Die Aktion, an der auch Microsoft beteiligt war, galt mit Win32/Dorkbot einer der verbreitetsten Malware-Familien. Ziel war es, die Dorkbot-Infrastruktur mit den Kommando- und Kontrollservern auszuschalten. Dazu wurden auch mehrere Domains abgeschaltet, um die Hintermänner daran zu hindern, weiterhin auf die infizierten Systeme zuzugreifen.
Der Dorkbot-Wurm infizierte laut Microsoft im vergangenen halben Jahr durchschnittlich 100.000 Windows-PCs pro Monat. Er habe weltweit bereits über eine Million Rechner übernommen. Sein vorrangiges Ziel ist es, Nutzernamen und Passwörter auszuspähen. Dazu versuchen die Botnet-Betreiber auch auf Anmeldedaten zuzugreifen, die von Internet Explorer oder Firefox gespeichert wurden. Das Dorkbo-Botnet kann zudem für DDoS-Attacken oder den Versand von Spam-Mails eingesetzt werden. Die Malware kann auf den infizierten Rechnern den Download und die Installation weiterer Malware steuern. Meist gehören die zu den Malware-Familien Win32/Kasidet, die sich für DDoS-Attacken eignet und auch als “Neutrino Bot” bekannt ist oder Win32/Lethic, falls die Angreifer in erster Linie zusätzlich Spam versenden wollen.
Dem Microsoft Malware Protection Center zufolge nutzt Dorkbot Internet Relay Chat (IRC) und wird von seinem Entwickler als Toolkit namens NgrBot über Untergrund-Hackerforen vermarktet. Das Kit enthält neben den Softwaremodulen eine Dokumentation, wie vorzugehen ist, um ein eigenes Dorkbot-Botnet einzurichten. Daher werde Dorkbot inzwischen von zahlreichen Betreibern für kriminelle Aktivitäten genutzt.
In der Regel erfolgt die Infektion durch einen Drive-by-Download. Dabei sucht das Exploit-Kit nach ungepatchter Software, über den es den Dorkbot-Wurm installieren kann. Ist der Rechner infiziert, verbreitet sich Dorkbot über Wechsellaufwerke, Instant-Messaging-Clients, E-Mails und Soziale Netze selbst weiter.
Außerdem übermittelt die Malware Standort, Windows-Version des Rechners sowie einen unverwechselbaren Identifikator für das System an einen Kommando- und Kontrollserver. Um die Entdeckung durch Antivirensoftware zu vermeiden, blockiert es gleichzeitig die Update-Server von Sicherheitsfirmen.
Microsoft führte die Analyse der Dorkbot-Malware zusammen mit dem polnischen CERT sowie ESET durch. Der Sicherheitsanbieter hat Analysen und Statistiken zur Verfügung gestellt sowie die Adressen und Domains Kommando- und Kontrollserver der Botnet-Betreiber ermittelt. Außerdem bietet er mit dem Dorkbot Cleaner ein kostenloses Tool an, mit dem Nutzer prüfen können, ob ihr Rechner von Dorkbot befallen ist.
