Trojan-Proxy.Win32.Mitglieder.ee

Технические детали

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве почтового прокси-сервера. Является приложением Windows (PE EXE-файл).

Имеет размер 8768 байт, упакована при помощи FSG. Размер распакованного файла — около 53 КБ.

Инсталляция

Троянец был распространен при помощи спам-рассылки в виде вложений в зараженные электронные письма следующего вида:

При запуске вложения троянец копирует себя в системный каталог Windows с именем winhost.exe:

Затем регистрирует данный файл в ключе автозапуска системного реестра:

При каждой следующей загрузке Windows запустит файл троянской программы.

Также троянец создает следующие ключи в реестре:

Для обхода встроенного брандмауэра Windows XP (Windows Firewall) троянец создает следующие ключи в реестре:

Таким образом, программа winhost.exe попадает в список доверенных приложений (исключений из правил) брандмауэра Windows:

Деструктивная активность

Троянская программа открывает на зараженной машине почтовый прокси-сервер на TCP-порту 9085. Обладает следующей функциональностью:

• рассылка спама;
• скачивание файла и его запуск;
• обновление (скачанный файл запускается, а исходный удаляется).

Для извещения хозяина троянец поочередно соединяется со следующими сайтами:

http://64.***.44.10/init.php
http://64.**.212.12/in.php
http://68.**.54.122/in.php
http://blo***sm.net/img/ini.php
http://mot***three.com/img/in.php
http://nine***one.ca/images/in.php
http://pa**my.ru/_old_img/in.php
http://re***n.com/init.php
http://ta***t2k.com/img/ini.php
http://the***hops.com
http://www.b***g.org/init.php
http://www.car***ods.com/inn.php
http://www.evoc***tions.com/img/in.php
http://www.evoc***tions.com/img/in.php
http://www.lad***ars.com/in.php
http://www.to***isi.net/init.php
http://za***a.net/init.php

Троянец ищет в памяти и пытается завершить следующие процессы:

Avpupd.exe
drwebupw.exe
LuCallbackProxy.exe
nod32krn.exe
nod32kui.exe

Также троянец пытается скачать файл с веб-сайта http://www.b***g.org/img/ssav.exe. Если по указанному URL файл существует, то он скачивается, сохраняется в корневом каталоге Windows — %Windir%/ssav.exe и запускается на выполнение. При этом в реестре создается следующий ключ:

Рекомендации по удалению

1. При помощи «Диспетчера задач» (Task Manager) завершить процесс с именем winhost.exe.
2. Удалить следующий ключ системного реестра:
   [HKCU\Software\Microsoft\Windows\CurrentVerison\Run]
    "winhost"="%System%/winhost.exe"
3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) и созданную троянцем копию:
   %System%/winhost.exe
4. Удалить следующие ключи реестра

   [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"

   [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"

   [HKLM\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"

   [HKLM\System\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "%System%\winhost.exe"="%System%\winhost.exe:*:Enabled:winhost"

   [HKCU\Software\Timeout]
    "uid"=<случайное 9-ти значное число>
    "pid"=<идентификатор процесса Winhost>
    "port"=9085
    "ssav"=1

5. При помощи «Диспетчера задач» (Task Manager) найти процесс с именем ssav.exe и, если он существует, — завершить его.
6. Удалить следующий файл:

   %Windir%/ssav.exe

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).