dorkbot

Ответ от Red One[мастер]
Win32/Dorkbot – червь, использующий IRC протокол для управления ботнетом. У данной программы присутствует функционал руткита и клавиатурного шпиона. Используя простейший протокол связи с командными серверами, данному вирусу удалось на протяжении нескольких лет создать сеть из значительного количества пораженных систем. Сотрудники Microsoft сравнивают этот вирус с печально известным Win32/EyeStye в связи со схожестью в работе и функционале.
В Dorkbot реализован сложный руткит, применяющий технику перехвата, как и EyeStye. Перехват используется для скрытия реестра и файлов компонента вредоносной программы от антивирусов.
По сравнению с EyeStye, оператору легче управлять ботнетом Dorkbot, так как он более прост в настройке, менее агрессивен и дешевле, чем его предшественник.
Для распространения Win32/Dorkbot использует такие методы:
USB накопители. При подключении содержащего вирус накопителя к системе, он осуществляет попытку компрометации.
Службы мгновенной передачи сообщений (Instant Messaging). Оператор ботнета подключают Win32/Dorkbot к определенному IRC клиенту. Червь подсоединяется к ряду API, что позволяет следить за обменом сообщениями. Когда пользователь пораженной системы общается с другими контактами, червь перехватывает отправляемые сообщения и вставляет в них ссылки на вредоносный ресурс. При переходе по ссылке, на систему адресата устанавливается исполняемый файл, содержащий вирус.
Социальные сети. Dorkbot следит за большим количеством популярных социальных сетей. При использовании, например, Facebook для обмена сообщениями, вирус также распространяет вредоносные ссылки.