Detalles de lo que hace el popular RootKit DORKBOT, que aparentemente solo se ve cambios en los pendrives…

Dorkbot: infección de dispositivos USB y propagación en redes sociales

El DORKBOT es de los RootKits que actualmente tiene mayor nivel de detecciones
representando el 55,58% del total. Durante la segunda mitad del 2011, el Dorkbot se posicionó como el código malicioso a la vez menos detectado a la par que mas extendido.

Esta amenaza que al infectar un equipo lo convierte en parte de una botnet controlada a través del protocolo IRC (Internet Relay Chat), le permite al atacante realizar acciones tales como:

Robo de credenciales de sitios web como Gmail y Hotmail.
Ataques de denegación de servicio.
Bloqueo de direcciones IP.
Descarga y ejecución de otros códigos maliciosos.
Inyección de código en páginas web.
Propagación a través de redes sociales y mensajeros instantáneos, por ejemplo el chat de Facebook y Windows Live Messenger.
Redirección de tráfico web para la realización de ataques de phishing.

La variante Win32/Dorkbot.D utiliza accesos directos para engañar a los usuarios siendo uno de los métodos más eficaces para infectar un sistema desprotegido. Si bien no se aprecia su actividad en el ordenador al tratarse de un RootKit, cuando se introduce un pendrive en un port USB, el pendrive es modificado cambiando las propiedades de los archivos y carpetas contenidos en el mismo, siendo modificados y ocultandolos como archivos del sistema.

Cuando el usuario hace doble clic sobre el acceso directo pensando abrir la carpeta, se ejecuta el código malicioso y luego se abre una nueva sesión del Explorador de Windows en donde se muestra su contenido. De esta manera, Dorkbot intenta pasar desapercibido y, si el equipo no está protegido eficientemente por un antivirus, el mismo será infectado. La cadena que se almacena en los accesos directos y permite la ejecución del código malicioso es similar a:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\<nombre_malware>.exe &&%windir%\explorer.exe %cd%Carpeta

Si se cambian las Opciones de carpeta para poder ver los archivos ocultos y del sistema, es posible encontrar la información que se escondío ante los ojos de un usuario desprovisto de una solución de seguridad  Esta técnica remarca la importancia de contar con un antivirus que analice los dispositivos de almacenamiento extraíbles que se conectan al equipo. En el siguiente enlace puede verse mas información sobre las noticias que hemos publicdao al respecto

https://blog.satinfo.es/?tag=dorkbot
Además de esta técnica de infección, Dorkbot se propaga a través de redes sociales y mensajeros instantáneos. Una de las funcionalidades que agregó la variante B respecto de Win32/Dorkbot.A es la posibilidad de utilizar el chat de Facebook como un canal de distribución de esta amenaza mediante Ingeniería Social. Durante el seguimiento de una campaña activa, el administrador de la botnet ha utilizado temáticas que incluyen fotos de la cantante Jennifer Lopez, al presidente venezolano Hugo Chávez, un accidente automovilístico de Lionel Messi y fotografías del naufragio del crucero de Costa Cruceros en la costa italiana.

Con la utilidad ELISTARA vamos detectando, eliminando y restaurando los pendrives infectados por las variantes ya conocidas, y pidiendo muestra a través de detección heuristica, de los sospechosos desconocidos para, tras analizarlos, implementar su control yb eliminación en nuevas versiones de dicha utilidad.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.