Pour les utilisateurs

Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Recherche
Recherche

Contacter-nous !
Support 24/24 | Rules regarding submitting

Envoyer un message

Requête à l'aide du formulaire

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -
Créer une nouvelle requête

Nous téléphoner

0 825 300 230

Profil

FR

RU CN DE EN ES FR IT JP KZ UZ PL BY
Fermer
News

News par thème

News sur les virus
" Lumières sur la sécurité "
Widgets
Centre de presse

Revenir vers la liste d'actualités

Trojan.Proxy.23012, un outil universel pour diffuser du spam

Le 12 octobre 2012

Doctor Web annonce la propagation d'un programme malveillant, le Trojan.Proxy.23012.

Le Trojan.Proxy.23012 pénètre sur les PC infectés à l’aide d’autres programmes malveillants, notamment le Trojan.PWS.Panda.2395. Le fichier d’installation du trojan est compressé par le même logiciel (Zeus ou Zbot) que le Trojan.PWS.Panda, c’est pourquoi il est souvent détecté sous le nom de cette signature.

En pénétrant dans l'OS, le Trojan.Proxy.23012 se lance en mémoire et son installation commence. Le dossier dans lequel le programme sera installé dépend de la version de l’OS et des droits de l’utilisateur en cours. L'installateur modifie la branche du registre relative à l’autodémarrage des applications pour assurer un lancement automatique du trojan dans Windows. Le programme empêche le fonctionnement correct du système des comptes utilisateurs sur le PC. A la fin de l’installation, le trojan pénètre dans le processus : explorer.exe.

Le botnet créé par le Trojan.Proxy.23012 est utilisé par les pirates pour gérer l’envoi de spam via les serveurs proxy. Voici un exemple de spam envoyé :

screen

En établissant la connexion avec le serveur distant, sur commande des pirates, le Trojan.Proxy.23012 ouvre un accès proxy permettant aux pirates d'utiliser les protocoles SOCKS5, SOCKS4, HTTP (y compris GET, POST, CONNECT). Les services SMTP suivant sont utilisés pour l’envoi du spam : gmail.com, hotmail.com et yahoo.com.

Une des fonctionnalités distinctive de ce malware est la façon dont les bots interagissent avec le serveur de contrôle du botnet, qui sélectionne en temps réel le nœud via lequel sera effectué un envoi de spam . De plus, les bots installés sur les ordinateurs sans adresse IP externe peuvent aussi agir comme des serveurs proxy. Enfin, autre particularité de ce trojan, il utilise un seul serveur distant et si celui-ci est bloqué, le trojan peut être mis à jour via le réseau de peering Trojan.PWS.Panda.2395.

La signature de cette menace est déjà dans les bases virales Dr.Web et le trojan Trojan.Proxy.23012 n’est pas dangereux pour les utilisateurs Doctor Web.

Votre avis nous intéresse

Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments