Как удалить троянскую программу. Правоохранительные органы демонтировали ботнет Dorkbot

Заразиться вирусом всегда неприятно, неважно, заразился ли ты сам от друга или речь идет твой компьютер. Иногда компьютерные вирусы даже неприятнее, чем обычные, например, когда из-за навязчивого окна на весь экран намертво встает работа или все флешки виснут, зараженные очередным червяком.

Что такое dorkbot.as?

Этот вирус – червяк, каковых целое семейство. Все они «расползаются» через устройства переноса данных, соцсети и программы обмена сообщениями. Он может участвовать в DoS-атаках. Хотя основная неприятность, связанная с ним – блокировка сайтов обновлений, скачиваемых системой, для чего он запоминает пароли и логины пользователей.

Даже чаще, чем с внешних носителей, эта «зараза» просачивается через ссылки на себя в сообщениях программ-пейджеров (Skype, ICQ) или соцсетей, посылаемые по всем контактам адресной книги зараженного компьютера. Сам файл сохраняется в директории %APPDATA% (C:\Users\\AppData\Roaming), причем имя у него генерируется случайным образом из серийного номера винчестера и помещается в автозагрузку (ветка реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

После этого он может копировать себя на все подключаемые внешние диски, включая карты памяти смартфонов, прячась в папку RECYCLER и используя autorun.inf для автозапуска при каждом подключении к компьютеру.

Самое коварное в его размножении, что вирус может перехватывать сообщения тайно от пользователя и дописывать к ним ссылку на себя.

Он умело прячется от пользователя, используя собственный руткит. Самый распространённый вариант – его внедрение в explorer.exe, хотя некоторые пострадавшие встречали его даже в mspaint.exe

Самая же большая подлость, ожидающая незадачливого пользователя, попытавшегося его «вылечить» - встроенная проверка целостности, благодаря которой dorkbot.as защищается от удаления, заваливая мусором и пытаясь повредить диск.

Борьба с Dorkbot.as: классический метод

Самый простой способ попробовать победить эту напасть – воспользоваться классическими антивирусными утилитами. Лидеры направления – всем известные AVZ и AVPTool от Касперского. Правда, есть несчастные, которым эти программы не помогали.

Еще одна программа, которую можно использовать – «Dr.Web CureIt!», детище брэнда «Доктор Веб». Программа, как и две предыдущие, бесплатная, так что доступна всем.

Все три продукта доступны и понятны даже абсолютно несведущим в компьютерных премудростях пользователям. Вот только не всегда справляются с dorkbot.as, в частности, потому что не удаляют и не лечат активные вирусы, а он же в автозагрузке, т.е. постоянно запущен. Поэтому многим приходится просить помощи у знакомых (или не знакомых) профессионалов.

Удаление с помощью специальных утилит

Для самых опасных или широко распространившихся вирусов выпускаются специальные утилиты удаления. Есть такие и для семейства Dorkbot.

В интернете можно найти импортную программу SpyHunter 4, разработанную компанией из США Enigma Software Group. Она поможет удалить dorkbot.as без проблем из операционной системы Windows.
Приверженцам отечественного программирования подойдет Win32/Dorkbot от Security Stronghold.

Врачи говорят, что если вирус лечить. Он пройдет за 7 дней, если не лечить – за неделю. К сожалению, с компьютерными вирусами дело обстоит иначе, и каждый день отсрочки лечения может оказаться в прямом смысле последним для электронного друга. Поэтому, если dorkbot.as появился на компьютере или был замечен на флешках, лечение стоит начать немедленно.

Что такое dorkbot.as?

Самая же большая подлость, ожидающая незадачливого пользователя, попытавшегося его «вылечить» — встроенная проверка целостности, благодаря которой dorkbot.as защищается от удаления, заваливая мусором и пытаясь повредить диск.

Борьба с Dorkbot.as: классический метод

Удаление с помощью специальных утилит

История одного излечения на примере зловреда AntiVir: Worm/Dorkbot.A.24, DrWeb: BackDoor.Butter.23, Kaspersky: Backdoor.Win32.Ruskill.dj, NOD32: Win32/Dorkbot.B.

Симптомы у этого зловреда были такие: не обновляется антивирус, компьютер работает очень плохо: «ужасно тормозит и виснет», периодически перестаёт откликаться и выключается с «синим экраном смерти», многие сайты в интернете не открываются, результаты веб-поиска изменены, на рабочем столе появляются новые ярлыки, при нажатии на которые, пользователь попадает на другие зараженные веб-сайты. Кроме того троян ворует конфиденциальную информацию: список посещённых веб-страниц, логины-пароли к сайтам, кредитным картам и т.д.

Симптом №1, по которому можно определить наличие зловреда в системе: вставить флешку и посмотреть в файловом менеджере (в данном случае Total Commander) не появилось ли на флешке каких-либо новых файлов, папок, ярлыков, скрытых файлов и папок. Если да — то в системе зловредная программа 100% присутствует . В данном случае имеем такую картину:

Настоящие папки с файлами в данный момент скрыты (1) , то есть когда бы мы открыли флешку через Проводник Windows (Мой компьютер — Съёмный диск), то этих папок мы бы не увидели. Но на их месте появились ярлыки (2) , которые имеют те же названия как и настоящие папки и выглядят как настоящие папки, так что визуально обычный пользователь может и не заметить подвоха. Появляется также скрытая папка «RECYCLER» (3) , в которой находится файл «11afb2c9.exe». Заражение компьютера происходит следующим образом: ничего не подозревающий пользователь открывает флешку и нажимает на ярлык, думая что он открывает папку. При этом запускается файл 11afb2c9.exe из папки «RECYCLER» (как Вы догадались, это вирус) и одновременно открывается нужная пользователю скрытая папка, так что момент заражения компьютера происходит совсем незаметно.

Первое , что нужно сделать — обновить антивирусную программу и антивирусные базы до актуальной версии и проконтролировать все ли модули антивируса работают. На зараженном компьютере стоял Avast, но его обновление нам, к сожалению, ничего не дало, антивирус молчит как партизан, ведёт себя так, как будто никакого заражения на компьютере нет.

Антивирус NOD32 может бороться только с последствиями вируса: он удаляет с флешки ярлыки, созданные вирусом, удаляет вирусные файлы (например f5399233.exe, 11afb2c9.exe) из папки «RECYCLER». Самой же причины заражения он не видит и при вставке очередной флешки в зараженный компьютер мы видим одну и ту же картину, как антивирус создаёт бурную деятельность по обеззараживанию очередной флешки.

NOD32 Antivirus не способен побороть причину заражения компьютера

Второе что мы делаем — запускаем антитроянскую программу Malwarebytes Anti-Malware (запустить — обновить — быстрое сканирование. Обзор других антишпионских программ ). Одновременно загружаем файл «11afb2c9.exe» на сайт virustotal.com для проверки:

Как видно из результатов проверки наш Avast — единственный из нормальных антивирусов, который нашего трояна не знает. В этом и есть причина его «партизанского молчания» по этому поводу. (К слову сказать такая ситуация случается со всеми антивирусами, идеальных не бывает, пропускают иногда все… ) Зато вот результаты проверки программой Malwarebytes Anti-Malware порадовали:

Первые две записи — кажется и есть наш зловред. Удаляем всех и перезагружаемся.

После перезагрузки скачиваем с сайта DrWeb-a бесплатную лечащую утилиту Dr.Web CureIt!® (по результатам проверки на virustotal-е мы уже знаем, что DrWeb эту заразу знает и, следовательно, может обезвредить), сканируем компьютер. Утилита ничего больше не нашла, это значит что Avast и Malwarebytes Anti-Malware со своей задачей справились: компьютер чист.

Позаботимся о том, чтобы Avast внёс этого трояна в свою антивирусную базу и он начал определяться у всех его пользователей. Для этого нужно файл «11afb2c9.exe» поместить в карантин антивируса и от туда отправить его для анализа:

Отправляем файл для анализа в компанию Avast

Теперь нужно навести порядок на флешке . Удаляем ярлыки, папку «RECYCLER» и снимаем атрибуты со скрытых папок. В Total Commander-е это сделать опять-таки удобнее:

Групповое изменение атрибутов файлов в программе Total Commander

Выделяем все наши скрытые папки и запускаем команду изменения атрибутов. В проводнике Windows это пришлось бы делать для каждой папки отдельно.

Заключительная проверка. Для этого делаем «контрольное вставляние флешки» и убеждаемся что ничего крамольного с ней больше не происходит. Визуальное улучшение состояния работы компьютера тоже на лицо: он не виснет, все файлы, папки, программы открываются нормально, интернет работает, все сайты открываются.

К слову сказать, данная методика подходит для удаления не только этого трояна, но и многих других. Надеюсь, это Вам однажды поможет!

