9 ottobre 2012

Doctor Web — sviluppatore russo di software antivirale — avvisa della diffusione di Trojan.Proxy.23012, un cavallo di troia utilizzato dai malintenzionati per inviare messaggi indesiderati in massa. Questo cavallo di troia possiede una serie di caratteristiche che lo distinguono da altri programmi malevoli.

Trojan.Proxy.23012 si scarica sui computer degli utenti utilizzando altri programmi malevoli, in particolare Trojan.PWS.Panda.2395. Il file eseguibile del trojan è compresso dallo stesso packer che comprime programmi dalla famiglia Trojan.PWS.Panda, noti anche come Zeus e Zbot, perciò spesso questo virus viene individuato proprio da questa firma antivirale.

Infiltratosi nel sistema operativo, Trojan.Proxy.23012 si decomprime e si carica nella memoria, dopodiché comincia il processo di installazione. Quale cartella viene usata dal trojan per installarsi dipende dalla versione del SO e dai poteri con i quali è avviato il programma di installazione. In ogni caso il programma di installazione modifica il registro di sistema per avviare il trojan automaticamente durante il caricamento di Windows. Il malware cerca anche di disabilitare l’UAC. Nella fase finale di installazione, il trojan si incorpora nel processo explorer.exe.

La botnet composta di computer infettati da Trojan.Proxy.23012 viene usata dai malintenzionati come un sistema di controllo dei proxy, attraverso i quali si spediscono messaggi indesiderati. Un esempio di tale messaggio si vede sulla figura sottostante.

Una volta stabilita la connessione con il centro di controllo remoto, Trojan.Proxy.23012 accetta il comando dei malintenzionati di aprire un tunnel proxy in cui si possono usare i protocolli SOCKS5, SOCKS4, HTTP (compresi i metodi GET, POST, CONNECT). Per inviare lo spam, i malintenzionati usano i servizi smtp gmail.com, hotmail.com e yahoo.com.

Una particolarità di Trojan.Proxy.23012 riguarda il modo di interazione della botnet con il server di controllo. Il server di controllo decide in tempo reale quali nodi della rete malevola devono essere utilizzati per compiere il determinato mailing. Il ruolo di proxy può essere svolto anche da computer che non hanno un indirizzo IP esterno. Un’altra caratteristica del trojan è che nel suo codice è scritto solo un indirizzo di server di controllo. Se quest’indirizzo viene bloccato, il trojan può aggiornarsi tramite la rete paritaria di Trojan.PWS.Panda.2395.

La firma antivirale di questo cavallo di troia è stata inserita nei database Dr.Web, quindi Trojan.Proxy.23012 non rappresenta una seria minaccia per gli utenti dei programmi sviluppati da Doctor Web.