Технические детали
Троянская программа, запускающая почтовый прокси-сервер на компьютере пользователя. Является библиотекой Windows (DLL-файл). Имеет размер 27136 байт.
Инсталляция
Данный троянец инсталлируется в систему при помощи других вредоносных программ.
Для автоматической загрузки при каждом последующем старте операционной системы вирус добавляет ссылку на компонент, загружающий троянскую библиотеку, в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"RealUpdater" = "<путь и имя исполняемого файла компонента>"
Также создается ключ реестра, в котором хранятся настройки троянца:
[HKCU\Software\Timeout]
Деструктивная активность
Троянская программа создает SMTP прокси-сервер на произвольном TCP-порту. Затем отправляет номер порта, на котором запущен proxy, в URL-запросе на сайт злоумышленника.
В результате зараженная машина может использоваться в зомби-сети для рассылки спама.
Троянец скачивает обновления для своего исполняемого файла по следующим ссылкам:
http://69.28.***.195/cgi-bin/get.cgi
http://www.ftops****.com/cgi-bin/get.cgi
http://www.g***port.biz/cgi-bin/get.cgi
Обновления запускаются на исполнение после того как вирус сохранит их в корневом каталоге Windows:
%WinDir%\realupd.exe
Также троян похищает пароли к учетным записям из файлов данных следующих ICQ и почтовых клиентов:
Trillian
Miranda
Mirabilis ICQ
TheBat!
Outlook
Троянская программа отправляет на сайт злоумышленника собранные данные, а также информацию о версии установленной ОС и времени работы троянца.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%WinDir%\realupd.exe
- Удалить следующий параметр в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"RealUpdater"
- Удалить ключ реестра:
[HKCU\Software\Timeout]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
RSS-каналы
