• ×

    • Правоохранительные органы демонтировали ботнет Dorkbot.

    08.04.2019

    We can assist you!

    You have to restore control over your infected computer as soon as possible. Don’t give somebody a chance to use your personal information.

    GridinSoft Trojan Killer will perform the complete cleanup of your system from viruses. Plus, we will help you restore the ideal performance of your PC.

    Is a virus removal tool: fast, effective and reliable. For more convenient use we make it portable now – so that it is easy to run it on any computer. Even when internet is blocked! This antimalware solution effective for any cyber threats.

    We offer all-in-one tool that can assist you in removal of annoying advertisement modules, spyware and other malicious instruments developed by hackers.

    Carry Trojan Killer Portable on your memory stick. Be sure that you’re able to help your PC resist any cyber threats wherever you go.

    Trojan Killer is a virus removal tool with a history. Really! We are started software development as gridinsoft.com in 2003 and in a few years it grown to GridinSoft LLC. From 2007, when we have started with Trojan Killer, till now we are improving our skills, techniques and technologies to make our solutions better.

    In 2011 it was rebranded as Gridinsoft Anti-Malware , staying our leading product. This year we released new software as reincarnation of Trojan Killer called Portable. Because it helps fight better with the threats, it is more handle and we offer customers the best up-to-date solutions to get real result. To get more satisfied clients.

    Название угрозы

    Имя исполняемого файла:

    Тип угрозы:

    Поражаемые ОС:

    Win32/Dorkbot

    (random).exe

    Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)



    Метод заражения Win32/Dorkbot

    Win32/Dorkbot копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (random).exe . Потом он создаёт ключ автозагрузки в реестре с именем Win32/Dorkbot и значением (random).exe . Вы также можете найти его в списке процессов с именем (random).exe или Win32/Dorkbot .

    Если у вас есть дополнительные вопросы касательно Win32/Dorkbot, пожалуйста, заполните и мы вскоре свяжемся с вами.


    Скачать утилиту для удаления

    Скачайте эту программу и удалите Win32/Dorkbot and (random).exe (закачка начнется автоматически):

    * SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Win32/Dorkbot в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

    Функции

    Программа способна защищать файлы и настройки от вредоносного кода.

    Программа может исправить проблемы с браузером и защищает настройки браузера.

    Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.

    Антивирусная поддержка в режиме 24/7 входит в комплект поставки.


    Скачайте утилиту для удаления Win32/Dorkbot от российской компании Security Stronghold

    Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Win32/Dorkbot .. Утилита для удаления Win32/Dorkbot найдет и полностью удалит Win32/Dorkbot и все проблемы связанные с вирусом Win32/Dorkbot. Быстрая, легкая в использовании утилита для удаления Win32/Dorkbot защитит ваш компьютер от угрозы Win32/Dorkbot которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Win32/Dorkbot сканирует ваши жесткие диски и реестр и удаляет любое проявление Win32/Dorkbot. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Win32/Dorkbot. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Win32/Dorkbot и (random).exe (закачка начнется автоматически):

    Функции

    Удаляет все файлы, созданные Win32/Dorkbot.

    Удаляет все записи реестра, созданные Win32/Dorkbot.

    Программа может исправить проблемы с браузером.

    Иммунизирует систему.

    Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.

    Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

    Наша служба поддержки готова решить вашу проблему с Win32/Dorkbot и удалить Win32/Dorkbot прямо сейчас!

    Оставьте подробное описание вашей проблемы с Win32/Dorkbot в разделе . Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Win32/Dorkbot. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Win32/Dorkbot.

    Как удалить Win32/Dorkbot вручную

    Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Win32/Dorkbot, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Win32/Dorkbot .

