Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Trojan.Proxy.23012 — veicolo universale dello spam

9 ottobre 2012

Doctor Web — sviluppatore russo di software antivirale — avvisa della diffusione di Trojan.Proxy.23012, un cavallo di troia utilizzato dai malintenzionati per inviare messaggi indesiderati in massa. Questo cavallo di troia possiede una serie di caratteristiche che lo distinguono da altri programmi malevoli.

Trojan.Proxy.23012 si scarica sui computer degli utenti utilizzando altri programmi malevoli, in particolare Trojan.PWS.Panda.2395. Il file eseguibile del trojan è compresso dallo stesso packer che comprime programmi dalla famiglia Trojan.PWS.Panda, noti anche come Zeus e Zbot, perciò spesso questo virus viene individuato proprio da questa firma antivirale.

Infiltratosi nel sistema operativo, Trojan.Proxy.23012 si decomprime e si carica nella memoria, dopodiché comincia il processo di installazione. Quale cartella viene usata dal trojan per installarsi dipende dalla versione del SO e dai poteri con i quali è avviato il programma di installazione. In ogni caso il programma di installazione modifica il registro di sistema per avviare il trojan automaticamente durante il caricamento di Windows. Il malware cerca anche di disabilitare l’UAC. Nella fase finale di installazione, il trojan si incorpora nel processo explorer.exe.

La botnet composta di computer infettati da Trojan.Proxy.23012 viene usata dai malintenzionati come un sistema di controllo dei proxy, attraverso i quali si spediscono messaggi indesiderati. Un esempio di tale messaggio si vede sulla figura sottostante.

screen

Una volta stabilita la connessione con il centro di controllo remoto, Trojan.Proxy.23012 accetta il comando dei malintenzionati di aprire un tunnel proxy in cui si possono usare i protocolli SOCKS5, SOCKS4, HTTP (compresi i metodi GET, POST, CONNECT). Per inviare lo spam, i malintenzionati usano i servizi smtp gmail.com, hotmail.com e yahoo.com.

Una particolarità di Trojan.Proxy.23012 riguarda il modo di interazione della botnet con il server di controllo. Il server di controllo decide in tempo reale quali nodi della rete malevola devono essere utilizzati per compiere il determinato mailing. Il ruolo di proxy può essere svolto anche da computer che non hanno un indirizzo IP esterno. Un’altra caratteristica del trojan è che nel suo codice è scritto solo un indirizzo di server di controllo. Se quest’indirizzo viene bloccato, il trojan può aggiornarsi tramite la rete paritaria di Trojan.PWS.Panda.2395.

La firma antivirale di questo cavallo di troia è stata inserita nei database Dr.Web, quindi Trojan.Proxy.23012 non rappresenta una seria minaccia per gli utenti dei programmi sviluppati da Doctor Web.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A