Новое вредоносное ПО - Trojan.Spambot.11349


Trojan.Spambot.11349 - вредоносное ПО, способное красть учетные записи почтовых клиентов (в частности, Microsoft Outlook и The Bat!), а также передавать злоумышленникам данные, используемые функцией автозаполнения форм в веб-браузерах.

Распространение трояна осуществляется с применением бот-сети весьма известных бэкдоров Backdoor.Andromeda.

Троян Trojan.Spambot.11349 состоит из написанного на языке Delphi загрузчика и динамической библиотеки с полезной нагрузкой. Функции приложения-загрузчика - обход брандмауэра и установка в систему вредоносной библиотеки.

Если загрузчик запущен из процесса, имя которого не содержит строку "vcnost.e", троян уничтожает все процессы, содержащие в имени значение svcnost, сохраняет себя в одну из папок на жестком диске компьютера под именем svcnost.exe и прописывает соответствующую ссылку в ветви реестра, отвечающей за автозагрузку приложений. После этого Trojan.Spambot.11349 запускает собственную копию и, если она выполняется с правами администратора, вносит ряд изменений в системный реестр с целью обхода брандмауэра Windows, и перезаписывает файл hosts, блокируя пользователю доступ к веб-сайтам производителей антивирусных программ. Далее, загрузчик помещает в оперативную память компьютера, содержащую полезную нагрузку динамическую библиотеку и передает ей дальнейшее управление.

Hiew dll

Получив управление, вредоносная библиотека проверяет наличие на диске собственной копии и записывает в системный реестр значение из девяти случайных цифр, служащее уникальным идентификатором бота. Затем Trojan.Spambot.11349 сохраняет на диск библиотеку для работы с SSL и библиотеку zlib, с использованием которой троян сжимает строки своих запросов. При этом в поле HOST отправляемых ботом запросов содержится посторонний IP-адрес, что является характерной особенностью Trojan.Spambot.11349.

Отличительная особенность Trojan.Spambot.11349 - эта вредоносная программа отправляет последовательность запросов на случайные IP-адреса, подобранные по специальному алгоритму из списка хранящихся в ресурсах трояна подсетей. Затем троян устанавливает соединение с одним из трех управляющих серверов, адреса которых хранятся в теле библиотеки в зашифрованном виде, и ожидает от него получения конфигурационного файла. В случае если операция получения конфигурационного файла завершается успешно, троян формирует строку запроса, содержащую украденные учетные данные почтовых клиентов Microsoft Outlook и The Bat!, упаковывает ее с помощью библиотеки zlib и передает на принадлежащий злоумышленникам удаленный сервер. Инфицировав систему, троян проверяет возможность отсылки с зараженного компьютера спама, отправляя по электронной почте сообщения со случайным набором символов. Если проверка прошла успешно, троян получает с удаленного сервера данные для последующего проведения спам-рассылки. По данным на 24 апреля, трояны Trojan.Spambot.11349 осуществляли распространение почтовых сообщений, содержащих рекламу виагры.