Троянская программа. Является приложением Windows (PE EXE-файл). Программа предназначена для рассылки спама.
Программа предназначена для рассылки спама.
Инсталляция
После запуска троянец копирует себя в системный каталог Windows в файл с именем spoolsvv.exe:
%Sytstem%\spoolsvv.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"spoolsvv"="%Sytstem%\spoolsvv.exe"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Также троянец создаёт в корневом каталоге Windows динамически загружаемую библиотеку с именем comdlj32.dll (7168 байт):
%Windir%\comdlj32.dll
Данная библиотека детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Agent.ji.
Троянец вызывает из данной библиотеки несколько функций, в результате чего библиотека начинает перехватывать вызовы некоторых функций API. Данные действия производятся с целью скрыть от пользователя ключи реестра, содержащие строку «spoolsvv», а также файлы, содержащие данную строку в своём имени. Также из списка процессов скрываются процессы, содержащие данную строку в своем имени. В результате присутствие программы на компьютере становится почти незаметным для пользователя.
Деструктивная активность
Троянец проверяет наличие в интернете файлов со своим обновлением. В случае наличия более новой версии, она скачивается, сохраняется во временном каталоге Windows (%Temp%) под именем spoolsvv.exe и запускается на исполнение. После чего выполнение загрузившей её программы завершается.
Во время работы троянская программа производит запрос к указанному в ней URL. В запросе передаётся уникальный идентификатор компьютера. В ответ на запрос троянец получает строки с двумя новыми URL. По одной из них программа получает список адресов электронной почты, по другой — набор шаблонов электронных писем. В ходе своей работы троянец отправляет на полученные адреса электронные письма. После отправки писем программа производит запрос к URL, в котором указывает количество удачно и неудачно переданных писем, а также ошибки, возникшие при отправке. После этого троянец опять посылает запрос, получает список адресов и шаблонов писем, рассылает их и так далее.