    Чтобы избавиться от Win32/Dorkbot , вам необходимо:

    1. Завершить следующие процессы и удалить соответствующие файлы:

    • C:\Documents and Settings\Administrator\Application Data\76.exe
    • C:\Documents and Settings\Administrator\Application Data\77.exe
    • C:\Documents and Settings\Administrator\Application Data\78.exe
    • C:\Documents and Settings\Administrator\Application Data\79.exe
    • C:\Documents and Settings\Administrator\Application Data\7A.exe
    • C:\Documents and Settings\Administrator\Application Data\7B.exe
    • C:\Documents and Settings\Administrator\Application Data\7C.exe
    • C:\Documents and Settings\Administrator\Application Data\7D.exe
    • C:\Documents and Settings\Administrator\Application Data\7E.exe
    • C:\Documents and Settings\Administrator\Application Data\7F.exe
    • C:\Documents and Settings\Administrator\Application Data\80.exe
    • C:\Documents and Settings\Administrator\Application Data\81.exe
    • C:\Documents and Settings\Administrator\Application Data\82.exe
    • C:\Documents and Settings\Administrator\Application Data\83.exe
    • C:\Documents and Settings\Administrator\Application Data\84.exe

    Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.

    2. Удалите следующие папки:

    3. Удалите следующие ключи и\или значения ключей реестра:

    Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать для безопасного решения проблемы.

    4. Сбросить настройки браузеров

    Win32/Dorkbot иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Win32/Dorkbot. Для сброса настроек браузеров вручную используйте данную инструкцию:

    Для Internet Explorer

      Если вы используете Windows XP, кликните Пуск , и Открыть . Введите следующее в поле Открыть без кавычек и нажмите Enter : "inetcpl.cpl".

      Если вы используете Windows 7 или Windows Vista, кликните Пуск . Введите следующее в поле Искать без кавычек и нажмите Enter : "inetcpl.cpl".

      Выберите вкладку Дополнительно

      Под Сброс параметров браузера Internet Explorer , кликните Сброс . И нажмите Сброс ещё раз в открывшемся окне.

      Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

      После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

    Предупреждение: Сбросить настройки браузеров в Инструменты

    Для Google Chrome

      Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .

      В папке User Data , найдите файл Default и переименуйте его в DefaultBackup .

      Запустите Google Chrome и будет создан новый файл Default .

      Настройки Google Chrome сброшены

    Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

    Для Mozilla Firefox

      Откройте Firefox

      В меню выберите Помощь > Информация для решения проблем .

      Кликните кнопку Сбросить Firefox .

      После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .

    Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

    Win32.Dorkbot семейство IRC червей (черви распространяющиеся через протоколы мгновенных сообщений), которые распространяются через съемные диски, программы обмена мгновенными сообщениями и социальные сети.

    Разновидности Win32.Dorkbot могут обнаруживать и похищать имена пользователей и пароли фильтруя интернет трафик, могут блокировать веб-сайты, связанные с обновлениями безопасности. Он также может запустить DoS-атаку с вашего компьютера.

    Вредоносная деятельность Win32.Dorkbot

    1. Открывает доступ (бэкдор) к вашему компьютеру.
    2. Внедряет вредоносный код в explorer.exe.
    3. Соединяется с удалённым хостом.
    4. Модифицирует системные файлы (regsvr32.exe, cmd.exe, rundll32.exe, regedit.exe, verclsid.exe, ipconfig.exe)
    5. Крадет конфиденциальную информацию со следующих сайтов: (4shared AOL Alertpay Bcointernacional BigString Brazzers Depositfiles DynDNS Facebook Fastmail Fileserve Filesonic Freakshare GMX Gmail Godaddy Hackforums Hotfile IKnowThatGirl Letitbit LogMeIn Mediafire Megaupload Moneybookers Moniker Namecheap Netflix Netload NoIP OfficeBanking Oron PayPal Runescape Sendspace Sms4file Speedyshare Steam Thepiratebay Torrentleech Twitter Uploaded Uploading Vip-file Whatcd Yahoo YouPorn YouTube eBay)
    6. Блокирует доступ к большинству антивирусных сайтов.

