Worm.Dorkbot

Worm.Dorkbot est un ver malveillant qui se propage par le biais de services de messagerie instantanée tels que Windows Live et Yahoo! Messenger, ainsi que de lecteurs amovibles. Il comporte également une fonction de porte dérobée (backdoor) qui accorde à des attaquants distants un accès complet au PC infecté. Worm.Dorkbot agit également sous d’autres noms, parmi lesquels :

Trojan.Win32.Scar.drih

Ce ver a fait sa première apparition le 9 mars 2011 et depuis, il a infecté des milliers de PC à travers le monde. Ce qui le rend plus dangereux encore, c’est qu’il ne présente aucun symptôme évident. Les seuls signes de sa présence sur un PC viendront des éventuels logiciels de sécurité installés. Il est donc d’autant plus difficile à détecter et à supprimer du système.

Une fois que Worm.Dorkbot s’est introduit dans un ordinateur, il s’exécute et se copie dans le répertoire %AppData% sous un nom de fichier de 6 lettres généré au hasard, par exemple ozkqke.exe. Il modifie l’entrée qui suit afin que ce fichier s’exécute à chaque démarrage de Windows :

Dans la sous-clé : HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Il définit la valeur : ""
Avec les données : "%appdata%.exe"

Lorsqu’il s’exécute, Worm.Dorkbot injecte son code dans explorer.exe, ainsi que dans de nombreux autres processus en cours d’exécution sur le PC infecté. Le nombre de processus que Worm.Dorkbot est capable d’injecter varie selon qu’il s’exécute avec des privilèges d’administrateur ou non.

Worm.Dorkbot se connecte à certains serveurs IRC et rejoint des canaux en attendant les ordres de ses développeurs. Voici la liste des serveurs auxquels on sait que Worm.Dorkbot se connecte à l’insu de l’utilisateur :

shuwhyyu.com
lovealiy.com
yegyege.com

Les développeurs à l’origine de Worm.Dorkbot peuvent ordonner à ce ver d’obtenir l’adresse IP et l’emplacement du PC infecté en se connectant à api.wipmania.com. Ensuite, il répertorie le type de système d’exploitation du PC, le niveau de privilège de l’utilisateur actuel et la langue locale.

Le ver reçoit également l’ordre d’empêcher l’utilisateur de consulter ou de modifier ses fichiers. Pour ce faire, il modifie les fonctions suivantes dans lesquelles il s’injecte :

NtQueryDirectoryFile
NtEnumerateValueKey
CopyFileA/W
DeleteFileA/W

En outre, ce ver bloque l’accès aux sites Web suivants spécialisés dans la sécurité :

avast.
avg.
avira.
bitdefender.
bullguard.
clamav.
comodo.
emsisoft.
eset.
fortinet.
f-secure.
garyshood.
gdatasoftware.
heck.tc
iseclab.
jotti.
kaspersky.
lavasoft.
malwarebytes.
mcafee.
necare.live.
norman.
norton.
novirusthanks
onlinemalwarescanner.
pandasecurity.
precisesecurity.
sophos.
sunbeltsoftware.
symantec

Pour vous débarrasser de cette menace malveillante et limiter les dégâts qu’elle peut occasionner à votre PC, détruisez Worm.Dorkbot à l’aide d’un utilitaire de sécurité puissant, qui de plus protégera efficacement votre PC contre les attaques du même genre à l’avenir.