Trojan.Win32. Spabot.x

Троянская программа. Является приложением Windows (PE EXE-файл), имеет размер 14665 байт. При этом в разных версиях данного троянца размер может незначительно варьироваться. Упакована при помощи FSG. Размер в распакованном виде — около 65 КБ. Написана на языке С++.

Программа предназначена для рассылки спама.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows в файл с именем spoolsvv.exe:

%Sytstem%\spoolsvv.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "spoolsvv"="%Sytstem%\spoolsvv.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создаёт в корневом каталоге Windows динамически загружаемую библиотеку с именем comdlj32.dll (7168 байт):

%Windir%\comdlj32.dll

Данная библиотека детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Agent.ji.

Троянец вызывает из данной библиотеки несколько функций, в результате чего библиотека начинает перехватывать вызовы некоторых функций API. Данные действия производятся с целью скрыть от пользователя ключи реестра, содержащие строку «spoolsvv», а также файлы, содержащие данную строку в своём имени. Также из списка процессов скрываются процессы, содержащие данную строку в своем имени. В результате присутствие программы на компьютере становится почти незаметным для пользователя.

Деструктивная активность

Троянец проверяет наличие в интернете файлов со своим обновлением. В случае наличия более новой версии, она скачивается, сохраняется во временном каталоге Windows (%Temp%) под именем spoolsvv.exe и запускается на исполнение. После чего выполнение загрузившей её программы завершается.

Во время работы троянская программа производит запрос к указанному в ней URL. В запросе передаётся уникальный идентификатор компьютера. В ответ на запрос троянец получает строки с двумя новыми URL. По одной из них программа получает список адресов электронной почты, по другой — набор шаблонов электронных писем. В ходе своей работы троянец отправляет на полученные адреса электронные письма. После отправки писем программа производит запрос к URL, в котором указывает количество удачно и неудачно переданных писем, а также ошибки, возникшие при отправке. После этого троянец опять посылает запрос, получает список адресов и шаблонов писем, рассылает их и так далее.