    Как удалить Win32.Dorkbot?

    Бесплатные программы

    С лечением Win32.Dorkbot должен справится любой антивирус средней руки, не говоря уже о более продвинутых. Если ваш антивирус ничего не находит читайте дальше. Здесь же я опишу бесплатные и платные специализированные средства удаления этого компьютерного червя от разных разработчиков.

    Платные программы

    Win32.Dorkbot Removal Tool - специализированное средство разработанное российской компанией Security Stronghold. Удаление в автоматическом режиме, оплата только в случае нахождения вредоносных файлов. Программа продаётся вместе с годовой тех. поддержкой и лицензией на антишпиона True Sword. Скачать можно

    4 декабря 2015 в 10:06

    Правоохранительные органы демонтировали ботнет Dorkbot

    • Блог компании ESET NOD32

    Компания ESET оказала помощь Microsoft, польскому CERT и правоохранительным органам по всему миру в ликвидации ботнета Dorkbot с привлечением механизма sinkhole для управляющих C&C-серверов этого ботнета. Мы хотим опубликовать обзорный технический анализ этой вредоносной программы, некоторую статистическую информацию по заражениям и информацию о C&C-серверах.

    Для оказания необходимой помощи в ликвидации этого ботнета, нами был использован большой накопленный опыт в отслеживании данной угрозы и защиты от нее пользователей. Исчерпывающая информация об этой угрозе была еще в 2012 г. исследователем ESET Pablo Ramos на конференции Virus Bulletin.

    Злоумышленники сумели заразить с использованием Dorkbot многих пользователей в более чем 200 странах мира. Вредоносная программа обнаруживается антивирусными продуктами ESET как Win32/Dorkbot и для ее распространения привлекались социальные сети, спам-рассылки, наборы эксплойтов, а также механизмы распространения через съемные носители. Будучи установленным на ПК, Dorkbot нарушает работу установленных антивирусных продуктов, блокируя им доступ для получения обновлений. Бот использует протокол IRC для получения инструкций от злоумышленников.

    Кроме выполнения привычных для троянских программ функций, таких как, кража паролей от популярных сервисов Facebook и Twitter, Dorkbot специализируется на установке в скомпрометированной системе одной или нескольких других вредоносных программ. Мы фиксировали установку ботом таких вредоносных программ как Win32/Kasidet (Neutrino бот), а также Win32/Lethic . Первая используется злоумышленниками для проведения DDoS-атак, а вторая представляет из себя спам-бот.

    Dorkbot до сих пор является очень распространенным во многих странах мира. Каждую неделю мы наблюдаем тысячи заражений пользователей данной вредоносной программой и свежие образцы бота пребывают в нашу антивирусную лабораторию ежедневно. Неудивительно, что Dorkbot стал целью правоохранительных органов. Для проверки своей системы на заражение Dorkbot и его последующего удаления, воспользуйтесь нашим бесплатным инструментом Dorkbot Cleaner .


    Рис. География распространения Dorkbot.

    На диаграмме ниже показаны различные компоненты, которые используются в последних версиях Dorkbot, нам удалось их проанализировать.

    Рассмотрим типичный процесс заражения вредоносной программой через съемный USB-накопитель, который поможет лучше проиллюстрировать роль каждого модуля. Так как Dorkbot выполняет поиск подключенных к зараженной системе съемных носителей для их последующей компрометации, многие из наших обнаружений образцов этой вредоносной программы срабатывали именно на съемных носителях. При этом на них было обнаружено два типа файлов Dorkbot: исполняемый файл дроппера и.LNK-файлы с фишинговыми названиями, которые указывают на файл дроппера.

