L’operazione delle forze dell’ordine di tutto il mondo guidate dall’FBI, Interpol e Europol ha smantellato l’infrastruttura dei server di comando e controllo manipolati da Win32/Dorkbot, un malware che si diffonde attraverso diversi canali come i social network, spam, dispositivi rimovibili ed exploit kit. Dorkbot ha colpito finora più di un milione di computer attraverso server di comando e controllo in Europa, Asia e Nord America. All’interno dell’operazione per debellare Dorkbot, ESET ha condiviso le analisi tecniche e le informazioni statistiche sul malware e ha inoltre fornito i domini e gli indirizzi Internet dei server di comando e controllo della botnet.
Una volta installato sulla macchina, Win32/Dorkbot tenta di interrompere le normali attività del software di sicurezza bloccandone l’accesso ai relativi server di aggiornamento, connettendosi a un server IRC per ricevere ulteriori comandi. Oltre a sottrarre le password di servizi famosi come Facebook e Twitter, Dorkbot installa un codice pericoloso appartenente a una delle numerose famiglie di malware esistenti, così da ottenere il pieno controllo di un dato sistema. Spesso Dorkbot rilascia nei sistemi corrotti delle varianti di Win32/Kasidet, un malware utilizzato per sferrare attacchi DDoS meglio conosciuto come Neutrino e di Win32/Lethic, una famosa spambot.
Dorkbot è un malware che esiste già da alcuni anni , ma che si sta diffondendo rapidamente in tutto il mondo negli ultimi mesi, come mostrato nella seguente immagine:
I prodotti ESET attualmente proteggono gli utenti da migliaia di varianti di Dorkbot e dai moltissimi malware distribuiti attraverso le botnet di Dorkbot. Gli internauti che sospettano di essere stati infettati da Dorkbot possono usare lo strumento gratuito di ESET per effettuare una scansione approfondita.
Di seguito riportiamo alcuni indirizzi URL controllati da Dorkbot al fine di acquisire dati sensibili:
*paypal.*
*google.*
*aol.*
*screenname.aol.*
*bigstring.*
*fastmail.*
*gmx.*
*login.live.*
*login.yahoo.*
*facebook.*
*hackforums.*
*steampowered*
*no-ip*
*dyndns*
*runescape*
*.moneybookers.*
*twitter.com/sessions*
*secure.logmein.*
*officebanking.cl/*
*signin.ebay*
*depositfiles.*
*megaupload.*
*sendspace.com/login*
*mediafire.com/*
*freakshare.com/login*
*netload.in/index*
*4shared.com/login*
*hotfile.com/login*
*fileserv.com/login*
*uploading.com/*
*uploaded.to/*
*filesonic.com/*
*oron.com/login*
*what.cd/login*
*letitbit.net*
*sms4file.com/*
*vip-file.com/*
*torrentleech.org/*
*thepiratebay.org/login*
*netflix.com/*
*alertpay.com/login*
*godaddy.com/login*
*namecheap.com/*
*moniker.com/*
*1and1.com/xml/config*
*enom.com/login*
*dotster.com/*
*webnames.ru/*
*:2082/login*
*:2083/login*
*:2086/login*
*whcms*
*:2222/CMD_LOGIN*
*bcointernacional*
*members.brazzers.com*
*youporn.*
*members*
Lascia un commento