Dorkbot/Nrgbot : vers sur Facebook

Un petit mot concernant le bot Dorkbot/Nrgbot qui était pas mal présent sur le Comparatif antivirus 2012.

La caractéristique de ce malware est un fichier dans %APPDATA% avec une lettre en majuscules et une suite en minuscules du type Ldxaxl.exe Ybxaxy.exe Scxaxs.exe etc.

Ce dernier injecte explorer.exe qui lance la connexion vers le C&C et faire entrer la machine dans le botnet – ce qui permet de mettre dans le vent les pare-feu.

En mode bien détecté, on obtient ceci :

File name: 1115234
Submission date: 2011-12-05 08:03:55 (UTC)
Current status: finished
Result: 31 /43 (72.1%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.12.04.00	2011.12.04	Win-Troan/Ircbot.217088
AntiVir	7.11.18.206	2011.12.04	Worm/Dorkbot.A.430
Antiy-AVL	2.0.3.7	2011.12.05	Trojan/Win32.Jorik.gen
Avast	6.0.1289.0	2011.12.04	Win32:Malware-gen
AVG	10.0.0.1190	2011.12.04	Generic26.DLK
BitDefender	7.2	2011.12.05	Trojan.Generic.KD.429771
Comodo	10846	2011.12.05	TrojWare.Win32.JorikIRCbot.DYE
DrWeb	5.0.2.03300	2011.12.05	BackDoor.IRC.NgrBot.13
Emsisoft	5.1.0.11	2011.12.05	Worm.Win32.Dorkbot!IK
F-Secure	9.0.16440.0	2011.12.05	Trojan.Generic.KD.429771
Fortinet	4.3.388.0	2011.12.04	W32/SDBot.LU!worm
GData	22	2011.12.05	Trojan.Generic.KD.429771
Ikarus	T3.1.1.109.0	2011.12.05	Worm.Win32.Dorkbot
K7AntiVirus	9.119.5589	2011.12.03	Trojan
Kaspersky	9.0.0.837	2011.12.05	Trojan.Win32.Jorik.IRCbot.dye
McAfee	5.400.0.1158	2011.12.05	W32/IRCbot.gen.bm
McAfee-GW-Edition	2010.1D	2011.12.04	W32/IRCbot.gen.bm
Microsoft	1.7903	2011.12.05	Worm:Win32/Dorkbot
NOD32	6681	2011.12.04	Win32/Injector.LJL
Norman	6.07.13	2011.12.04	W32/Suspicious_Gen2.SZUMU
nProtect	2011-12-04.01	2011.12.04	Trojan/W32.Jorik.217088.J
Panda	10.0.3.5	2011.12.04	Generic Trojan
PCTools	8.0.0.5	2011.12.05	Trojan.IRCBot!rem
Symantec	20111.2.0.82	2011.12.05	W32.IRCBot
TheHacker	6.7.0.1.352	2011.12.01	Trojan/Jorik.IRCbot.dye
TrendMicro	9.500.0.1008	2011.12.05	TROJ_GEN.R3EC7KQ
TrendMicro-HouseCall	9.500.0.1008	2011.12.05	TROJ_GEN.R3EC7KQ
VBA32	3.12.16.4	2011.12.03	Trojan.PIC.261105
VIPRE	11204	2011.12.05	Backdoor.IRCBot
VirusBuster	14.1.99.0	2011.12.04	Trojan.Injector!8i/xjeWPOtc
Additional information
Show all
MD5   : e20298d4f065ccd5f38a999c026fc4fe
SHA1  : 01f2d9896dc0b256894ca0bd186a2b15d6474077
SHA256: f6ee0ee966c29378ccb7e77b0514247cdffdd7245bfbcba7ff2ce5f162ac4453

 

Tout ça pour en venir à une petite évolution.
Voici un échange effectué depuis une machine infectée par une dernière version de Dorkbot


Voici ce que l’obtient de l’autre côté chez le destinataire – comme vous pouvez le constater le dernier message a été injecté pour y ajouter une phrase avec un lien qui conduit au dropper malware en tentant de se faire passer pour une fausse image.
La dernière version a donc comme fonctionnalité une possibilité d’injecter les messages de chat lorsque la session est active.

 


Ce qui est gênant, c’est que sur le moment, le message envoyé, le lien n’apparaît sur le PC infecté de l’expéditeur.
Il faut rafraichir pour voir le message modifié par le malware.


Une évolution logique puisqu’on retrouve le même mécanisme que les infections MSN – le blocage des liens par Microsoft sur l’IM a permis de réduire la propagation de ces malwares.
Virus MSN
Le malware se rabat maintenant sur le chat de Facebook pour se propager. Voici la détection du malware actif :  http://www3.malekal.com/malwares/index.php?&hash=1624693dc1dae48bfca9873fd6fa057e
File name: FACEBOOK-DSC0000827237228421916-JPEG.exe
 Submission date: 2011-12-06 09:47:51 (UTC)
 Current status: finished
 Result: 7/ 43 (16.3%) VT Community
Print results Antivirus Version Last Update Result
 AhnLab-V3 2011.12.05.00 2011.12.05 Trojan/Win32.Buzus
 BitDefender 7.2 2011.12.06 Trojan.Generic.KDV.456844
 Fortinet 4.3.388.0 2011.12.06 W32/Kryptik.AL!tr
 McAfee 5.400.0.1158 2011.12.06 PWS-Zbot.gen.ke
 McAfee-GW-Edition 2010.1D 2011.12.06 PWS-Zbot.gen.ke
 Panda 10.0.3.5 2011.12.05 Suspicious file
MD5 : 1624693dc1dae48bfca9873fd6fa057e
 SHA1 : f38227186e9502afc26af25c8cf16443996a71ee
 SHA256: 48dd6c093568a19830e2cc101270e0ebdc451cfff5141c0fdd5e268c3d9940cc

Nrgbot étant trés répandu, le temps que les divers groupes l’utilisant aient la dernière version, on va certainement voir une poussée de ces vers par Facebook comme on a pu voir par un moment avec les Virus MSN.
Les internautes ont plutôt l’habitude de voir des liens pourris en commentaire mais pas forcément en chat direct.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 190 times, 1 visits today)

4 thoughts on “Dorkbot/Nrgbot : vers sur Facebook

  1. Hello Mak,

    DorkBot infecte aussi les Usb…. Il créé un exe dans le dossier Recycler accompagné d’un fichier desktop.ini. De plus il cache les dossiers présent et créé des raccourci reprennant le nom des dossiers, raccouci pointant vers l’éxécutable du dossier recycler.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *