Dorkbot, un malware bancaire de 6 ans a refait surface dans la nature pour devenir une menace majeure, selon la récente rapports.
La Dorkbot malware bancaire aurait commencé son activité malveillante en arrière 2012 mais maintenant il semble que ce virus a commencé à attaquer les banques à nouveau. Cette version mise à jour de Dorkbot a été classé deuxième dans le monde en arrière 2012 et selon Vérifiez le rapport de point, il peut maintenant être de retour à faire des ravages et causer des dommages aux institutions bancaires à un niveau important.
Qu'est-ce que Dorkbot?
Dorkbot est un malware bancaire qui a été utilisé par les pirates pour cibler les comptes Skype, ainsi que les comptes Facebook et Twitter. Le logiciel malveillant a été signalé pour tenter de duper les victimes à télécharger une archive contenant un message dans ce, appelé « Est-ce votre nouveau pic de profil?". La pièce jointe a été ouverte par .zip la victime, puis le logiciel malveillant verrouillé l'ordinateur victime. Mais ce n'est pas tout ce qu'elle fait, comme Dorkbot verrouille l'ordinateur en une infection botnet et les contacts des victimes sont envoyés aux archives malveillants.
Le virus a évolué dans une nouvelle variante mise à jour qui fait essentiellement en fait un RAT avancé (Remote Access Trojan), qui est configuré pour voler des informations d'utilisateur, comme:
- Les mots de passe et noms de compte.
- les frappes dactylographiées.
- Connecté en détails lorsque l'utilisateur tente de se connecter sur un site bancaire.
Selon les chercheurs Vérifier point, le logiciel malveillant a été créé pour permettre à l'attaquant contrôler les capacités d'effectuer des attaques d'exécution de code à distance avec l'idée principale de voler manuellement sauvé des données bancaires sensibles. Cela signifie que le pirate peut même être en mesure de regarder dans l'histoire de votre ordinateur pour vérifier les mots de passe ou les données que vous avez déjà entré. Les nouvelles capacités d'injection, utilisé par le logiciel malveillant a été détecté derrière le nom Early Bird et il est fondamentalement une manière de obscurcissant le logiciel malveillant et en lui permettant d'éviter d'être détecté par les logiciels antivirus et de sécurité.
La variante de Dorkbot d'aujourd'hui est tout à fait plus avancé et il a impressionné les analystes même à CheckPoint, qui a également mentionné d'autres établissements bancaires bien connu infections dans leur rapport.
Activité de Dorkbot
L'activité d'origine de Dorkbot gouttes plusieurs fichiers, dans les répertoires% AppData% et les% Temp% et parmi ces fichiers sont des fichiers d'infection à vis sans fin, qui permettent de se propager automatiquement sur des machines différentes. De plus, Dorkbot peut également modifier fortement les sous-clés de registre Windows, comme rapport Microsoft dans leur une analyse du malware. Le virus attaque principalement les Run et RunOnce sous-clés où il crée des entrées de registre pour l'ensemble de ses fichiers exécutables pour exécuter automatiquement lorsque vous démarrez Windows. Les fichiers sont différents pour les différentes variantes de Dorkbot, mais peut surtout être les suivantes:
→ %APPDATA% c731200
%APPDATA% ScreenSaverPro.scr
%APPDATA% temp.bin
%APPDATA% update explorer.exe
%APPDATA% update cleaner.exe
%APPDATA% update update.exe
%APPDATA% WindowsUpdate updater.exe
%APPDATA% WindowsUpdate live.exe
%APPDATA% Windows Live
%TEMP% Adobe reader_sl.exe
%TEMP% c731200
Le virus a aussi un dossier, appelé RECYCLER, qui utilise tous les lecteurs USB possibles et les enregistre comme un moyen de se propager dans les lecteurs flash. Le logiciel malveillant utilise également l'accès et le contrôle de porte dérobée, si les banques sont priés de se méfier car il peut se propager dans de nouvelles façons plus intelligentes.
Ventsislav Krastev
Ventsislav est expert en cybersécurité chez SensorsTechForum depuis 2015. Il a fait des recherches, couvrant, aider les victimes avec les dernières infections de logiciels malveillants ainsi que tester et examiner les logiciels et les derniers développements technologiques. Ayant obtenu leur diplôme et marketing, Ventsislav est également passionné par l'apprentissage de nouveaux changements et innovations en cybersécurité qui changent la donne. Après avoir étudié la gestion de la chaîne de valeur, Administration réseau et administration informatique des applications système, il a trouvé sa véritable vocation au sein de l'industrie de la cybersécurité et croit fermement à l'éducation de chaque utilisateur en matière de sécurité et de sûreté en ligne..
Plus de messages - Site Internet
Suivez-moi: