Червь Dorkbot/Rodpicom снова напомнил о себе

13 февраль, 2013 - 10:27Максим Голубев

Распространяющийся через приложения обмена сообщениями и приводящий к дополнительному инфицированию червь Dorkbot/Rodpicom снова напомнил о себе в Skype и MSN Messenger.

Все начинается с того, что потенциальная жертва получает сообщение с просьбой перейти по ссылке «LOL is this your new profile pic? http://goo.gl/[removed]». Те, кто переходят по ссылке попадают на инфицированный сайт.

Помимо того, что программа может распространять сообщения с уже инфицированных компьютеров, она также открывает бэкдоры в зараженные системы для загрузки другого вредоносного ПО, спама, обновлений самой себя и других вредоносных действий. Зараженные компьютеры попадают в бот-сеть и используются для DDoS-атак.

Стоит отметить, что червь ожидает, пока жертва войдет в чат приложения, и только потом отправляет приглашения. Dorkbot/Rodpicom также способен изменять язык сообщений, в соответствии с языковым пакетом ОС Windows жертвы, что делает более правдоподобным то, что сообщение было отправлено пользователем.

Согласно исследованиям Рауля Альвареса из FortiGuard Labs, вредонос также оснащен рядом «уклончивых и запутывающих модулей», направленных на скрытие своего существования как от антивирусного ПО так и исследователей.

Червь Dorkbot/Rodpicom снова напомнил о себе