Trojan-Proxy.Win32. Mitglieder.ee

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве почтового прокси-сервера.

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве почтового прокси-сервера. Является приложением Windows (PE EXE-файл).

Имеет размер 8768 байт, упакована при помощи FSG. Размер распакованного файла — около 53 КБ.

Инсталляция

Троянец был распространен при помощи спам-рассылки в виде вложений в зараженные электронные письма.

При запуске вложения троянец копирует себя в системный каталог Windows с именем winhost.exe:

%System%/winhost.exe

Затем регистрирует данный файл в ключе автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVerison\Run]
 "winhost"="%System%/winhost.exe"

При каждой следующей загрузке Windows запустит файл троянской программы.

Также троянец создает следующие ключи в реестре:

[HKCU\Software\Timeout]
 "uid"=<случайное 9-ти значное число>
 "pid"=<идентификатор процесса Winhost>
 "port"=9085

Для обхода встроенного брандмауэра Windows XP (Windows Firewall) троянец создает следующие ключи в реестре:

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 "%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"

[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 "%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"

[HKLM\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 "%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"

[HKLM\System\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 "%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"

[HKCU\Software\Timeout]
 "uid"=<случайное 9-ти значное число>
 "pid"=<идентификатор процесса Winhost>
 "port"=9085
 "ssav"=1

Таким образом, программа winhost.exe попадает в список доверенных приложений (исключений из правил) брандмауэра Windows.

Деструктивная активность

Троянская программа открывает на зараженной машине почтовый прокси-сервер на TCP-порту 9085. Обладает следующей функциональностью:

  • рассылка спама;
  • скачивание файла и его запуск;
  • обновление (скачанный файл запускается, а исходный удаляется).

Для извещения хозяина троянец поочередно соединяется со следующими сайтами:

http://64.***.44.10/init.php
http://64.**.212.12/in.php
http://68.**.54.122/in.php
http://blo***sm.net/img/ini.php
http://mot***three.com/img/in.php
http://nine***one.ca/images/in.php
http://pa**my.ru/_old_img/in.php
http://re***n.com/init.php
http://ta***t2k.com/img/ini.php
http://the***hops.com
http://www.b***g.org/init.php
http://www.car***ods.com/inn.php
http://www.evoc***tions.com/img/in.php
http://www.evoc***tions.com/img/in.php
http://www.lad***ars.com/in.php
http://www.to***isi.net/init.php
http://za***a.net/init.php

Троянец ищет в памяти и пытается завершить следующие процессы:

Avpupd.exe
drwebupw.exe
LuCallbackProxy.exe
nod32krn.exe
nod32kui.exe

Также троянец пытается скачать файл с веб-сайта http://www.b***g.org/img/ssav.exe. Если по указанному URL файл существует, то он скачивается, сохраняется в корневом каталоге Windows — %Windir%/ssav.exe и запускается на выполнение. При этом в реестре создается следующий ключ:

[HKCU\Software\Timeout]
 "ssav"=1