Новый троян помогает злоумышленникам массово рассылать спам
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о распространении троянской программы Trojan.Proxy.23012, помогающей злоумышленникам массово рассылать спам. По словам специалистов «Доктор Веб», этот троян обладает целым рядом отличительных особенностей, выделяющих его в ряду других вредоносных программ.
Trojan.Proxy.23012 загружается на инфицированные компьютеры с использованием других вредоносных программ, в частности Trojan.PWS.Panda.2395. Исполняемый файл трояна сжат с использованием того же вирусного упаковщика, что и трояны семейства Trojan.PWS.Panda, также известные под именами Zeus и Zbot, поэтому нередко он детектируется именно этой сигнатурной записью.
Проникнув в операционную систему, Trojan.Proxy.23012 распаковывается и загружается в память, после чего начинается процедура инсталляции трояна. Папка, в которую будет установлена эта вредоносная программа, зависит от версии ОС и от того, под какими правами был запущен установщик. В любом случае инсталлятор модифицирует системный реестр с целью обеспечить автоматический запуск трояна в процессе загрузки Windows. Также вредоносная программа пытается отключить систему контроля учетных записей пользователей. Наконец, на финальном этапе установки троян встраивается в процесс explorer.exe, рассказали в «Доктор Веб».
Ботнет, состоящий из инфицированных Trojan.Proxy.23012 компьютеров, используется злоумышленниками в качестве системы управления прокси-серверами, через которые по команде осуществляется рассылка почтового спама.
Установив соединение с удаленным командным центром, по команде злоумышленников Trojan.Proxy.23012 открывает прокси-туннель, посредством которого вирусописатели могут пользоваться протоколами SOCKS5, SOCKS4, HTTP (включая методы GET, POST, CONNECT). Для рассылки спама используются smtp-сервисы gmail.com, hotmail.com и yahoo.com.
Отличительной особенностью данной вредоносной программы, по словам экспертов «Доктор Веб», являются методы взаимодействия ботнета с управляющим сервером: командный центр в режиме реального времени выбирает, через какие именно узлы сети осуществлять ту или иную рассылку, кроме того, в проксировании участвуют боты, установленные на компьютерах без внешнего IP-адреса. Есть у данного трояна и еще одна особенность: в нем прописан только один адрес управляющего центра, при блокировке которого троян может быть обновлен через пиринговую сеть Trojan.PWS.Panda.2395.
Сигнатура данной угрозы уже добавлена в вирусные базы Dr.Web.
© CNews