El trabajo realizado por el Laboratorio de ESET Latinoamérica para el artículo "Dorkbot: conquistando Latinoamérica" analizó en detalles los principales factores que llevaron a este código malicioso a una propagación masiva en la región. La firma con mayor nivel de detecciones es Win32/Dorkbot.D representa el 55,58% del total, y se corresponde con la técnica utilizada principalmente para infectar a un sistema con Win32/Dorkbot.B. Veamos en detalle qué es lo que hacen para engañar al usuario.
Como comenta el artículo, durante la segunda parte del 2011 Dorkbot se posicionó como el código malicioso más importante de la región. Esta amenaza que al infectar un equipo lo convierte en parte de una botnet controlada a través del protocolo IRC (Internet Relay Chat), le permite al atacante realizar acciones tales como:
- Robo de credenciales de sitios web como Gmail y Hotmail.
- Ataques de denegación de servicio.
- Bloqueo de direcciones IP.
- Descarga y ejecución de otros códigos maliciosos.
- Inyección de código en páginas web.
- Propagación a través de redes sociales y mensajeros instantáneos, por ejemplo el chat de Facebook y Windows Live Messenger.
- Redirección de tráfico web para la realización de ataques de phishing.
La variante Win32/Dorkbot.D refiere utilización de accesos directos para engañar a los usuarios es uno de los métodos más eficaces para infectar un sistema desprotegido. Es por ello que la firma de esta variante detecta directamente los archivos LNK que contienen en su interior otras variantes de Dorkbot. Cuando una memoria USB se conecta a un equipo infectado con este gusano, las propiedades de los archivos y carpetas son modificadas y se ocultan como archivos del sistema.
Cuando el usuario hace doble clic sobre el acceso directo para abrir la carpeta, se ejecuta el código malicioso y luego se abre una nueva sesión del Explorador de Windows en donde se muestra su contenido. De esta manera, Dorkbot intenta pasar desapercibido y, si el equipo no está protegido eficientemente por un antivirus, el mismo será infectado. La cadena que se almacena en los accesos directos y permite la ejecución del código malicioso es similar a:
%windir%system32cmd.exe /c "start %cd%RECYCLER<nombre_malware>.exe &&%windir%explorer.exe %cd%Carpeta
Si se cambian las Opciones de carpeta para poder ver los archivos ocultos y del sistema, es posible encontrar la información que se escondío ante los ojos de un usuario desprovisto de una solución de seguridad como ESET NOD32 Antivirus. Esta técnica remarca la importancia de contar con un antivirus que analice los dispositivos de almacenamiento extraíbles que se conectan al equipo. En la siguiente imagen se puede observar cómo queda una memoria USB infectada con esta amenaza:
Además de esta técnica de infección, Dorkbot se propaga a través de redes sociales y mensajeros instantáneos. Una de las funcionalidades que agregó la variante B respecto de Win32/Dorkbot.A es la posibilidad de utilizar el chat de Facebook como un canal de distribución de esta amenaza medainte Ingeniería Social. Durante el seguimiento de una campaña activa en América Latina el administrador de la botnet ha utilizado temáticas que incluyen fotos de la cantante Jennifer Lopez, al presidente venezolano Hugo Chávez, un accidente automovilístico de Lionel Messi y fotografías del naufragio del crucero en la costa italiana.
Los invitamos a leer el artículo completo para conocer cuáles son los riesgos y las actividades maliciosas de esta familia de malware y cuál es el impacto que esta amenaza tiene en la región.
Pablo Ramos
Especialista de Awareness & Research