от Cyberoam. Компанията, която е сред лидерите в производството на решения за унифицирано управление на заплахите (UTM), е разкрила кода, който разчита на най-популярния софтуер за VoIP комуникация в света.
На практика, Skype се използва само за приносител на вируса, който засяга само компютри, работещи с операционната система Windows. Новият вариант на вируса е открит от лабораториите на Cyberoam (Cyberoam Threat Research Labs или CTRL) след изследване на два разпращни през Skype файла – единият .exe (изпълним файл), а другият – .zip архив.
Анализът на кодовете на файловете показва, че в основата на кода е червеят Dorkbot, който се „цели“ в преносима медия и се разпространява чрез Skype. Червеят се свързва към IRC (Internet Relay Chat) сървър и се присъединява към определен IRC, където получава команди от „господаря“ си. И съответно изпълнява чрез заразения компютър. След като инфектира машината и изпълни определените задачи, червеят се самоизтрива.
Dorkbot променя регистрите на компютъра на жертвата си, за да си гарантира, че ще бъде стартиран при всеки старт на системата. В последствие изпраща съобщение през Skype, с което приканва контактите на жертвата да кликнат на линк. И съответно – да се заразят с червея. По този начин той отваря задна врата за потенциални атаки, които могат да инсталират дистанционно вируси на новозаразените компютри и евентуално да ги използват като част от ботмрежа в последствие.
Сред командите, които може да изпълнява вирусът, са кражбата на потребителски имена и пароли, следенето на мрежовия трафик на заразения компютър и блокирането на сайтове и услуги за защита на PC. Самата машина може да бъде използвана за осъществяване на DDoS атаки без знанието на собственика й.
Препоръки на Cyberoam
Новият „щам“ на Dorkbot връща на дневен ред проблемите от близкото минало, когато производителите на софтуер за защита успяха да неутрализират червея. Появата му означава, че създателите на червея са успели да преоткрият дупките, които бяха „запушени“ с цел предпазване от заплахата. Според Cyberoam не е изключено скоро да се появят и нови варианти на еволюиралия Dorkbot, които да бъдат все по-локализирани. И използвани за определени цели, свързани с местоположението на вируса.
Според Cyberoam има все по-голяма нужда от опознаването на заплахите дори и сред обикновените потребители, с което да се ограничи влиянието на подобни кибератаки. Публикуването на пачове за защита само по себе си е крайно недостатъчно и неефективно. Създателите на подобни заплахи стават все по-изобретателни в откриването на методи за разпространението им и се обръщат все повече към промените в навиците за използването на интернет от потребителите и употребата на приложения на компютри и преносими устройства, което превръща самите приложения в цели за зараза.
С други думи: имайте едно на ум, преди да кликнете на линк, изпратен от приятел. Особено, ако той е на език, на който не сте свикнали да комуникирате помежду си.
