Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Trojan.Proxy.23012, un outil universel pour diffuser du spam

Le 12 octobre 2012

Doctor Web annonce la propagation d'un programme malveillant, le Trojan.Proxy.23012.

Le Trojan.Proxy.23012 pénètre sur les PC infectés à l’aide d’autres programmes malveillants, notamment le Trojan.PWS.Panda.2395. Le fichier d’installation du trojan est compressé par le même logiciel (Zeus ou Zbot) que le Trojan.PWS.Panda, c’est pourquoi il est souvent détecté sous le nom de cette signature.

En pénétrant dans l'OS, le Trojan.Proxy.23012 se lance en mémoire et son installation commence. Le dossier dans lequel le programme sera installé dépend de la version de l’OS et des droits de l’utilisateur en cours. L'installateur modifie la branche du registre relative à l’autodémarrage des applications pour assurer un lancement automatique du trojan dans Windows. Le programme empêche le fonctionnement correct du système des comptes utilisateurs sur le PC. A la fin de l’installation, le trojan pénètre dans le processus : explorer.exe.

Le botnet créé par le Trojan.Proxy.23012 est utilisé par les pirates pour gérer l’envoi de spam via les serveurs proxy. Voici un exemple de spam envoyé :

screen

En établissant la connexion avec le serveur distant, sur commande des pirates, le Trojan.Proxy.23012 ouvre un accès proxy permettant aux pirates d'utiliser les protocoles SOCKS5, SOCKS4, HTTP (y compris GET, POST, CONNECT). Les services SMTP suivant sont utilisés pour l’envoi du spam : gmail.com, hotmail.com et yahoo.com.

Une des fonctionnalités distinctive de ce malware est la façon dont les bots interagissent avec le serveur de contrôle du botnet, qui sélectionne en temps réel le nœud via lequel sera effectué un envoi de spam . De plus, les bots installés sur les ordinateurs sans adresse IP externe peuvent aussi agir comme des serveurs proxy. Enfin, autre particularité de ce trojan, il utilise un seul serveur distant et si celui-ci est bloqué, le trojan peut être mis à jour via le réseau de peering Trojan.PWS.Panda.2395.

La signature de cette menace est déjà dans les bases virales Dr.Web et le trojan Trojan.Proxy.23012 n’est pas dangereux pour les utilisateurs Doctor Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg