Worm.Dorkbot

Worm.Dorkbot ist ein bösartiger Wurm, der sich durch Instant Messaging-Dienste wie Windows Live und Yahoo! Messenger sowie Wechseldatenträger verbreitet. Dieser bösartige Wurm beinhaltet auch Hintertürfunktionen, die den Fernangreifern kompletten Zugriff auf den infizierten PC geben. Worm.Dorkbot operiert auch unter verschiedenen Aliasnamen wie z. B.:

Trojan.Win32.Scar.drih

Dieser Wurm wurde zuerst am 9. März 2011 veröffentlicht und hat seitdem Tausende PCs auf der ganzen Welt infiziert. Was ihn noch gefährlicher macht, ist die Tatsache, dass Worm.Dorkbot keine offensichtlichen Symptome darstellt und die einzigen Symptome, die auf die Existenz des Wurms auf dem PC hinweisen würden, kämen von installierter Sicherheits-Software. Dies macht es dem Nutzer schwieriger, Worm.Dorkbot zu erkennen und vom System zu entfernen.

Nachdem Worm.Dorkbot in das System eingedrungen ist, wird er selbst ausgeführt und kopiert sich in das Verzeichnis %AppData% mithilfe von willkürlich generierten Dateinamen mit sechs Buchstaben wie z. B. ozkqke.exe. Er wird den folgenden Eintrag ändern, um diese Datei bei jedem Windows-Start auszuführen:

Im Unterschlüssel: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Eingestellter Wert: ""
Mit Daten: "%appdata%.exe"

Sobald er ausgeführt wird, wird Worm.Dorkbot seinen Code in den explorer.exe eingeben sowie auch in viele andere laufenden Prozesse auf dem infizierten PC. Die Anzahl der Prozesse, die Worm.Dorkbot infizieren kann, hängt davon ab, ob er mit Administratorrechten ausgeführt wird.

Worm.Dorkbot wird sich mit bestimmten IRC-Servern verbinden, Kanälen beitreten und auf weitere Befehle seiner Entwickler warten. Im Folgenden finden Sie eine Liste an Servern, mit denen sich Worm.Dorkbot bereits ohne das Wissen des Nutzers verbunden hat:

shuwhyyu.com
lovealiy.com
yegyege.com

Die Entwickler hinter Worm.Dorkbot können den Wurm beauftragen, die entsprechende PC-IP-Adresse und den Standort durch die Verbindung zu api.wipmania.com zu erhalten. Dann erfasst er die Betriebssystemart des infizierten PCs, die aktuellen Nutzerrechte und den Standort.

Der Wurm wird auch instruiert, den Nutzer davon abzuhalten, seine Dateien anzusehen oder zu ändern. Dies geschieht durch die folgenden Funktionen, die er durchführt, sobald er infiziert ist:

NtQueryDirectoryFile
NtEnumerateValueKey
CopyFileA/W
DeleteFileA/W

Der Wurm wird auch den Zugriff des Nutzers auf die folgenden Sicherheits-Webseiten sperren:

avast.
avg.
avira.
bitdefender.
bullguard.
clamav.
comodo.
emsisoft.
eset.
fortinet.
f-secure.
garyshood.
gdatasoftware.
heck.tc
iseclab.
jotti.
kaspersky.
lavasoft.
malwarebytes.
mcafee.
necare.live.
norman.
norton.
novirusthanks
onlinemalwarescanner.
pandasecurity.
precisesecurity.
sophos.
sunbeltsoftware.
symantec

Um Worm.Dorkbot loszuwerden und den Schaden, den diese bösartige Bedrohung verursachen kann, einzuschränken, muss Ihr PC Worm.Dorkbot mithilfe eines leistungsstarken Sicherheits-Tools zerstören, welches auch Ihren PC gegen ähnliche Angriffe in Zukunft schützen wird.