Worm.Dorkbot

Worm.Dorkbot is een kwaadaardige worm die zich verspreid via diensten voor instant messages, zoals Windows Live en Yahoo! Messenger, en via verwijderbare drives. Deze kwaadaardige worm bevat tevens achterdeurfunctionaliteit, waardoor aanvallers van buitenaf volledig toegang krijgen tot de besmette PC. Worm.Dorkbot werkt ook onder verschillende ander namen, waarvan er een is:

Trojan.Win32.Scar.drih

Deze worm verscheen voor het eerst op 9 maart 2011 en heeft hierna duizenden PC's over de hele wereld besmet. Het feit dat Worm.Dorkbot geen enkele duidelijke symptomen vertoont maakt hem zelfs nog gevaarlijker. De enige symptomen die de aanwezigheid van de worm op de PC zouden kunnen aanduiden zijn afkomstig van geïnstalleerde beveiligingssoftware. Hierdoor wordt het voor de gebruiker veel moeilijker om Worm.Dorkbot te detecteren en van het systeem te verwijderen.

Nadat Worm.Dorkbot het systeem is binnengedrongen start hij zichzelf en kopieert zich naar de map %AppData%, waarbij hij willekeurig gegenereerde bestandsnamen van 6 letters gebruikt, zoals bijvoorbeeld ozkqke.exe. Hij modificeert de volgende post om iedere keer dat Windows start dit bestand op te starten:

In subsleutel: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Stelt waarde in: ""
Met gegevens: "%appdata%.exe"

Zodra het draait injecteert Worm.Dorkbot zijn code in explorer.exe en in vele andere processen die op de besmette PC draaien. Het aantal processen waarin Worm.Dorkbot zich kan injecteren is afhankelijk van het feit of het is uitgevoerd met administratieve privileges.

Worm.Dorkbot brengt een verbinding tot stand met bepaalde IRC servers, meldt zich aan bij kanalen en wacht op verdere commando's van zijn ontwikkelaars. Hieronder volgt een lijst met servers waarvan bekend is dat Worm.Dorkbot er een verbinding mee tot stand brengt zonder medeweten van de gebruiker:

shuwhyyu.com
lovealiy.com
yegyege.com

De ontwikkelaars achter Worm.Dorkbot kunnen de worm opdragen om het IP-adres en lokatie van de aangetaste PC te verkrijgen door verbinding te maken met api.wipmania.com. Dan verzamelt hij informatie over het soort besturingssysteem van de besmette PC, het niveau van de privileges van de huidige gebruiker en de lokatie.

De worm krijgt ook de opdracht om te verhinderen dat de gebruiker zijn bestanden kan bekijken of wijzigen. Dit wordt bereikt door het inhaken van de volgende functies in de elementen waar hij is geïnjecteerd.

NtQueryDirectoryFile
NtEnumerateValueKey
CopyFileA/W
DeleteFileA/W

De worm blokkeert ook toegang door de gebruiker tot de volgende beveiligingswebsites:

avast.
avg.
avira.
bitdefender.
bullguard.
clamav.
comodo.
emsisoft.
eset.
fortinet.
f-secure.
garyshood.
gdatasoftware.
heck.tc
iseclab.
jotti.
kaspersky.
lavasoft.
malwarebytes.
mcafee.
necare.live.
norman.
norton.
novirusthanks
onlinemalwarescanner.
pandasecurity.
precisesecurity.
sophos.
sunbeltsoftware.
symantec

Om af te komen van Worm.Dorkbot en de schade te beperken die deze kwaadaardige bedreiging kan aanrichten aan uw PC dient u Worm.Dorkbot te vernietigen met behulp van een krachtig beveiligingshulpmiddel, dat ook de PC afdoende beschermt tegen vergelijkbare aanvallen in toekomst.