19 marca 2004

TrojanProxy.Win32.Mitglieder.s - zamienia komputer w dystrybutor spamu

Jest to koń trojański pozwalający na użycie zainfekowanego komputera jako pocztowego serwera proxy. Szkodnik działa w systemach Windows, a jego rozmiar to około 19 KB. Trojan nie jest samowystarczalny - wykorzystuje bibliotekę wchodzącą w skład robaka I.Worm.Bagle.l.

Po uruchomieniu szkodnik podejmuje próbę nawiązania połączenia ze zdalnymi serwerami w celu wysłania informacji o zainfekowanym komputerze (adres IP, nazwa użytkownika itd.).

Trojan otwiera port 11117 i instaluje się jako pocztowy serwer proxy. W rezultacie zainfekowany komputer może posłużyć jako platforma do dystrybucji spamu.

Informacje dodatkowe

Trojan podejmuje próby zamykania następujących procesów:

  • ATUPDATER.EXE
  • AVWUPD32.EXE
  • AVPUPD.EXE
  • LUALL.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • UPDATE.EXE
  • NUPGRADE.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • AVLTMAIN.EXE