Worm: Win32/Dorkbot.A
Enciclopedia voce
Aggiornato: Apr 17, 2011
Alias
Trojan.Win32.Scar.drih (Kaspersky)
Livello d'allarme
Grave
Protezione antimalware dettagli
Microsoft consiglia di scaricare le ultime definizioni per ottenere protezione.
Win32/Dorkbot.A è un worm che si diffonde attraverso l'instant messaging e le unità rimovibili. Esso contiene anche una funzionalità backdoor che consente l'accesso non autorizzato e il controllo del computer colpito. Questa minaccia particolarmente grave, può essere distribuita da siti web compromessi o dannosi che utilizzano exploit in formato PDF o particolari exploit dei browser. Quando viene eseguito, il Worm:Win32/Dorkbot.A copia se stesso nella directory %AppData% con un nome generato casualmente di 6 lettere (e.g. "ozkqke.exe"). Esso modifica la seguente voce del Registro di sistema per eseguire questo file ad ogni avvio di Windows:
In sottochiave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Imposta il valore: "[stringa casuale di 6 lettere]"
Protegge se stesso.
Il worm può essere istruito per impedire all'utente interessato di visualizzare o manomettere il proprio file.
Modifica file di sistema.
Il worm può essere istruito per sovrascrivere i seguenti file al fine di ostacolare la diagnosi e la rimozione del malware:
regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
Verclsid.exe
Ipconfig.exe
Rubare password e dati sensibili.
Il worm è in grado di intercettare le comunicazioni browser Internet con vari siti web e ottenere informazioni sensibili. Questo è fatto da aggancio alle varie API all'interno di Firefox e Internet Explorer. Il malware può inoltre avere come obiettivo le credenziali FTP.
Infettare i siti web.
Il worm può essere richiesto per l'accesso a un server FTP remoto e infettare diversi file HTML con l'aggiunta di un IFrame. Questa azione può facilitare la funzione di diffusione del worm.
Per rilevare e rimuovere questa minaccia e altri software dannosi che possono essere installati sul computer, eseguire una completa scansione del sistema con un adeguata soluzione di sicurezza aggiornata.
Nessun commento:
Posta un commento