3 giugno 2015

I programmi malevoli progettati per l'invio di messaggi indesiderati sono un tipo di malware che viene analizzato frequentemente dagli specialisti del laboratorio antivirus Doctor Web. Il nuovo trojan-spammer Trojan.Proxy.27552 ha una serie di interessanti caratteristiche.

Già nella fase di installazione il trojan presenta alcune particolarità: il programma malevolo cerca di creare le sue copie nella cartella di sistema C:\Windows\System32 con i nomi сsrss.exe, svchost.exe e rundll32.exe, anche quando nella cartella c'è il file originale сsrss.exe. Per risolvere il problema, il trojan cerca nella memoria del computer il processo con tale nome per il suo percorso completo e tenta di terminarlo. Se il trojan ha i permessi sufficienti per quest'azione (cioè il file eseguibile del malware è stato avviato sotto l'account amministratore o per esso sono attivati i privilegi di debug), la terminazione del processo сsrss.exe comporta immediatamente il crash del SO Windows con la comparsa della schermata blu (BSOD), una cosa poco utile per gli autori del virus, dal punto di vista degli analisti dei virus.

Se non è possibile mandare in crash Windows, il Trojan.Proxy.27552 crea tre file con i nomi сsrss.exe, svchost.exe e rundll32.exe nella cartella %APPDATA% e modifica il registro di sistema per assicurare la propria esecuzione automatica. Nel SO Windows XP il trojan talvolta può incorporarsi nel file <SYSTEM32>\rundll32.exe, però in tale caso l'utente potrebbe servirsi dell'utility standard di ripristino di file corrotti o assenti SFC che può recuperare il file originale da backup. Con il successivo avvio del sistema, vengono eseguite automaticamente tutte le tre applicazioni create dal trojan.

Dopo l'avvio il Trojan.Proxy.27552 controlla la disponibilità della connessione Internet cercando di connettersi ai server smtp.gmail.com:25 e plus.smtp.mail.yahoo.com:25, se ci sono problemi di accesso alla rete, il trojan termina il suo funzionamento. Se c'è invece una connessione Internet, il programma malevolo tenta di ottenere dai nodi remoti (gli indirizzi sono scritti nel suo corpo) una lista attuale degli indirizzi IP dei server di controllo. Dopo aver confrontato le liste ricevute e aver cancellato indirizzi di rete locali, il trojan forma un elenco definitivo dei server di gestione e scrive i dati nel registro di sistema di Windows in cui esso memorizza tali informazioni.

Il trojan aggiorna a cadenze regolari la lista dei server di gestione, monitora (e se necessario ripristina) il ramo del registro di sistema responsabile per l'esecuzione automatica di Trojan.Proxy.27552 e anche svolge le funzioni di un server backconnect-proxy. La comunicazione con i server di controllo è organizzata in un modo che fa il sistema operativo infetto mantenere una connessione attiva per il periodo di tempo impostato.

L'obiettivo principale del Trojan.Proxy.27552 è inviare lo spam via email insieme a un server di spam remoto. I link inclusi nei messaggi indesiderati conducono principalmente su pagine web violate. Per esempio, se sull'indirizzo principale di una risorsa Internet, a cui i messaggi di pubblicità fanno riferimento, si trova qualche risorsa Internet neutrale:

...allora se l'utente clicca su un link dall'email, che appartiene allo stesso sito, viene reindirizzato automaticamente su una pagina web completamente diversa:

Un record per questo programma malevolo è stato aggiunto ai database dei virus Dr.Web, quindi il Trojan.Proxy.27552 non rappresenta alcuna minaccia per gli utenti dei nostri prodotti antivirus..