Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении троянской программы Trojan.Proxy.23012, помогающей злоумышленникам массово рассылать спам. Этот троянец обладает целым рядом отличительных особенностей, выделяющих его в ряду других вредоносных программ.

Trojan.Proxy.23012 загружается на инфицированные компьютеры с использованием других вредоносных программ, в частности Trojan.PWS.Panda.2395. Исполняемый файл троянца сжат с использованием того же вирусного упаковщика, что и троянцы семейства Trojan.PWS.Panda, также известные под именами Zeus и Zbot, поэтому нередко он детектируется именно этой сигнатурной записью.

Проникнув в операционную систему, Trojan.Proxy.23012 распаковывается и загружается в память, после чего начинается процедура инсталляции троянца. Папка, в которую будет установлена эта вредоносная программа, зависит от версии ОС и от того, под какими правами был запущен установщик. В любом случае инсталлятор модифицирует системный реестр с целью обеспечить автоматический запуск троянца в процессе загрузки Windows. Также вредоносная программа пытается отключить систему контроля учетных записей пользователей. Наконец, на финальном этапе установки троянец встраивается в процесс explorer.exe.

Ботнет, состоящий из инфицированных Trojan.Proxy.23012 компьютеров, используется злоумышленниками в качестве системы управления прокси-серверами, через которые по команде осуществляется рассылка почтового спама. Пример одного из рассылаемых сообщений показан на представленной ниже иллюстрации.

screen

Установив соединение с удаленным командным центром, по команде злоумышленников Trojan.Proxy.23012 открывает прокси-туннель, посредством которого вирусописатели могут пользоваться протоколами SOCKS5, SOCKS4, HTTP (включая методы GET, POST, CONNECT). Для рассылки спама используются smtp-сервисы gmail.com, hotmail.com и yahoo.com.

Отличительной особенностью данной вредоносной программы являются методы взаимодействия ботнета с управляющим сервером: командный центр в режиме реального времени выбирает, через какие именно узлы сети осуществлять ту или иную рассылку, кроме того, в проксировании участвуют боты, установленные на компьютерах без внешнего IP-адреса. Есть у данного троянца и еще одна особенность: в нем прописан только один адрес управляющего центра, при блокировке которого троянец может быть обновлен через пиринговую сеть Trojan.PWS.Panda.2395.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web, поэтому троянец Trojan.Proxy.23012 не представляет серьезной угрозы для пользователей продукции компании «Доктор Веб».

Реклама

Ваш комментарий

Please log in using one of these methods to post your comment:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s