Win32/Dorkbot.A

Worm: Win32/Dorkbot.A

Enciclopedia voce

Aggiornato: Apr 17, 2011

Alias

Trojan.Win32.Scar.drih (Kaspersky)

Livello d'allarme

Grave

Protezione antimalware dettagli

Microsoft consiglia di scaricare le ultime definizioni per ottenere protezione.

Win32/Dorkbot.A è un worm che si diffonde attraverso l'instant messaging e le unità rimovibili. Esso contiene anche una funzionalità backdoor che consente l'accesso non autorizzato e il controllo del computer colpito. Questa minaccia particolarmente grave, può essere distribuita da siti web compromessi o dannosi che utilizzano exploit in formato PDF o particolari exploit dei browser. Quando viene eseguito, il Worm:Win32/Dorkbot.A copia se stesso nella directory %AppData% con un nome generato casualmente di 6 lettere (e.g. "ozkqke.exe"). Esso modifica la seguente voce del Registro di sistema per eseguire questo file ad ogni avvio di Windows:

In sottochiave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Imposta il valore: "[stringa casuale di 6 lettere]"

Con data: "%appdata%\ozkqke.exe"Consente l'accesso backdoor e controllo.

Il Worm: Win32/Dorkbot.A si collega a un determinato server IRC, entra in un canale e attende comandi. Usando questa backdoor, un attaccante remoto può eseguire una serie di azioni diverse su un computer interessato. Oltre ad essere capace di diffondersi attraverso le applicazioni di instant messaging, il worm può anche essere comandato per eseguire le seguenti operazioni:

Ottenere le informazioni del sistema. 

Raccoglie del computer interessato il tipo di sistema operativo, l'attuale livello di privilegi utente (ad esempio se l'utente corrente dispone di diritti di amministratore) e locale.

Protegge se stesso.

Il worm può essere istruito per impedire all'utente interessato di visualizzare o manomettere il proprio file.

Modifica file di sistema.

Il worm può essere istruito per sovrascrivere i seguenti file al fine di ostacolare la diagnosi e la rimozione del malware:

regsvr32.exe

cmd.exe

rundll32.exe

regedit.exe

Verclsid.exe

Ipconfig.exe

Rubare password e dati sensibili.

Il worm è in grado di intercettare le comunicazioni browser Internet con vari siti web e ottenere informazioni sensibili. Questo è fatto da aggancio alle varie API all'interno di Firefox e Internet Explorer. Il malware può inoltre avere come obiettivo le credenziali FTP.

Infettare i siti web.

Il worm può essere richiesto per l'accesso a un server FTP remoto e infettare diversi file HTML con l'aggiunta di un IFrame. Questa azione può facilitare la funzione di diffusione del worm.

Per rilevare e rimuovere questa minaccia e altri software dannosi che possono essere installati sul computer, eseguire una completa scansione del sistema con un adeguata soluzione di sicurezza aggiornata.