Worm.Dorkbot

O Worm.Dorkbot é um worm malicioso que se espalha através de serviços de mensagens instantâneas como o Windows Live e Yahoo! Messenger, e unidades removíveis. Este worm mal-intencionado também contém funcionalidade de backdoor, que irá conceder acesso completo a um atacante remoto para o PC infectado. O Worm.Dorkbot também opera sob vários pseudônimos, um dos quais é:

Trojan.Win32.Scar.drih

Este worm foi lançado pela primeira vez em 9 de março de 2011, e passou a infectar milhares de computadores em todo o mundo. O que o torna ainda mais perigoso é o fato de que o Worm.Dorkbot não apresenta sintomas óbvios, e os únicos sintomas que indicam a presença do worm no PC virá de um software de segurança que esteja instalado. Isto tornará muito mais difícil para o usuário detectar e remover o Worm.Dorkbot do sistema.

Depois que o Worm.Dorkbot entra no sistema, ele se executa e se copia no diretório %AppData% usando nomes de arquivos de seis letras gerados aleatoriamente, como um exemplo ozkqke.exe. Ele vai modificar a seguinte entrada para executar este arquivo em cada inicio do Windows:

In subkey: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Sets value: ""
With data: "%appdata%.exe"

Uma vez instalado, o Worm.Dorkbot vai injetar seu código no explorer.exe, assim como em muitos outros processos em execução no PC infectado. O número de processos que o Worm.Dorkbot é capaz de injetar depende se ele foi executado com privilégios de administrador.

Worm.Dorkbot irá se conectar a servidores de IRC particulares, entrando em canais e esperando por novos comandos de seus desenvolvedores. Segue uma lista de servidores Worm.Dorkbot conhecidos por se conectar sem o conhecimento do usuário:

shuwhyyu.com
lovealiy.com
yegyege.com

Os desenvolvedores por trás do Worm.Dorkbot podem instruir o worm para obter o endereço IP e localização do computador infectado ao se conectar com api.wipmania.com. Ele então, irá pegar o tipo de sistema operacional do PC infectado, nível de privilégio de usuário atual e localização.

O worm também é instruído a impedir o usuário de visualizar ou alterar seus arquivos. Isto é feito ligando as seguintes funções no interior do qual é injetado:

avast.
avg.
avira.
bitdefender.
bullguard.
clamav.
comodo.
emsisoft.
eset.
fortinet.
f-secure.
garyshood.
gdatasoftware.
heck.tc
iseclab.
jotti.
kaspersky.
lavasoft.
malwarebytes.
mcafee.
necare.live.
norman.
norton.
novirusthanks
onlinemalwarescanner.
pandasecurity.
precisesecurity.
sophos.
sunbeltsoftware.
symantec

Para se livrar do Worm.Dorkbot, e limitar os danos que esta ameaça será capaz de fazer ao seu PC, elimine o Worm.Dorkbot com a ajuda de uma ferramenta de segurança poderosa, que também irá proteger adequadamente o seu PC contra ataques semelhantes no futuro.