Очередной троянец рассылает почтовый спам

Вредоносные программы, созданные для рассылки рекламных сообщений по электронной почте, появляются регулярно. Однако вредоносная утилита, занесенная в базы как Trojan.Proxy.27552, имеет ряд конструктивных особенностей.

«Особенности» выявлены еще на стадии инсталляции троянской программы. К примеру, вирус делает попытки создать собственную копию в каталоге System32. Файлы имеют названия rundll32.exe, svchost.exe и csrss.exe, несмотря на наличие в папке оригинального файла csrss.exe. Для обхода данной проблемы утилита ищет в памяти процесс с аналогичным названием и пытается закрыть его. Если у вируса в этот момент будут достаточные привилегии, процесс csrss.exe успешно закрывается, что приводит к возникновению ошибки BSOD. Аналитики не понимают, для чего вирусописатели используют такую схему.

Если вызвать критическую ошибку не удалось, Trojan.Proxy.27552 автоматически создает в каталоге %APPDATA% файлы rundll32.exe, csrss.exe и svchost.exe, а также редактирует системный реестр для обеспечения автоматического запуска.

После активации вредоносная программа проверяет наличие доступа в интернет. Если Интернет активен, утилита соединяется с удаленным узлом (адреса прописаны в теле вируса) и пытается получить актуальный список управляющих серверов. Если с доступом в сеть возникают проблемы, приложение завершает работу. Список полученных серверов и другую служебную информацию вредоносная программа хранит в реестре Windows. Троянское приложение периодически обновляет список командных серверов, контролирует целостность ветви реестра, которая отвечает за автозапуск вредоносных модулей, а также реализует функционал полноценного backconnect-proxy сервера. Схема организации соединения с узлом управления заставляет операционную систему самостоятельно поддерживать соединение указанный промежуток времени.

Главное назначение Trojan.Proxy.27552 – формирование массовой рассылки почтового спама, при этом зараженный компьютер работает совместно с внешним спам-сервером. Ссылки в письмах обычно ведут на страницы, которые расположены на взломанных интернет-ресурсах.

5 предыдущих новостей

Иранская группа хакеров создала поддельную новостную сеть Просмотров (740)
IBM и Apple хотят совершить революцию в бизнес-сфере Просмотров (634)
eBay и «Почта России» договорились об ускоренной доставке посылок Просмотров (654)
Создан алгоритм, способный предсказать остановку сердца Просмотров (562)
У "Ростелекома" будет свой аналог Skype Просмотров (557)