La minaccia di Dorkbot sembra essere stata debellata per sempre. Dopo aver colpito oltre un milione di computer in tutto il mondo, l’infrastruttura di server command and control manipolata da questo malware è stata smantellata in seguito a un’operazione congiunta di Fbi, Interpol ed Europol. Il programma maligno Win32/Dorkbot si è diffuso tramite diversi canali, come social network, messaggi di phishing, dispositivi removibili ed exploit kit. Una volta installato sulla macchina vititma il malware tenta di interrompere le normali attività del software di sicurezza, bloccandone l'accesso ai relativi server di aggiornamento e connettendosi a un server Irc per ricevere ulteriori comandi. Oltre a sottrarre le password di servizi come Facebook e Twitter, Dorkbot installa un codice malevolo appartenente a una delle numerose famiglie di malware esistenti, per ottenere il pieno controllo di un sistema.
Secondo quanto rilevato dalle forze dell’ordine in collaborazione con Eset, società di sicurezza informatica, spesso Dorkbot ha rilasciato nei sistemi corrotti delle varianti di Win32/Kasidet, un malware utilizzato per sferrare attacchi Dsos meglio conosciuto come Neutrino, e di Win32/Lethic, una spambot. L’obiettivo del software pernicioso era quello di espandersi e di sfuggire ai controlli di sicurezza.
Come si legge sul blog Welivesecurity di Eset, Dorkbot è (o era?) una botnet che circolava da parecchio tempo, in grado però di reinventarsi negli ultimi mesi per proporsi in una versione aggiornata. Sarebbero ancora numerosi i computer infetti dal malware, con picchi nel Sud-est asiatico. Eset fornisce uno strumento gratuito con cui verificare se una macchina è stata colpita dal programma malevolo. Il tool è disponibile a questa pagina.