    При запуске пользователем дроппера Dorkbot с USB-носителя (обнаруживается AV-продуктами ESET как Win32/Dorkbot.I), он пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес самого сервера жестко зашит в исполняемом файле дроппера. Загруженный файл сильно упакован, а его код извлекает из себя и исполняет исполняемый файл Win32/Dorkbot.L, который представляет из себя простую обертку (wrapper), используемую для установки основного компонента. Этот основной компонент обнаруживается нами как Win32/Dorkbot.B и отвечает за работу с удаленным сервером по IRC. Обертка также специализируется на перехвате API-функции DnsQuery у основного компонента. Такой метод используется Dorkbot для усложнения обнаружения доменов настоящих C&C-серверов антивирусными аналитиками, поскольку в таком случае у запускаемого компонента отсутствуют адреса настоящих C&C-серверов злоумышленников. Когда он попытается выполнить трансляцию доменов через DnsQuery , вызов функции будет перехвачен и в качестве одного из аргументов обертка передаст API-функции адрес настоящего C&C-сервера.

    После завершения установки вредоносной программы, бот будет пытаться подключиться к IRC-серверу и будет ожидать поступления определенных команд по фиксированному каналу от злоумышленников. Как правило, бот получает команды на загрузку и исполнение в системе новых вредоносных программ, которые были указаны выше.

    Ботнет на основе Dorkbot активен уже давно и злоумышленники успешно используют его по сей день. Инфраструктура управляющих C&C-серверов этого ботнета является одной из тех, деятельность которой отслеживают специалисты компании ESET. Такая информация очень важна для отслеживания изменений в поведении вредоносной программы, а также для накапливания информации о ней, с целью ее использования правоохранительными органами.

    Вредоносная программа Dorkbot не использует каких-либо новых методов для компрометации новых систем. Пользователи должны быть осторожны при открытии файлов на сменных носителях, а также тех файлов, которые они получают через электронную почту и социальные сети. Для проверки своей системы на заражение Dorkbot, можно воспользоваться нашим бесплатным инструментом отсюда . На сегодняшний день антивирусные продукты ESET тысячи различных модификаций файлов Dorkbot, а также файлов вредоносных программ, которые распространяются этим ботнетом.

    Ниже приведены примеры URL-адресов или их составляющих, на срабатывание которых нацелен компонент похитителя паролей Dorkbot.

    *paypal.*
    *google.*
    *aol.*
    *screenname.aol.*
    *bigstring.*
    *fastmail.*
    *gmx.*
    *login.live.*
    *login.yahoo.*
    *facebook.*
    *hackforums.*
    *steampowered*
    *no-ip*
    *dyndns*
    *runescape*
    *.moneybookers.*
    *twitter.com/sessions*
    *secure.logmein.*
    *officebanking.cl/*
    *signin.ebay*
    *depositfiles.*
    *megaupload.*
    *sendspace.com/login*
    *mediafire.com/*
    *freakshare.com/login*
    *netload.in/index*
    *4shared.com/login*
    *hotfile.com/login*
    *fileserv.com/login*
    *uploading.com/*
    *uploaded.to/*
    *filesonic.com/*
    *oron.com/login*
    *what.cd/login*
    *letitbit.net*
    *sms4file.com/*
    *vip-file.com/*
    *torrentleech.org/*
    *thepiratebay.org/login*
    *netflix.com/*
    *alertpay.com/login*
    *godaddy.com/login*
    *namecheap.com/*
    *moniker.com/*
    *1and1.com/xml/config*
    *enom.com/login*
    *dotster.com/*
    *webnames.ru/*
    *:2082/login* (possibly targeting cpanel)
    *:2083/login* (possibly targeting cpanel)
    *:2086/login* (possibly targeting GNUnet)
    *whcms*
    *:2222/CMD_LOGIN* (possibly targeting DirectAdmin)
    *bcointernacional*
    *members.brazzers.com*
    *youporn.*
    *members*

    Похожие статьи
     
    Категории
    Видеоматериалы
    Популярное
    Новое