Новая троянская программа Win32.HLLM.MailSpamer


Win32.HLLM.MailSpamer - троянская программа рассылающая с компьютеров жертв вредоносные письма.
Win32.HLLM.MailSpamer - эксплуатирует в своих неблаговидных целях имя популярного интернет-сервиса "Ответы@Mail.Ru".

"Ответы@Mail.Ru" позволяет разместить любой вопрос, ответ на который дают другие пользователи ресурса. Копии всех полученных ответов отправляются автору вопроса по электронной почте. На этом и решили сыграть вирусописатели.

Троян Win32.HLLM.MailSpamer распространяется по e-mail с помощью содержащих вредоносную ссылку писем, имеющих тему "Re: С проекта Ответы@Mail.Ru".

mailru

Каждое такое письмо содержит один из вариантов сообщений, таких как

  • "я почему-то сразу нагуглил" или "а самому было лень поискать?"

и ссылку на сайт файлообменной службы, ведущую на страничку загрузки RAR-архива. Этот архив содержит исполняемый файл

  • setup.exe

и документ

  • Readme.doc.


При запуске приложения setup.exe на экране отображается стандартное окно программы-инсталлятора. Данная программа открывает на чтение файл Readme.doc, где в зашифрованном виде хранится троян Win32.HLLM.MailSpamer.

setup

После расшифровки вредоносная программа сохраняется на диск в виде динамической библиотеки, которая извлекает из своего тела исполняемый файл и запускает его. Затем троян вносит ряд изменений в системный реестр, прописав собственный исполняемый файл в отвечающую за автозапуск ветвь, а также отключает в групповых и локальных политиках User Accounts Control.

Запустившись на выполнение, Win32.HLLM.MailSpamer определяет:

  • тип и версию операционной системы;
  • значение серийного номера жесткого диска;
  • IP-адрес инфицированной машины.


После выполнения поставленных задач, троян отправляет соответствующий отчет на удаленный командный сервер злоумышленников. Оттуда он получает конфигурационный файл, в котором указан объект для последующей загрузки. Таким объектом, в частности, является программа alqon.exe, которая скачивается с удаленного узла и запускается на выполнение. Это вредоносное ПО устанавливает соединение с командным сервером и получает от него конфигурационный файл, содержащий логин и пароль для доступа к почтовому серверу, а также текст рассылаемого по почте сообщения и ссылку на вредоносный файл. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в трояне имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.