Mucho se ha hablado sobre las grandes tasas de infección que ha logrado Win32/Dorkbot.B en los últimos meses a lo largo y a lo ancho de Latinoamérica ya sea en la propagación de Dorkbot a traves de Skype, o en la distribución de Dorkbot por medio de un falso video de Julian Assange. Además, estuvimos mostrando como se realiza el hospedaje de malware en hosting web vulnerado. Todos estos indicios muestran el impacto que está teniendo esta amenaza en la región, como se puede observar a continuación:
Las zonas en anaranjado o rojo representan el mayor porcentaje de detecciones en América Latina. Como se puede comprobar, México, Paraguay, Ecuador, Bolivia y algunos países de Centroamérica son los más afectados por Win32/Dorkbot.B.
Por esta razón es que en los laboratorios de ESET Latinoamérica hemos estado trabajando arduamente en una aplicación capaz de erradicar esta infección de los sistemas de los usuarios. Es por eso que tenemos el agrado de comunicarles que elcleaner de Dorkbot ya está finalizado y publicado en nuestra sección de herramientas de limpieza de malware gratuitas, junto a otras aplicaciones de limpieza de malware, y no necesita tener ninguna solución antivirus instalada para que funcione, solo basta con seleccionar "Dorkbot.B cleaner" en el menú y descargar el archivo. Al ejecutar la aplicación en la maquina, se analizarán los diferentes procesos en búsqueda de la amenaza.
La herramienta restaura todos los procesos en la computadora comprometida, eliminando así el rootkit que permite ocultar el gusano frente a un listado de archivos o al verificar las llaves de registro. Una vez que se logre extraer el gusano exitosamente, la maquina detendrá todo tipo de trafico indeseado hacia el exterior, interrumpiendo la conexión con un eventual Panel de Control (C&C) perteneciente a una botnet. La siguiente captura muestra la interfaz del programa ejecutado en una maquina en la cual no hay ninguna infección de Dorkbot.B:
Sin embargo, si la aplicación localiza alguna variante de Win32/Dorkbot.B, notifica al usuario del hecho y procederá a la correspondiente desinfección. Esta sería la salida por pantalla en una maquina infectada:
Luego de que se reinicie la maquina, la misma estará libre de Win32/Dorkbot.B. En caso de encontrar alguna infección es altamente recomendable modificar la contraseña en diferentes servicios como Facebook, Gmail o Hotmail. También es aconsejable tomar determinados recaudos al momento de elegir una contraseña segura. Finalmente, recomendamos a todos los interesados en la temática la lectura de nuestro artículo de Dorkbot: Conquistando Latinoamérica, para profundizar al respecto.
Javier Aguinaga
Malware Analyst
