Trojan-Proxy.Win32. Mitglieder.o

Троянская программа, запускающая почтовый прокси-сервер на компьютере пользователя.

Троянская программа, запускающая почтовый прокси-сервер на компьютере пользователя. Является библиотекой Windows (DLL-файл). Имеет размер 27136 байт.

Инсталляция

Данный троянец инсталлируется в систему при помощи других вредоносных программ.

Для автоматической загрузки при каждом последующем старте операционной системы вирус добавляет ссылку на компонент, загружающий троянскую библиотеку, в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"RealUpdater" = "<путь и имя исполняемого файла компонента>"

Также создается ключ реестра, в котором хранятся настройки троянца:

[HKCU\Software\Timeout]

Деструктивная активность

Троянская программа создает SMTP прокси-сервер на произвольном TCP-порту. Затем отправляет номер порта, на котором запущен proxy, в URL-запросе на сайт злоумышленника.

В результате зараженная машина может использоваться в зомби-сети для рассылки спама.

Троянец скачивает обновления для своего исполняемого файла по следующим ссылкам:

http://69.28.***.195/cgi-bin/get.cgi
http://www.ftops****.com/cgi-bin/get.cgi
http://www.g***port.biz/cgi-bin/get.cgi

Обновления запускаются на исполнение после того как вирус сохранит их в корневом каталоге Windows:

%WinDir%\realupd.exe

Также троян похищает пароли к учетным записям из файлов данных следующих ICQ и почтовых клиентов:

Trillian
Miranda
Mirabilis ICQ
TheBat!
Outlook

Троянская программа отправляет на сайт злоумышленника собранные данные, а также информацию о версии установленной ОС и времени работы троянца.

Другие названия

Trojan-Proxy.Win32.Mitglieder.o («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Mitglieder.o («Лаборатория Касперского»), W32/Bagle.dll.gen (McAfee), Trojan.Mitglieder.I (Symantec), Win32.HLLM.Beagle.35328 (Doctor Web), Troj/Mitglied-N (Sophos), TrojanProxy:Win32/Mitglieder.O (RAV), TROJ_MITGLIEDR.O (Trend Micro), Proxy.2.BH (Grisoft), Trojan.Proxy.Mitglieder.O (SOFTWIN), Trojan.Proxy.W32.Mitglieder.O (ClamAV), W32/Mitglieder.J.wo (Panda), Win32/TrojanProxy.Mitglieder.O (Eset)