Trojan-Proxy.Win32. Koobface.a

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя.

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя.

Инсталляция

При запуске программа извлекает из себя и устанавливает в системе новый исполняемый файл, копируя его в системный каталог Windows:

%System%\dll32.dll
Для автоматического запуска при каждом следующем старте системы программа добавляет ссылку на извлеченный исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"dll"="rundll32 dll32,sm"
Для того чтобы файл dll32.dll выполнял в системе функционал прокси-сервера, программа создает следующие ключи реестра:
[HKСU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=1
"ProxyOverride"="*.local;"
"ProxyServer"="http=localhost:7171"
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy StandardProfile\GloballyOpenPorts\List]
"7171:TCP"="7171:TCP:*:Enabled:dll32"
"80:TCP"="80:TCP:*:Enabled:dll32"

Деструктивная активность

Установленная программа перехватывает все DNS запросы, содержащие одну из следующих строк:

“.ask.” 
“search.aol.”
“search.live.”
“search.msn.”
“search.yahoo.”
“google.”
“.sa.aol.com”
“.aolcdn.com”
“.autodatadirect.com”
“thumbnail.aspx”
“yahooapis.com”
“metacafe.com”
“.yimg.com”
“img.youtube.com”
Данные DNS запросы вредоносная программа отправляет на сервер rz-dns.com, в данный момент сервер недоступен, ранее он мог контролироваться злоумышленником.