Win32.Dorkbot семейство IRC червей (черви распространяющиеся через протоколы мгновенных сообщений), которые распространяются через съемные диски, программы обмена мгновенными сообщениями и социальные сети.

Разновидности Win32.Dorkbot могут обнаруживать и похищать имена пользователей и пароли фильтруя интернет трафик, могут блокировать веб-сайты, связанные с обновлениями безопасности. Он также может запустить DoS-атаку с вашего компьютера.

Вредоносная деятельность Win32.Dorkbot

Открывает доступ (бэкдор) к вашему компьютеру.
Внедряет вредоносный код в explorer.exe.
Соединяется с удалённым хостом.
Модифицирует системные файлы (regsvr32.exe, cmd.exe, rundll32.exe, regedit.exe, verclsid.exe, ipconfig.exe)
Крадет конфиденциальную информацию со следующих сайтов: (4shared AOL Alertpay Bcointernacional BigString Brazzers Depositfiles DynDNS Facebook Fastmail Fileserve Filesonic Freakshare GMX Gmail Godaddy Hackforums Hotfile IKnowThatGirl Letitbit LogMeIn Mediafire Megaupload Moneybookers Moniker Namecheap Netflix Netload NoIP OfficeBanking Oron PayPal Runescape Sendspace Sms4file Speedyshare Steam Thepiratebay Torrentleech Twitter Uploaded Uploading Vip-file Whatcd Yahoo YouPorn YouTube eBay)
Блокирует доступ к большинству антивирусных сайтов.

Как удалить Win32.Dorkbot?

Бесплатные программы

С лечением Win32.Dorkbot должен справится любой антивирус средней руки, не говоря уже о более продвинутых. Если ваш антивирус ничего не находит читайте дальше. Здесь же я опишу бесплатные и платные специализированные средства удаления этого компьютерного червя от разных разработчиков.

Платные программы

Win32.Dorkbot Removal Tool - специализированное средство разработанное российской компанией Security Stronghold. Удаление в автоматическом режиме, оплата только в случае нахождения вредоносных файлов. Программа продаётся вместе с годовой тех. поддержкой и лицензией на антишпиона True Sword. Скачать можно

4 декабря 2015 в 10:06

Правоохранительные органы демонтировали ботнет Dorkbot

Блог компании ESET NOD32

Компания ESET оказала помощь Microsoft, польскому CERT и правоохранительным органам по всему миру в ликвидации ботнета Dorkbot с привлечением механизма sinkhole для управляющих C&C-серверов этого ботнета. Мы хотим опубликовать обзорный технический анализ этой вредоносной программы, некоторую статистическую информацию по заражениям и информацию о C&C-серверах.

Для оказания необходимой помощи в ликвидации этого ботнета, нами был использован большой накопленный опыт в отслеживании данной угрозы и защиты от нее пользователей. Исчерпывающая информация об этой угрозе была еще в 2012 г. исследователем ESET Pablo Ramos на конференции Virus Bulletin.

Злоумышленники сумели заразить с использованием Dorkbot многих пользователей в более чем 200 странах мира. Вредоносная программа обнаруживается антивирусными продуктами ESET как Win32/Dorkbot и для ее распространения привлекались социальные сети, спам-рассылки, наборы эксплойтов, а также механизмы распространения через съемные носители. Будучи установленным на ПК, Dorkbot нарушает работу установленных антивирусных продуктов, блокируя им доступ для получения обновлений. Бот использует протокол IRC для получения инструкций от злоумышленников.

Кроме выполнения привычных для троянских программ функций, таких как, кража паролей от популярных сервисов Facebook и Twitter, Dorkbot специализируется на установке в скомпрометированной системе одной или нескольких других вредоносных программ. Мы фиксировали установку ботом таких вредоносных программ как Win32/Kasidet (Neutrino бот), а также Win32/Lethic . Первая используется злоумышленниками для проведения DDoS-атак, а вторая представляет из себя спам-бот.

Dorkbot до сих пор является очень распространенным во многих странах мира. Каждую неделю мы наблюдаем тысячи заражений пользователей данной вредоносной программой и свежие образцы бота пребывают в нашу антивирусную лабораторию ежедневно. Неудивительно, что Dorkbot стал целью правоохранительных органов. Для проверки своей системы на заражение Dorkbot и его последующего удаления, воспользуйтесь нашим бесплатным инструментом Dorkbot Cleaner .

Рис. География распространения Dorkbot.

