Worm.Dorkbot

Worm.Dorkbot er en ondsinnet orm som sprer seg via direktemeldingstjenester slik som Windows Live og Yahoo! Messenger, samt uttakbare stasjoner. Denne ondsinnede ormen inneholder også bakdørsfunksjoner, som vil gi eksterne hackere fullstendig tilgang ti den infiserte PC-en. Worm.Dorkbot opererer også under diverse alias, slik som:

Trojan.Win32.Scar.drih

Denne ormen ble først utgitt den 9. mars 2011, og har siden infisert tusenvis av PC-er verden over. Det som gjør Worm.Dorkbot enda farligere, er at den ikke har noen tydelige symptomer. De eneste symptomene som kan tyde på at du har ormen på PC-en, kommer fra eventuelle installerte sikkerhetsprogrammer. Dette gjør det mye vanskeligere for brukeren å påvise og fjerne Worm.Dorkbot fra systemet.

Når Worm.Dorkbot trenger seg inn på systemet, vil den aktivere seg og kopiere seg selv til %AppData%-katalogen via tilfeldig genererte filnavn på 6 bokstaver, som for eksempel ozkqke.exe. Den endrer følgende oppføring for å kjøre filen hver gang Windows starter:

I undernøkkelen: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Angir verdien: ""
Med data: "%appdata%.exe"

Når Worm.Dorkbot kjører, vil den injisere koden sin i explorer.exe, samt i mange andre kjørende prosesser på den infiserte PC-en. Antallet prosesser som Worm.Dorkbot kan injisere seg i, avhenger av om den har blitt kjørt med administratorrettigheter.

Worm.Dorkbot kobler seg til spesifikke IRC-servere, føyer sammen kanaler og venter på ytterligere kommandoer fra utviklerne. Her følger en liste over servere som man kjenner til at Worm.Dorkbot har koblet seg til uten brukernes kjennskap:

shuwhyyu.com
lovealiy.com
yegyege.com

Utviklerne bak Worm.Dorkbot kan instruere ormen om å hente ut den infiserte PC-ens IP-adresse og plassering ved å koble til api.wipmania.com. Den vil da hente ut den infiserte PC-ens operativsystemtype, gjeldende brukerrettighetsnivå og beliggenhet.

Ormen blir også instruert til å hindre brukeren i å se eller endre filene sine. Dette gjøres ved å hekte følgende funksjoner til elementene den har injisert seg i:

NtQueryDirectoryFile
NtEnumerateValueKey
CopyFileA/W
DeleteFileA/W

Ormen kommer også til å blokkere brukerens tilgang til følgende sikkerhetsnettsteder:

avast.
avg.
avira.
bitdefender.
bullguard.
clamav.
comodo.
emsisoft.
eset.
fortinet.
f-secure.
garyshood.
gdatasoftware.
heck.tc
iseclab.
jotti.
kaspersky.
lavasoft.
malwarebytes.
mcafee.
necare.live.
norman.
norton.
novirusthanks
onlinemalwarescanner.
pandasecurity.
precisesecurity.
sophos.
sunbeltsoftware.
symantec

For å kvitte deg med Worm.Dorkbot og begrense skadene som denne ondsinnede trusselen vil kunne påføre PC-en din, bør du ødelegge Worm.Dorkbot ved hjelp av et kraftig sikkerhetsverktøy, noe som også vil beskytte PC-en din mot lignende angrep i fremtiden.