Універсальна спам-машина зловмисників
Trojan.Proxy.23012 завантажується на заражені комп'ютери з використанням інших шкідливих програм, зокрема Trojan.PWS.Panda.2395. Виконуваний файл троянця стиснутий з використанням того ж вірусного пакувальника, що і троянці сімейства Trojan.PWS.Panda, відомий також під іменами Zeus і Zbot, тому нерідко він детектується саме цієї сигнатурної записом.
Проникнувши в операційну систему, Trojan.Proxy.23012 розпаковується і завантажується в пам ’ ять, після чого починається процедура інсталяції троянця. Папка, у яку буде встановлена ця шкідлива програма, залежить від версії ОС і від того, під якими правами був запущений інсталятор. У будь-якому випадку інсталятор модифікує системний реєстр з метою забезпечити автоматичний запуск троянця в процесі завантаження Windows. Також шкідлива програма намагається відключити систему контролю облікових записів користувачів. Нарешті, на фінальному етапі установки троянець вбудовується в процес explorer.exe.
Ботнет, що складається з інфікованих Trojan.Proxy.23012 комп'ютерів, використовується зловмисниками в якості системи управління проксі-серверами, через які по команді здійснюється поштового розсилання спаму. Приклад одного з наших повідомлень показаний на представленої нижче ілюстрації.
Встановивши з'єднання з віддаленим командним центром, по команді зловмисників Trojan.Proxy.23012відкриває проксі-тунель, за допомогою якого створювачі можуть користуватися протоколами SOCKS5, SOCKS4, HTTP (включаючи методи GET, POST, CONNECT). Для розсилки спаму використовуються smtp-сервіси gmail.com, hotmail.com і yahoo.com.
Відмінною особливістю цієї шкідливої програми є методи взаємодії ботнету з керуючим сервером: командний центр в режимі реального часу вибирає, через які саме вузли мережі здійснювати ту або іншу розсилку, крім того, в проксировании беруть участь боти, встановлені на комп'ютерах без зовнішнього IP-адреси. Є у даного троянця і ще одна особливість: у ньому прописано тільки одну адресу керівника центру, при блокуванні якого троянець може бути оновлений через пірінгову мережу Trojan.PWS.Panda.2395.