На диаграмме ниже показаны различные компоненты, которые используются в последних версиях Dorkbot, нам удалось их проанализировать.

Рассмотрим типичный процесс заражения вредоносной программой через съемный USB-накопитель, который поможет лучше проиллюстрировать роль каждого модуля. Так как Dorkbot выполняет поиск подключенных к зараженной системе съемных носителей для их последующей компрометации, многие из наших обнаружений образцов этой вредоносной программы срабатывали именно на съемных носителях. При этом на них было обнаружено два типа файлов Dorkbot: исполняемый файл дроппера и.LNK-файлы с фишинговыми названиями, которые указывают на файл дроппера.

При запуске пользователем дроппера Dorkbot с USB-носителя (обнаруживается AV-продуктами ESET как Win32/Dorkbot.I), он пытается загрузить с удаленного сервера основной компонент вредоносной программы. Адрес самого сервера жестко зашит в исполняемом файле дроппера. Загруженный файл сильно упакован, а его код извлекает из себя и исполняет исполняемый файл Win32/Dorkbot.L, который представляет из себя простую обертку (wrapper), используемую для установки основного компонента. Этот основной компонент обнаруживается нами как Win32/Dorkbot.B и отвечает за работу с удаленным сервером по IRC. Обертка также специализируется на перехвате API-функции DnsQuery у основного компонента. Такой метод используется Dorkbot для усложнения обнаружения доменов настоящих C&C-серверов антивирусными аналитиками, поскольку в таком случае у запускаемого компонента отсутствуют адреса настоящих C&C-серверов злоумышленников. Когда он попытается выполнить трансляцию доменов через DnsQuery , вызов функции будет перехвачен и в качестве одного из аргументов обертка передаст API-функции адрес настоящего C&C-сервера.

После завершения установки вредоносной программы, бот будет пытаться подключиться к IRC-серверу и будет ожидать поступления определенных команд по фиксированному каналу от злоумышленников. Как правило, бот получает команды на загрузку и исполнение в системе новых вредоносных программ, которые были указаны выше.

Ботнет на основе Dorkbot активен уже давно и злоумышленники успешно используют его по сей день. Инфраструктура управляющих C&C-серверов этого ботнета является одной из тех, деятельность которой отслеживают специалисты компании ESET. Такая информация очень важна для отслеживания изменений в поведении вредоносной программы, а также для накапливания информации о ней, с целью ее использования правоохранительными органами.

Вредоносная программа Dorkbot не использует каких-либо новых методов для компрометации новых систем. Пользователи должны быть осторожны при открытии файлов на сменных носителях, а также тех файлов, которые они получают через электронную почту и социальные сети. Для проверки своей системы на заражение Dorkbot, можно воспользоваться нашим бесплатным инструментом отсюда . На сегодняшний день антивирусные продукты ESET тысячи различных модификаций файлов Dorkbot, а также файлов вредоносных программ, которые распространяются этим ботнетом.

Ниже приведены примеры URL-адресов или их составляющих, на срабатывание которых нацелен компонент похитителя паролей Dorkbot.

*paypal.*
*google.*
*aol.*
*screenname.aol.*
*bigstring.*
*fastmail.*
*gmx.*
*login.live.*
*login.yahoo.*
*facebook.*
*hackforums.*
*steampowered*
*no-ip*
*dyndns*
*runescape*
*.moneybookers.*
*twitter.com/sessions*
*secure.logmein.*
*officebanking.cl/*
*signin.ebay*
*depositfiles.*
*megaupload.*
*sendspace.com/login*
*mediafire.com/*
*freakshare.com/login*
*netload.in/index*
*4shared.com/login*
*hotfile.com/login*
*fileserv.com/login*
*uploading.com/*
*uploaded.to/*
*filesonic.com/*
*oron.com/login*
*what.cd/login*
*letitbit.net*
*sms4file.com/*
*vip-file.com/*
*torrentleech.org/*
*thepiratebay.org/login*
*netflix.com/*
*alertpay.com/login*
*godaddy.com/login*
*namecheap.com/*
*moniker.com/*
*1and1.com/xml/config*
*enom.com/login*
*dotster.com/*
*webnames.ru/*
*:2082/login* (possibly targeting cpanel)
*:2083/login* (possibly targeting cpanel)
*:2086/login* (possibly targeting GNUnet)
*whcms*
*:2222/CMD_LOGIN* (possibly targeting DirectAdmin)
*bcointernacional*
*members.brazzers.com*
*youporn.*
*members*