Trojan-Proxy.Win32.Mitglieder.s

Технические детали

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве почтового прокси-сервера.

Работает под Windows. Имеет размер около 19KB.

Устанавливается в систему при помощи червя I-Worm.Bagle.l.

Функции самостоятельного запуска не имеет. Для запуска "троянца" используются вспомогательные библиотеки червя Bagle.l.

"Троянец" пытается подключиться к нескольким удаленным серверам для передачи автору информации о зараженном компьютере (IP-адрес зараженной машины и т. д.).

Открывает на зараженной машине порт 11117 и устанавливает себя как почтовый прокси-сервер. После этого зараженная машина может использоваться для рассылки спама.

Прочее

"Троянец" ищет в памяти следующие процессы и пытается прекратить их работу:

ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE