10 лет успеха:2006-2016
8 (800) 500-92-06
Бесплатный звонок из регионов

Наглый SMTP-троян «вешает» Windows - DrWeb

Главная / Архив новостей / Наглый SMTP-троян «вешает» Windows - DrWeb
Наглый SMTP-троян «вешает» Windows - DrWeb

ИТ-специалисты антивирусной компании «Доктор Веб» сообщили о новом троянском коне, предназначенном для массовой рассылки спама с заражённого компьютера.

Вредоносная программа, получившая кодовое название Trojan.Proxy.27552, при запуске пытается для проверки подключиться по SMTP-протоколу к почтовым серверам smtp.gmail.com и plus.smtp.mail.yahoo.com Так злоумышленники проверяют не закрыт ли 25-ый TCP-порт, необходимый для отправки электронной почты. Если соединение было успешным, троянец отправляет сообщение «готов к работе» на управляющий сервер ботнета.

Если троянец был запущен из-под аккаунта с правами администратора, он немедленно пытается создать свою копию в системном каталоге C:\Windows\System32 перезаписывая оригинальный системный файл сsrss.exe Такая попытка, разумеется, приводит к «падению» Windows с «синим экраном смерти», зато после перезагрузки зловред окончательно приживается в операционной системе, записывая себя в автозагрузку.

Для связи с сервером управления бот-сетью SMTP-троянец использует порт 9997 протокола TCP. По этому порту происходит получение текущего списка действующих IP-адересов управляющих серверов, а также задания на рассылку спама — список адресов получателей и сами письма для мусорной рассылки.

Обнаруженный троян уже добавлен в антивирусные базы «Доктор Веб». Лечение возможно также с помощью утилиты Dr.Web CureIt!



При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

884 просмотра