Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Безопасность личной и корпоративной почты Наглый SMTP-троян 'вешает' Windows - DrWeb


ИТ-специалисты антивирусной компании «Доктор Веб» сообщили о новом троянском коне, предназначенном для массовой рассылки спама с заражённого компьютера.

Вредоносная программа, получившая кодовое название Trojan.Proxy.27552, при запуске пытается для проверки подключиться по SMTP-протоколу к почтовым серверам smtp.gmail.com и plus.smtp.mail.yahoo.com Так злоумышленники проверяют не закрыт ли 25-ый TCP-порт, необходимый для отправки электронной почты. Если соединение было успешным, троянец отправляет сообщение «готов к работе» на управляющий сервер ботнета.

Если троянец был запущен из-под аккаунта с правами администратора, он немедленно пытается создать свою копию в системном каталоге C:\Windows\System32 перезаписывая оригинальный системный файл сsrss.exe Такая попытка, разумеется, приводит к «падению» Windows с «синим экраном смерти», зато после перезагрузки зловред окончательно приживается в операционной системе, записывая себя в автозагрузку.

Для связи с сервером управления бот-сетью SMTP-троянец использует порт 9997 протокола TCP. По этому порту происходит получение текущего списка действующих IP-адересов управляющих серверов, а также задания на рассылку спама — список адресов получателей и сами письма для мусорной рассылки.

Обнаруженный троян уже добавлен в антивирусные базы «Доктор Веб». Лечение возможно также с помощью утилиты Dr.Web CureIt!


В избранное