Очень опасный троянский спам от Trojan.Proxy.27552

Вредоносные программы предназначены для отправки спама не являются неожиданностью ни для аналитиков, ни для пользователей. Такого рода программы часто исследуются в антивирусной лаборатории Doctor Web и других разработчиков антивирусных решений. Тем не менее, новый троян рассылающий спам , добавленный в вирусную базу Dr. Web под именем Trojan.Proxy.27552, имеет несколько специфических особенностей.

Trojan.Proxy.27552 имеет довольно интересную процедуру установки — программа пытается создать свои копии под названиями csrss.exe, svchost.exe и rundll32.exe в системном каталоге C:WindowsSystem32 даже если оригинальный файл csrss.exe (или другие) есть в этом каталоге. Чтобы решить эту проблему, троянец выполняет поиск процесса csrss.exe и пытается его остановить. Если вредоносная программа получает разрешение, необходимые для администрирования и отладки, завершение указанного процесса вызывает BSOD (“Blue Screen of Death”) — «синий экран» Windows.

Однако действия Trojan.Proxy.27552 не приводят к „ппадению Windows а создают три файла с именами csrss.exe, svchost.exe и rundll32.exe в папке %APPDATA% и изменяют системный реестр, чтобы обеспечить свой автоматический запуск. В некоторых случаях, когда зараженный компьютер будет с Windows XP, троян внедряет свой вредоносный код в файле rundll32.exe. В такой ситуации пользователь может воспользоваться стандартной утилиты SFC и восстановить поврежденные или отсутствующие файлы. Этот инструмент сможет помочь вам восстановить исходный файл из его резервной копии. Во время следующего запуска системы все три приложения, созданные трояном, будут запущены автоматически.

Как только Trojan.Proxy.27552 запускается, он проверяет, является ли подключение к Интернету общим для всех пользователей, пытаясь «достучаться» на smtp.gmail.com:25 плюс.smtp.mail.yahoo.com:25. Если проверка завершается неудачей, троянец завершает свою работу. Если Интернет есть, тогда вредоносная программа пытается получить список, содержащий актуальные адреса контрольно-управляющих IP серверов. Trojan сравнивает полученные письма и удаляет адреса локальных сетей. Затем формирует окончательный список контрольно-управляющих серверов и добавляет эту информацию в реестре Windows.

Троян прописывается в реестре
Троян прописывается в реестре

Trojan.Proxy.27552 регулярно обновляет этот список. Также контролирует состояние системного реестра (и при необходимости устраняет возникающие ошибки), отвечающей за автоматический запуск троянца и его работу в качестве прокси-сервера для обратного звонка. Соединение с контрольно-распорядительными серверами осуществляется таким образом, что заставляет зараженною систему поддерживать этого соединения в течение определенного периода времени.

Основной задачей Trojan.Proxy.27552 является отправка спама. Что интересно, ссылки из сообщений, которые отправляют трояном направляют пользователей на взломанные веб-страницы. Например, если адрес, содержащийся в сообщении, принадлежит нейтральному ресурсу в Интернете то ссылка произведет редирект на совсем другой сайт.

ОСТАВЬТЕ ОТВЕТ