24 апреля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении вредоносной программы Trojan.Spambot.11349, обладающей весьма интересным алгоритмом поведения. Опасность данного троянца для пользователей заключается в том, что он способен красть учетные записи почтовых клиентов (в частности, Microsoft Outlook и The Bat!), а также передавать злоумышленникам данные, используемые функцией автозаполнения форм в веб-браузерах.

Распространение этой вредоносной программы осуществляется с применением бот-сети весьма известных бэкдоров Backdoor.Andromeda. Троянец Trojan.Spambot.11349 состоит из двух компонентов: написанного на языке Delphi загрузчика и динамической библиотеки, в которой сосредоточена полезная нагрузка. Функции приложения-загрузчика в целом обычны для подобного рода вредоносных программ: это обход брандмауэра и установка в систему вредоносной библиотеки. Если загрузчик запущен из процесса, имя которого не содержит строку "vcnost.e", троянец уничтожает все процессы, содержащие в имени значение svcnost, сохраняет себя в одну из папок на жестком диске компьютера под именем svcnost.exe и прописывает соответствующую ссылку в ветви реестра, отвечающей за автозагрузку приложений. После этого Trojan.Spambot.11349 запускает собственную копию и, если она выполняется с правами администратора, вносит ряд изменений в системный реестр с целью обхода брандмауэра Windows, и перезаписывает файл hosts, блокируя пользователю доступ к веб-сайтам производителей антивирусных программ. Наконец, загрузчик помещает в оперативную память компьютера содержащую полезную нагрузку динамическую библиотеку и передает ей дальнейшее управление.

Получив управление, вредоносная библиотека проверяет наличие на диске собственной копии и записывает в системный реестр значение из девяти случайных цифр, служащее уникальным идентификатором бота. Затем Trojan.Spambot.11349 сохраняет на диск библиотеку для работы с SSL и библиотеку zlib, с использованием которой троянец сжимает строки своих запросов. При этом в поле HOST отправляемых ботом запросов содержится посторонний IP-адрес, что является характерной особенностью Trojan.Spambot.11349. Использование отдельной динамической библиотеки для работы с zlib и SSL также можно назвать нечастым явлением в архитектуре вредоносных программ.

Одной из отличительных особенностей Trojan.Spambot.11349 является то, что эта вредоносная программа отправляет последовательность запросов на случайные IP-адреса, подобранные по специальному алгоритму из списка хранящихся в ресурсах троянца подсетей. Затем троянец устанавливает соединение с одним из трех управляющих серверов, адреса которых хранятся в теле библиотеки в зашифрованном виде, и ожидает от него получения конфигурационного файла. В случае если операция получения конфигурационного файла завершается успешно, троянец формирует строку запроса, содержащую украденные учетные данные почтовых клиентов Microsoft Outlook и The Bat!, упаковывает ее с помощью библиотеки zlib и передает на принадлежащий злоумышленникам удаленный сервер. Инфицировав систему, троянец проверяет возможность отсылки с зараженного компьютера спама, отправляя по электронной почте сообщения со случайным набором символов. Если проверка прошла успешно, троянец получает с удаленного сервера данные для последующего проведения спам-рассылки. По данным на 24 апреля, троянцы Trojan.Spambot.11349 осуществляли распространение почтовых сообщений, содержащих рекламу виагры.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web, поэтому пользователи программных продуктов компании «Доктор Веб» защищены от действия этого троянца. Тем не менее, если у вас возникли подозрения в том, что данные для доступа к вашему электронному почтовому ящику могут быть похищены, рекомендуется незамедлительно сменить пароль учетной записи электронной почты.