Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве почтового прокси-сервера.
Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве почтового прокси-сервера. Является приложением Windows (PE EXE-файл).
Имеет размер 8768 байт, упакована при помощи FSG. Размер распакованного файла — около 53 КБ.
Инсталляция
Троянец был распространен при помощи спам-рассылки в виде вложений в зараженные электронные письма.
При запуске вложения троянец копирует себя в системный каталог Windows с именем winhost.exe:
Затем регистрирует данный файл в ключе автозапуска системного реестра:
При каждой следующей загрузке Windows запустит файл троянской программы.
Также троянец создает следующие ключи в реестре:
Для обхода встроенного брандмауэра Windows XP (Windows Firewall) троянец создает следующие ключи в реестре:
[HKLM\System\CurrentControlSet
"%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"
[HKLM\System\ControlSet001
"%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"
[HKLM\System\ControlSet002
"%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"
[HKLM\System\ControlSet003
"%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"
[HKCU\Software\Timeout]
"uid"=<случайное 9-ти значное число>
"pid"=<идентификатор процесса Winhost>
"port"=9085
"ssav"=1
Таким образом, программа winhost.exe попадает в список доверенных приложений (исключений из правил) брандмауэра Windows.
Деструктивная активность
Троянская программа открывает на зараженной машине почтовый прокси-сервер на TCP-порту 9085. Обладает следующей функциональностью:
Для извещения хозяина троянец поочередно соединяется со следующими сайтами:
http://64.***.44.10/init.php
http://64.**.212.12/in.php
http://68.**.54.122/in.php
http://blo***sm.net/img/ini.php
http://mot***three.com/img/in.php
http://nine***one.ca/images/in.php
http://pa**my.ru/_old_img/in.php
http://re***n.com/init.php
http://ta***t2k.com/img/ini.php
http://the***hops.com
http://www.b***g.org/init.php
http://www.car***ods.com/inn.php
http://www.evoc***tions.com/img/in.php
http://www.evoc***tions.com/img/in.php
http://www.lad***ars.com/in.php
http://www.to***isi.net/init.php
http://za***a.net/init.php
Троянец ищет в памяти и пытается завершить следующие процессы:
Avpupd.exe
drwebupw.exe
LuCallbackProxy.exe
nod32krn.exe
nod32kui.exe
Также троянец пытается скачать файл с веб-сайта http://www.b***g.org/img/ssav.exe. Если по указанному URL файл существует, то он скачивается, сохраняется в корневом каталоге Windows — %Windir%/ssav.exe и запускается на выполнение. При этом в реестре создается следующий ключ:
На перекрестке науки и фантазии — наш канал