Author: Mohammed Malubay   
 

Trojan:Win32/DorkBot.DU(MICROSOFT); Worm.Win32.Dorkbot(SUNBELT); W32/Dorkbot.B!worm(FORTINET);

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Se ejecuta y, a continuación, se elimina. Se inyecta en todos los procesos en ejecución para permanecer en memoria.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones. Elimina entradas de registro para causar el funcionamiento incorrecto de aplicaciones y programas.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Este malware no tiene ninguna capacidad para robar información.

Impide que los usuarios visiten sitios Web asociados a antivirus que contengan cadenas específicas.

  TECHNICAL DETAILS

File size: 164,864 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 22 stycznia 2021
PAYLOAD: Drops files, Deletes files, Connects to URLs/IPs

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Application Data%\c731200
  • %Application Data%\Update\Explorer.exe
  • %Application Data%\Microsoft\Windows\{Random characters}\{Random characters}.exe
  • {Removable drive}:\c731200
  • {Removable drive}:\{Random letters}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

)

Infiltra los archivos siguientes:

  • {Removable drive}:\{Names of files in removable drive}.lnk
  • %User Temp%\c731200
  • %Application Data%\Microsoft\Windows\{​​​​Random characters}​​​​.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

)

Agrega los procesos siguientes:

  • "{Malware path and name}"
  • "%System%\svchost.exe"
  • "%System%\calc.exe"
  • "%System%\mspaint.exe"

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

)

Se ejecuta y, a continuación, se elimina.

Se inyecta en todos los procesos en ejecución para permanecer en memoria.

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • SSLOADasdasc000900
  • Windows_Shared_Mutex_231_c000900
  • SVCHOST_MUTEX_OBJECT_RELEASED_c000900
  • c731200
  • -65b46629Mutex
  • FvLQ49I

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Update = {Malware file path and name} (if parameter has -shell)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Explorer Manager = %Application Data%\Update\Explorer.exe

Otras modificaciones del sistema

Elimina los archivos siguientes:

  • {Values in checked registry keys}\{Data in values in checked registry keys}:Zone.Identifier
  • %Application Data%\Microsoft\Windows\{Random characters}\{Random characters}.exe:Zone.Identifier
  • System, hidden, or read-only .exe, .pif, .scr, .cmd,.com files in removable drives
  • .lnk files in removable drives
  • Files in %Common Startup%
  • Files in %User Startup%

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\WindowsId Manager Reader
CFlagc000900 = 1 (if parameter has -shell)

HKEY_CURRENT_USER\Software\WindowsId Manager Reader
WindowsId = {Random characters}

HKEY_CURRENT_USER\Software\WindowsId Manager Reader
itergtdw11qyucgHGGDsggd = 1 (if parameter has -shell)

Elimina las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRun =

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRun =

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRunOnce =

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRunOnce =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRun =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRun =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRunOnce =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRunOnce =

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Download and execute files
  • Neutralize other running threats
  • Block or redirect domains
  • Execute attacks (slow loris, SYN flood, UDP flood)
  • Steal credentials
  • Spread via online messengers and USB drives
  • Visit sites
  • Update itself
  • Reboot or shutdown system

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • notepad.exe
  • msiexec.exe
  • mspaint.exe

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %User Temp%\{Random characters}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

)

Robo de información

Este malware no tiene ninguna capacidad para robar información.

Otros detalles

Hace lo siguiente:

  • It may hook to native APIs to block programs from removing or moving itself or from creating files.
  • It renames the following folders:
    • %System Root%\Recycler (renamed to %System Root%\{Random characters})
    • %System Root%\Program Files\Common Files\CreativeAudio (renamed to %System Root%\Program Files\Common Files\{Random characters})
    • %System Root%\programdata\CreativeAudio (renamed to %System Root%\programdata\{Random characters})
  • It renames and terminates process related to the following files:
    • {Files in %Application Data%}.exe (renamed to {Files in %Application Data%}.exe.gonewiththewings)
    • {Files in %Application Data%\Identities}.exe (renamed to {Files in %Application Data%\Identities}.exe.gonewiththewings)
    • {Files in %Application Data%\Microsoft}.exe (renamed to {Files in %Application Data%\Microsoft}.exe.gonewiththewings)
    • {Files in %ProgramData%}.exe (renamed to {Files in %ProgramData%}.exe.gonewiththewings)
    • {Files in %System Root%\Program Files\Common Files\CreativeAudio}.exe (renamed to {Files in %System Root%\Program Files\Common Files\CreativeAudio}.exe.gonewiththewings)
    • {Files in %System Root%\programdata\CreativeAudio}.exe (renamed to {Files in %System Root%\programdata\CreativeAudio}.exe.gonewiththewings)
    • {Files in %User Temp%}.exe (renamed to {Files in %User Temp%}.exe.gonewiththewings)
    • {Files in %User Temp%\adobe}.exe (renamed to {Files in %User Temp%\adobe}.exe.gonewiththewings)
    • {Files in %User Profile%}.exe (renamed to {Files in %User Profile%}.exe.gonewiththewings)
    • {Files in %Common Startup%}.exe (renamed to {Files in %Common Startup%}.exe.gonewiththewings)
  • It checks the following registry keys in deleting files:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_USERS\{Subkey}\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_USERS\{Subkey}\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • It deletes and recreates the following registry entries:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %Common Startup% es la carpeta de inicio común del sistema, que en el caso de Windows 98 y ME suele estar en C:\Windows\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\All Users\Programas\Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio).

)

Impide que los usuarios visiten sitios Web asociados a antivirus que contengan las siguientes cadenas:

  • webroot
  • fortinet
  • virusbuster.nprotect
  • gdatasoftware
  • virus
  • precisesecurity
  • lavasoft
  • heck.t
  • emsisoft
  • onlinemalwarescanner
  • onecare.live
  • f-secure
  • bullguard
  • clamav
  • pandasecurity
  • sophos
  • malwarebytes
  • sunbeltsoftware
  • norton
  • norman
  • mcafee
  • symante
  • comodo
  • avast
  • avira
  • avg
  • bitdefender
  • eset
  • kaspersky
  • trendmicro
  • iseclab
  • virscan
  • garyshood
  • viruschief
  • jotti
  • threatexpert
  • novirusthanks
  • virustotal

  SOLUTION

Minimum scan engine: 9.800
First VSAPI Pattern File: 16.492.04
First VSAPI Pattern Release Date: 22 de stycznia de 2021
VSAPI OPR PATTERN-VERSION: 16.493.00
VSAPI OPR PATTERN DATE: 23 de stycznia de 2021

Step 2

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Reiniciar en modo seguro

[ learnMore ]

Step 5

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\WindowsId Manager Reader
    • CFlagc000900 = 1 (if parameter has -shell)
  • In HKEY_CURRENT_USER\Software\WindowsId Manager Reader
    • WindowsId = {Random characters}
  • In HKEY_CURRENT_USER\Software\WindowsId Manager Reader
    • itergtdw11qyucgHGGDsggd = 1 (if parameter has -shell)
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Windows Update = {Malware file path and name} (if parameter has -shell)
  • In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Windows Explorer Manager = %Application Data%\Update\Explorer.exe

Step 6

Buscar y eliminar este archivo

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %Application Data%\c731200
  • %Application Data%\Update\Explorer.exe
  • %Application Data%\Microsoft\Windows\{​​​​​​​​Random characters}​​​​​​​​\{​​​​​​​​Random characters}​​​​​​​​.exe
  • {​​​​​​​​Removable drive}​​​​​​​​:\c731200
  • {​​​​​​​​Removable drive}​​​​​​​​:\{​​​​​​​​Random letters}​​​​​​​​.exe
  • {​​​​​​​​Removable drive}​​​​​​​​:\{​​​​​​​​Names of files in removable drive}​​​​​​​​.lnk
  • %User Temp%\c731200
  • %Application Data%\Microsoft\Windows\{​​​​​​​​​​​​Random characters}​​​​​​​​​​​​.exe
  • %User Temp%\{Random characters}.exe

Step 7

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como Worm.Win32.DORKBOT.TIGAABC En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Step 8

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Worm.Win32.DORKBOT.TIGAABC En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Did this description help? Tell us how we did.