Avira для Windows 10 info@avirus.ru

Новый троян помогает злоумышленникам массово рассылать спам

Российский разработчик антивирусного ПО, компания "Доктор Веб", сообщила о новой киберугрозе, по интернету распространяется новый опасный троян, под названием Trojan.Proxy.23012, эта вредоносная программа помогает злоумышленникам рассылать спам.По словам экспертов компании "Доктор Веб", троян обладает целым рядом отличительных особенностей, выделяющих его в ряду других вредоносных программ.

Trojan.Proxy.23012 загружается на инфицированные компьютеры с использованием других вредоносных программ, в частности Trojan.PWS.Panda.2395. Исполняемый файл трояна сжат с использованием того же вирусного упаковщика, что и трояны семейства Trojan.PWS.Panda, также известные под именами Zeus и Zbot, поэтому нередко он детектируется именно этой сигнатурной записью.

Попав в операционную систему, троян распаковывается и загружается в оперативную память компьютера, после чего начинается процедура его устанвки. Рабочая папкав которую установлен троян зависит от версии ОС и от прав, из под которых был запущен установщик. Инсталлятор модифицирует системный реестр с целью обеспечить автоматический запуск трояна в процессе загрузки Windows. Также вредоносная программа пытается отключить систему контроля учетных записей пользователей. Наконец, на финальном этапе установки троян встраивается в процесс explorer.exe.

Ботнет, состоящий из инфицированных Trojan.Proxy.23012 компьютеров, используется злоумышленниками в качестве системы управления прокси-серверами, через которые по команде осуществляется рассылка почтового спама.

После установки соединения с системой управления бот-сетью, троян по команде открываеттуннель, с помощью которого вирусописатели могут пользоваться протоколами SOCKS5, SOCKS4, HTTP (включая методы GET, POST, CONNECT). Для рассылки спама используются smtp-сервисы gmail.com, hotmail.com и yahoo.com.

Особенность данной троянской программы заключается в том, что командный центр в режиме реального времени выбирает, через какие именно узлы сети осуществлять ту или иную рассылку, кроме того в атаке могут участвовать инфицированные компьютеры без внешнего IP-адреса. Троян имеет только один адрес управляющего центра, при блокировке которого, он может быть обновлен через пиринговую сеть Trojan.PWS.Panda.2395.

Источник: www.cnews.ru