Trojan.Proxy.23012 или новая троянская программа для рассылки спама


Trojan.Proxy.23012 - троянская программа, помогающая злоумышленникам массово рассылать спам.

Trojan.Proxy.23012 загружается на инфицированные компьютеры с использованием других вредоносных программ, в частности Trojan.PWS.Panda.2395. Исполняемый файл трояна сжат с использованием того же вирусного упаковщика, что и трояны семейства Trojan.PWS.Panda (известные под именами Zeus и Zbot).

Проникнув в операционную систему, Trojan.Proxy.23012 распаковывается и загружается в память, после чего начинается процедура инсталляции трояна. В зависимости от версии ОС и правами, под которыми был запущен установщик, выбирается папка, в которую будет установлена эта вредоносная программа. В процессе установки инсталлятор модифицирует системный реестр с целью обеспечить автоматический запуск трояна в процессе загрузки Windows. Также вредоносная программа пытается отключить систему контроля учетных записей пользователей. На финальном этапе установки троян встраивается в процесс explorer.exe.

Ботнет, состоящий из инфицированных Trojan.Proxy.23012 компьютеров, используется злоумышленниками в качестве системы управления прокси-серверами, через которые по команде осуществляется рассылка почтового спама.

Пример одного из рассылаемых сообщений

Установив соединение с удаленным командным центром, по команде злоумышленников Trojan.Proxy.23012 открывает прокси-туннель, посредством которого вирусописатели могут пользоваться протоколами

  • SOCKS5;
  • SOCKS4;
  • HTTP (включая методы GET, POST, CONNECT).


Для рассылки спама используются smtp-сервисы

  • gmail.com;
  • hotmail.com;
  • yahoo.com.


Отличительная особенность данной вредоносной программы - методы взаимодействия ботнета с управляющим сервером - командный центр в режиме реального времени выбирает, через какие именно узлы сети осуществлять ту или иную рассылку. Кроме того, в проксировании участвуют боты, установленные на компьютерах без внешнего IP-адреса. В данном трояне прописан только один адрес управляющего центра, при блокировке которого троян может быть обновлен через пиринговую сеть Trojan.PWS.Panda.2395.