Очередной троянец рассылает почтовый спам
- Денис Горелов
- 17.06.2015
- Интернет
Вредоносные программы, созданные для рассылки рекламных сообщений по электронной почте, появляются регулярно. Однако вредоносная утилита, занесенная в базы как Trojan.Proxy.27552, имеет ряд конструктивных особенностей.
«Особенности» выявлены еще на стадии инсталляции троянской программы. К примеру, вирус делает попытки создать собственную копию в каталоге System32. Файлы имеют названия rundll32.exe, svchost.exe и csrss.exe, несмотря на наличие в папке оригинального файла csrss.exe. Для обхода данной проблемы утилита ищет в памяти процесс с аналогичным названием и пытается закрыть его. Если у вируса в этот момент будут достаточные привилегии, процесс csrss.exe успешно закрывается, что приводит к возникновению ошибки BSOD. Аналитики не понимают, для чего вирусописатели используют такую схему.
Если вызвать критическую ошибку не удалось, Trojan.Proxy.27552 автоматически создает в каталоге %APPDATA% файлы rundll32.exe, csrss.exe и svchost.exe, а также редактирует системный реестр для обеспечения автоматического запуска.
После активации вредоносная программа проверяет наличие доступа в интернет. Если Интернет активен, утилита соединяется с удаленным узлом (адреса прописаны в теле вируса) и пытается получить актуальный список управляющих серверов. Если с доступом в сеть возникают проблемы, приложение завершает работу. Список полученных серверов и другую служебную информацию вредоносная программа хранит в реестре Windows. Троянское приложение периодически обновляет список командных серверов, контролирует целостность ветви реестра, которая отвечает за автозапуск вредоносных модулей, а также реализует функционал полноценного backconnect-proxy сервера. Схема организации соединения с узлом управления заставляет операционную систему самостоятельно поддерживать соединение указанный промежуток времени.
Главное назначение Trojan.Proxy.27552 – формирование массовой рассылки почтового спама, при этом зараженный компьютер работает совместно с внешним спам-сервером. Ссылки в письмах обычно ведут на страницы, которые расположены на взломанных интернет-ресурсах.
5 предыдущих новостей
Иранская группа хакеров создала поддельную новостную сеть Просмотров ( 0)IBM и Apple хотят совершить революцию в бизнес-сфере Просмотров ( 0)
eBay и «Почта России» договорились об ускоренной доставке посылок Просмотров ( 0)
Создан алгоритм, способный предсказать остановку сердца Просмотров ( 0)
У "Ростелекома" будет свой аналог Skype Просмотров ( 0)