Dorkbot, en 6-årig banking malware er dukket op i naturen for at blive en stor trussel, ifølge de seneste rapporter.
Den Dorkbot bank malware sigende startede sin ondsindet aktivitet tilbage i 2012 men nu ser det ud, som om denne virus er begyndt at angribe banker igen. Denne opdaterede version af Dorkbot blev andenplads i verden tilbage i 2012 og i henhold til Check Point rapport kan det nu være tilbage at skabe ravage og forårsage skader på pengeinstitutter på en større plan.
Hvad er Dorkbot?
Dorkbot er en bank malware, der blev brugt af hackere til at målrette Skype-konti samt Facebook og Twitter-konti. Den malware er blevet rapporteret til at forsøge at narre ofre til at downloade et arkiv, som indeholdt et budskab i det, kaldet ”Er det din nye profil pic?". Den .zip vedhæftede fil blev åbnet af offeret og derefter malware låst offer computer. Men det er ikke alt, det gør, som Dorkbot låser computeren i et botnet infektion og kontakterne ofrenes sendes til ondsindede arkiv.
Den virus har udviklet sig i en ny opdateret variant, som dybest set gør det en avanceret RAT (Remote Access Trojan), som er konfigureret til at stjæle brugerinformation, såsom:
- Adgangskoder og kontonavne.
- tastetryk indtastet.
- Logget på detaljer, når brugeren forsøger at logge på en bank websted.
Ifølge Check Points forskere, malwaren blev oprettet for at gøre det muligt for hackeren at kontrollere det kapaciteter til at udføre fjernkørsel af programkode angreb med det primære idé til manuelt at stjæle gemte følsomme bankoplysninger. Det betyder, at hackeren selv kan være i stand til at se ind i computerens historie at tjekke kodeord eller data, du har tidligere indtastede. De nye injektion kapaciteter, bruges af malware er blevet opdaget bag navnet Early Bird, og det er dybest set en måde at obfuscating malware og gør det muligt at undgå at blive opdaget af enhver antivirus og sikkerhedssoftware.
Den dagens variant af Dorkbot er ganske mere avanceret, og det imponerede endda analytikere hos CheckPoint, der også nævnt andre kendte bank infektioner i deres rapport.
Dorkbot s Aktivitet
Den oprindelige aktivitet Dorkbot dråber flere filer, i% appdata% og% Temp% mapper og blandt disse filer er ormen infektion filer, der tillader det til automatisk spredt på forskellige maskiner. Ud over dette, Dorkbot kan også stærkt ændre Windows registreringsdatabasen sub-nøgler, Microsoft rapport i deres analyse af malware. Den virus angriber primært Run og RunOnce sub-taster, hvor det skaber poster i registreringsdatabasen for alle er det eksekverbare filer til automatisk at køre, når du starter Windows. Filerne er forskellige for de forskellige varianter af Dorkbot, men primært kan være følgende:
→ %Appdata% c731200
%Appdata% ScreenSaverPro.scr
%Appdata% temp.bin
%Appdata% opdatering explorer.exe
%Appdata% opdatering cleaner.exe
%Appdata% opdatering update.exe
%Appdata% WindowsUpdate Updater.exe
%Appdata% WindowsUpdate live.exe
%Appdata% Windows Live
%TEMP% Adobe Reader_sl.exe
%TEMP% c731200
Den virus har også en mappe, kaldet Recycler, som bruger alle mulige USB-drev og registrerer dem som en måde at udbrede i flash-drev. Den malware anvender også bagdør adgang til og kontrol, så banker rådes til at passe, da det kan sprede sig i nye og mere smarte måder.
Ventsislav Krastev
Ventsislav er cybersikkerhedsekspert hos SensorsTechForum siden 2015. Han har forsket, tildækning, hjælpe ofre med de nyeste malware-infektioner plus test og gennemgang af software og den nyeste teknologiudvikling. Have uddannet Marketing samt, Ventsislav har også lidenskab for at lære nye skift og innovationer inden for cybersikkerhed, der bliver spiludskiftere. Efter at have studeret Management Chain Management, Netværksadministration og computeradministration af systemapplikationer, han fandt sit rigtige kald inden for cybersecurity-branchen og er en stærk troende på uddannelse af enhver bruger til online sikkerhed og sikkerhed.
Følg mig: