ESET i CERT Polska pomogli w dezaktywacji botnetu Dorkbot

6 grudnia, 2015
botnet_darkbot

Międzynarodowa grupa złożona z ekspertów z firmy ESET, CERT Polska, Microsoft i organów ścigania z całego świata, m.in. FBI, Europolu i Interpolu, przejęła kontrolę nad serwerami C&C, które służyły do zarządzania botnetem Dorkbot. Złośliwe oprogramowanie Win32/Dorkbot zainfekowało ponad milion komputerów w ponad 200 krajach na całym świecie, w tym w Polsce. Celem działalności botnetu była kradzież haseł do kont w serwisach PayPal, Facebook czy Google, a także instalacja złośliwego oprogramowania.
 
Zagrożenia, które ESET wykrywa jako Win32/Dorkbot rozpowszechniane są za pośrednictwem sieci społecznościowych, wiadomości spamowych, nośników wymiennych czy zestawów exploitów. Po zainstalowaniu na komputerze, złośliwe oprogramowanie próbuje zakłócić normalne funkcjonowanie oprogramowania antywirusowego poprzez blokowanie dostępu do serwerów z aktualizacjami baz sygnatur wirusów. Następnie złośliwy program łączy się z serwerem IRC, służącym do komunikacji pomiędzy internautami i czeka na dalsze polecenia. Poza tym, że Dorkbot kradnie hasła m.in. do Google, PayPal, Facebooka czy Twittera, po przejęciu kontroli nad systemem instaluje dodatkowe złośliwe oprogramowanie. Na zainfekowanych komputerach instalowane jest na przykład zagrożenie Kasidet, znane również jako botnet Neutrino, wykorzystywane do ataków DDoS czy dobrze znany złośliwy program wysyłający wiadomości spamowe – Lethic.
 
Dzięki staraniom wielu podmiotów, udało się zdestabilizować działanie botnetu, tworzonego przez komputery użytkowników z całego świata, zainfekowane zagrożeniem Dorkbot. Swój udział w tym przedsięwzięciu miała m.in. firma ESET, która podzieliła się analizą techniczną i informacjami statystycznymi na temat działania samego zagrożenia. Eksperci ESET uzyskali także informacje nt. domen i adresów internetowych serwerów C&C (służących do zarządzania zainfekowanymi wcześniej komputerami). Istotna w tym przypadku okazała się również wiedza historyczna o zagrożeniu Dorkbot, jaką eksperci z firmy ESET zdobywali przez kilka lat działalności tego botnetu. Zespół CERT Polska podzielił się swoimi analizami i danymi dotyczącymi tego botnetu. Dzięki współpracy wyżej wymienionych organizacji i skutecznej akcji organów ścigania, infrastruktura zarządzająca botnetem Dorkbot została unieszkodliwiona.
 
Warto przypomnieć, że zagrożenie Dorkbot, w różnych wersjach, rozpowszechniane jest od kilku lat, a analitycy zagrożeń z firmy ESET codziennie zauważają setki nowych próbek tego złośliwego programu, pochodzących z całego świata. Specjaliści bezpieczeństwa radzą, by użytkownicy zachowali ostrożność podczas otwierania plików zapisanych na nośnikach przenośnych, a także tych załączanych do wiadomości mailowych, czy tych przesyłanych za pomocą social media.

darkbotnet
 
Firma ESET udostępniła narzędzie, dzięki któremu każdy internauta może sprawdzić, czy jego komputer nie został zainfekowany Dorkbotem i nie dołączył do komputerów zombie. Narzędzie jest dostępne pod adresem: http://www.eset.com/int/download/utilities/detail/family/179/

źródło: ESET

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]