Archiwalne

* Dr WEB: Kolejny trojan rozsyłający spam

09.06.2015

Złośliwe programy zaprojektowane do wysyłania wiadomości typu spam nie są niespodzianką ani dla analityków, ani dla użytkowników. Tego typu programy są często badane w laboratorium antywirusowym Doctor Web. Niemniej jednak nowy trojan rozsyłający spam, dodany do bazy wirusów Dr.Web pod nazwą Trojan.Proxy.27552, posiada kilka osobliwych cech.

Trojan.Proxy.27552 posiada dość ciekawą procedurę instalacyjną - program próbuje tworzyć swoje kopie pod nazwami csrss.exe, svchost.exe i rundll32.exe w katalogu systemowym C:\Windows\System32, nawet gdy oryginalny plik csrss.exe (lub pozostałe) istnieje w tym katalogu. Aby rozwiązać ten problem, trojan uruchamia wyszukiwanie procesu csrss.exe i próbuje go zatrzymać. Jeśli złośliwy program uzyska niezbędne uprawnienia do administracji i debugowania, zakończenie wymienionego procesu powoduje BSOD (“Blue Screen of Death”) - "niebieski ekran" systemu Windows.

Jednak gdy Trojan.Proxy.27552 nie doprowadzi do "wywrócenia się" Windows, to tworzy trzy pliki o nazwach csrss.exe, svchost.exe i rundll32.exe w folderze %APPDATA% i modyfikuje rejestr systemowy, aby zapewnić własne automatyczne uruchamianie się. W niektórych przypadkach, gdy zainfekowany zostanie komputer z Windows XP, trojan wstrzykuje swój złośliwy kod do pliku \rundll32.exe. W takiej sytuacji użytkownik może skorzystać ze standardowego narzędzia SFC i przywrócić uszkodzone lub brakujące pliki. To narzędzie potrafi pomóc w przywróceniu oryginalnego pliku z jego kopii zapasowej. Podczas następnego uruchomienia systemu wszystkie trzy aplikacje stworzone przez trojana zostaną uruchomione automatycznie.

Gdy tylko Trojan.Proxy.27552 uruchomi się, to sprawdza czy jest zestawione połączenie z Internetem, odwołując się do smtp.gmail.com:25 i plus.smtp.mail.yahoo.com:25. Jeśli to sprawdzenie zakończy się niepowodzeniem, trojan kończy swoją pracę. Jeśli dostęp do Internetu istnieje, to wysyłając zapytania do zdalnych hostów, złośliwy program próbuje otrzymać listę zawierającą aktualne adresy IP serwerów kontrolno-zarządzających. Trojan porównuje otrzymane listy i usuwa adresy sieci lokalnych. Następnie generuje ostateczną listę serwerów kontrolno-zarządzających i wprowadza tę informację do rejestru systemu Windows, który jest używany przez malware do przechowywania takich danych.

Trojan.Proxy.27552 regularnie aktualizuje tę listę. Monitoruje również status gałęzi rejestru (i jeśli to konieczne, rozwiązuje zaistniałe błędy) odpowiedzialną za automatyczne uruchamianie się trojana i jego działanie jako serwera proxy dla połączeń zwrotnych. Połączenie z serwerami kontrolno-zarządzającymi jest przeprowadzane w taki sposób, że zmuszają one zainfekowany system do utrzymywania tego połączenia przez określony czas.

Głównym celem Trojan.Proxy.27552 jest wysyłanie wiadomości typu SPAM razem ze zdalnym serwerem tych wiadomości. Co ciekawe, linki z wiadomości rozsyłanych przez trojana kierują użytkowników na zhakowane strony www. Na przykład, jeśli adres zawarty w wiadomości przynależy do neutralnego zasobu w Internecie:

wtedy link przekierowuje użytkownika na zupełnie inną stronę www:

Sygnatura Trojan.Proxy.27552 została dodana do bazy wirusów Dr.Web. Z tego powodu tez złośliwy program nie stanowi zagrożenia dla użytkowników Dr.Web.

źródło: Doctor Web

News Jak wybrać sprzęt audio do domowego kina: Kompleksowy przewodnik

W dzisiejszych czasach, kiedy technologia rozwija się w zawrotnym tempie, stworzenie idealnego domowego kina stało się bardziej osiągalne niż kiedykolwiek wcześniej. Kluczowym elementem każdego zestawu kina domowego jest sprzęt audio, który może znacząco wpłynąć na jakość odbioru dźwięku. Wybór odpowiednich akcesoriów audio jest nie tylko kwestią estetyki, ale przede wszystkim funkcjonalności i jakości dźwięku. W tym artykule przyjrzymy się, jak wybrać najlepsze akcesoria audio, które poprawią jakość dźwięku w Twoim domowym kinie, oraz jakie elementy są niezbędne, aby cieszyć się pełnią możliwości Twojego sprzętu. czytaj więcej

News Pendrive z logo firmy - jak dopasować pojemność, design i funkcje do potrzeb odbiorców

Technologia pędzi do przodu, wymuszając na firmach ciągłe poszukiwanie innowacyjnych rozwiązań, także w obszarze gadżetów reklamowych. czytaj więcej

Wiadomości firmowe Nieustanna ewolucja w ochronie danych: na tapecie BotGuard i Picus Security

Jak chronić się przed Content Scraping? Jakie jest kluczowe rozwiązanie dla CISO? W dobie, gdy dane są nową walutą, a cyberprzestępcy stają się coraz bardziej wyrafinowani, CISO (Chief Information Security Officer) muszą zmierzyć się z rosnącymi zagrożeniami. Dodatkowo co chwile powstają nowe zagrożenia, a nadążenie z wszystkimi pojęciami ze świata cybersecurity może być przytłaczające. czytaj więcej

News Co to są autonomiczne wózki AMR? - poznaj ich zalety

Autonomiczne wózki AMR (Autonomous Mobile Robots) to nowoczesne rozwiązania technologiczne, które umożliwiają automatyzację procesów transportowych w magazynach i zakładach przemysłowych. W przeciwieństwie do tradycyjnych wózków AGV (Automated Guided Vehicles), AMR wykorzystują zaawansowane technologie, takie jak sztuczna inteligencja i systemy nawigacji, dzięki czemu mogą poruszać się autonomicznie w złożonym środowisku bez potrzeby instalowania fizycznych prowadnic. czytaj więcej